Sprzedajesz auto w internecie? Uważaj na oszustów!
Zakup dobrego samochodu na rynku wtórnym to prawdziwa sztuka. O trikach nieuczciwych handlarzy można by napisać opasłą książkę. Okazuje się jednak, że pułapki czyhają również na sprzedających. Nawet tych najuczciwszych, którzy znają swój pojazd od pierwszego dnia...
Kilka dni temu skontaktował się z nami jeden z czytelników, który chciał sprzedać swój samochód. O pomoc w tej kwestii poprosił jednego z członków rodziny, który - korzystając z własnego konta użytkownika - dodał ogłoszenie do popularnego serwisu otomoto.
Po kilku dniach od ukazania się anonsu sprzedający otrzymał smsa następującej treści: "Konto zostalo zawieszone. Powod: Zadluzony rachunek. Ogloszenia nie sa dluzej widoczne w serwisie". Do wiadomości dołączony był też link, którego - na całe szczęście - adresat nie otworzył...
Jego czujność wzbudził fakt, że informacja przekazana została telefonicznie, a nie mailowo, do administratora konta. Co więcej, nie było żadnych zaległości w płatnościach.
Weryfikacja nie była trudna. Wystarczyło sprawdzić czy ogłoszenie rzeczywiście zostało zablokowane. Problem w tym, że otrzymany link był bardzo wiarygodny (poprzedzał go skrót https) co mogłoby wskazywać, że nadawcą rzeczywiście jest serwis ogłoszeniowy.
Jak poinformował nas Łukasz Borowicz - PR Manager Otomoto.pl - "sprawa ma wszelkie znamiona phishingu, czyli próby zdobycia różnego rodzaju danych w sposób niezgodny z prawem i wykonany przez osoby, podmioty lub organizacje zewnętrzne. W przypadku zgłoszeń tego typu ataków uruchamiamy procedurę, która polega na zgłoszeniu sprawy do działu bezpieczeństwa, a ten przekazuje ją do odpowiednich organów ścigania, co skutkuje też natychmiastowym zablokowaniem adresów podejmujących próby wyłudzenia danych".
Z problemem phishingu mierzy się dziś bardzo wiele podmiotów, np. banki, poczta, czy firmy kurierskie. Oszuści bazują na ludzkiej nieuwadze, naiwności, braku ostrożności i często - po prostu - niewiedzy. Swoją wiarygodność budują na wykorzystywaniu ogólnodostępnych danych (jak np. numer telefonu czy adres e-mail) pozyskanych z serwisów, które aktualnie lub w niedalekiej przeszłości mogły być wykorzystywane przez ofiarę.
Po co oszuści podszywają się pod konkretne firmy i instytucje? Chodzi o wyłudzenie danych. Sposobów jest kilka. Uruchomienie otrzymanego w wiadomości linku skutkować może np. zainstalowaniem na naszym telefonie złośliwego oprogramowani szpiegującego (np. dane logowania do konta!) lub przeniesieniem nas do strony oferującej elektroniczne płatności. W tym celu oszuści tworzą całe serwisy łudząco podobne do "atakowanych" serwisów. Próba logowania kończy się wyłudzeniem loginów do kont czy informacji o kartach kredytowych...
Jak się zachować w przypadkach, gdy zostało się celem ataku phishingowego? "Przede wszystkim - nigdy nie klikać w podejrzany link udostępniony przez nadawcę. W dalszej kolejności sprawę warto zgłosić na policję i właśnie do serwisu, pod którego podejrzany nadawca się podszywa" - dodaje Borowicz. Podkreśla też że "otomoto nigdy nie komunikuje się z klientami za pośrednictwem wiadomości SMS, zwłaszcza w kwestiach związanych z płatnościami".
Paweł Rygas