Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

„Mama była tak zmanipulowana, że wierzyła bardziej tym złodziejom niż mi mojej siostrze, swojej sąsiadce czy komukolwiek innemu”. Historia scamu inwestycyjnego. 77 letnia pani Mariola straciła ~100 000 złotych.

23 lipca 2024, 11:38 | W biegu | komentarzy 11

Poniżej w skondensowany sposób zredagowana relacja syna, który przesłał do sekuraka garść detali o całej akcji-scamie (nota bene – sam schemat nie jest nowy – patrz np. tutaj historię pewnego pana, który stracił ~4mln złotych na fałszywej inwestycji)

Zaczęło się od „reklamy na Onecie” z tytułem: „Dochód gwarantowany: co kryje się za nową ustawą rządu Tuska?” (scam-reklama wykupiona w Google). Sama reklama wyglądała mniej więcej tak:

Scam reklama

Po kliku w reklamę ofiara podała swoje podstawowe dane – między innymi nr telefonu, na który zadzwonili niebawem przestępcy. Zaproponowali „inwestycję w giełdę”, a całość miała się odbywać za pomocą platformy: webtrader[.]swisspay-ltd[.]trade. W ramach przygotowania do „inwestycji” pani Mariola zainstalowała również narzędzia do zdalnego dostępu na komputerze i telefonie

W ramach „testów platformy” atakujący poprosili ofiarę o kod blik (oraz jego autoryzację). Wykonali za tę kwotę zakład w pewnej polskiej firmie bukmacherskiej. Ale czy ofiara nie zorientowała się że to oszustwo? No więc na fejkowej platformie (patrz powyżej) widniała już stosowna kwota „zysków”…

Dalej było już tylko gorzej: wypłata 5x4000zł pieniędzy z bankomatu (ponownie blik), wniosek o kredyt „na laptopa za 39000zł”, przelew z karty kredytowej; za parę dni kolejne kody blik do wypłaty z bankomatu.

W międzyczasie udało się też atakującym zalogować na mObywatela (w tym przypadku zastrzeżenie PESELa nie zdałoby się na wiele… można je przecież w tym miejscu „ściągnąć”)

Atakujący używali również spoofingu GSM (po testowym oddzwonieniu zgłosił się człowiek, który całkiem autentycznie stwierdził, że to pomyłka).

Relacjonujący nam cały scam syn dodał jeszcze:

  • „Mama była tak zmanipulowana, że wierzyła bardziej tym złodziejom niż mi mojej siostrze, swojej sąsiadce czy komukolwiek innemu”
  • „Mama działała jak zahipnotyzowana, nie dało się jej przemówić do rozsądku, nie wierzyła, że jest oszukiwana, zabrałem jej telefon”

Na nagraniach rozmów, które posiada syn ofiary słychać tzw. „wschodnioakcentowców”

✅ Zainstalujcie Waszym seniorom bloker reklam w przeglądarkach (np. uBlock origin)
✅ Uczulcie na tego typu scamy (bo metodą ochrony jest przede wszystkim wiedza o sposobach działania przestępców)
✅ Możecie im też zastrzec PESEL (ale to tylko ograniczy ryzyko)

Jeśli macie swoje pomysły, jak docierać z takimi tematami do seniorów – dajcie znać w komentarzu.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Roman

    Ja nie wiem czy istnieje skuteczna ochrona, przed oszustem, w ogóle, niestety.

    Z rodzicami mam 'układ’, że: ja się znam na komputerach i jak coś to mają się ze mną konsultować, troche działa bo czasem dzwonią z taką sprawą. Wspólnie wyznajemy też zasadę: w życiu nie ma mic za darmo → napewno czasem ucieknie nam jakaś promocja, ale za to chroni przed >90% scamu.

    Gorzej jeśli chodzi o teściów xD, oni mimo że wiedzą że umiem w komputery, to pytają tylko gdy coś nie działa. Heh, może problem jest w tym że dziecko dla rodziców jest dumą, a zięć to zagrożenie/konkurent/wróg xD.

    Polecam blokowanie reklam, choć wadą jest, że strony potrafią to wykrywać i łatwo instruują jak takie blokowanie wyłączyć dla konkretnej domeny, wtedy wracamy do punktu wyjścia. Ale w jakimś stopniu to napewno pomaga.

    Inna sprawa że nabrać może się każdy, czytam o bezpieczeństwie a i tak nabrałem się na wpisanie hasła w okienko → akurat to był kontrolowany scam z działu IT w firmie w której pracuję; od tego czasu jestem jeszcze ostrożniejszy, wniosek taki, że warto robić takie scamowe testy w firmach, a może nawet na własnej rodzinie. Hm.. może warto rozesłać wszystkim swoim bliskim SMS: „potrzebuję kasy bo wypadek, przelej na konto 01234567 XXX zł, szypko szypko” i podsumować akcję przy rodzinnym stole.

    Odpowiedz
    • wk

      @Roman

      Różnica nie zależy od tego czy senior jest rodzicem czy teściem, tylko jak duży ma opór przed nową wiedzą, przekonanie że wszystko wie, i ambicję żeby przyszpanować przed rodziną/znajomymi ;) U mnie akurat jedno z własnych rodziców jest najcięższym przypadkiem :D
      (aż się boję czy nie odziedziczyłem tych skłonności)
      Z testami na rodzinie bym uważał, bo wzmagają znacznie podejrzliwość – ale nie do obcych tylko do Ciebie. Na moich zadziałałoby opowiedzenie jak się nabrałem na test awareness z pracy, a także że ktoś z moich albo ich znajomych się nabrał. Wiesz, ta ambicja żeby pokazać że oni się nie dadzą.

      Odpowiedz
    • SuperTux

      Istnieje i nazywa się działający mózg. Oszuści żerują na ludziach chciwych i zdesperowanych. Wystarczy pamiętać że nikt ci w życiu za darmo nic nie da (nawet w łeb za darmo już nie dają), i wtedy się nie nabierzesz na bajeczki o księciu z Nigerii albo pozostawionych kosztownościach na lotnisku.

      Odpowiedz
  2. skodanawoda

    Prewencyjnie starszych rodziców można trochę ubezwłasnowolnić na „kąkuterze”. Ublock origin z pełną listą, plus jeszcze dodać swoje filtry. Zablokować np ściąganie plików wykonywalnych (moje filtry i *.exe.
    Wyłączyć blika, kartę kredytową.
    Można też zostawić stary laptop do płacenia na allegro, w sklepach internetowych czy do przelewów w banku.
    Na smartfonie sam nie używam bankowości elektronicznej i nie czuję że coś tracę z tego tytułu a wręcz przeciwnie bo potencjalnie jest większa szansa że ktoś z mojej rodziny by się naciął. Wszystkiego człowiek nie upilnuje u starszych rodziców to trzeba dać wolność jak dzieciom. Trochę się zmieniają role, ty się martwisz i dbasz. U mnie np. mama ma osobny komputer(stary laptop) do płatności elektronicznej. Sama robi opłaty za meda, kupuje w sklepie internetowym, allegro itp. Nie skarży się, że na szpiegusiu blik nie chodzi, czy inny wynalazek.

    Odpowiedz
  3. mg

    To co robi google dla bezpieczeństwa to jakiś żart
    – nie weryfikują reklam w żaden sposób, olewają zgloszenia i kombinują jak ograniczyć działanie adblocków.
    Taki przykład – w chromie mobilnym powiadomienia stron są domyślnie włączone. Moja mama straciła przez to 20 złotych, bo jej przez jedno nieopatrzne kliknięcie przychodziły jej powiadomienia, że ma masę wirusów, i może się ich pozbyć wysyłając SMS. Teraz jest uważniejsza, ale nie ma gwarancji, że znowu korporacja nie postawi reklamodawców nad userami przy projektowaniu aplikacji.

    Odpowiedz
    • dimer/majtser

      Nie tylko Google. Tak samo jest na Onetach. A Facebook, to w ogóle temat-rzeka. Kasa na pierwszym miejscu i tyle.

      Odpowiedz
  4. Vateusz

    Ublock’a nie zainstalujesz na telefon.

    Odpowiedz
    • Krzysiek

      Kiwi browser na bazie chrome z wrtyczkami. Normalnie zainstalujesz ubclock orygin, polecam 🦙😄

      Odpowiedz
    • Paweł

      Na Firefoxie na Androida można zainstalować

      Odpowiedz
  5. Facebook i Instagram to obecnie największa wylęgarnia takich scamów. Zgłaszanie ich nic nie daje – FB odrzuca zgłoszenie z automatu a ponowna weryfikacja także przechodzi pozytywnie. Aż dziwne że UOKiK nic z tym nie robi…

    Odpowiedz
  6. wk

    Osobne urządzenie tylko do płatności (jak pisze @skodanawoda) jest bardzo dobrym pomysłem. Zmusza użytkownika do pomyślenia i ma szansę przerwać „zahipnotyzowanie” go przez atakującego. Widziałem takie stany że użytkownik jest jak w transie i zatrzymuje go dopiero przeszkoda nieprzewidziana przez atakującego. Ograniczenie reklam – bardzo ważne. Osoby nieobeznane z serwisami internetowymi często nie umieją odróznić co jest komunikacją co reklamą, oraz jaki komunikat jest z jakiej aplikacji (sms czy komunikator, który komunikator), często nie wywołują apki przez ikonę tylko wchodzą z powiadomień.

    @Dorian
    Nie do końca jest tak że UOKiK (albo policja) „nic z tym nie robi”. Po prostu po drugiej stronie tych scamów też nie siedzą idioci, tylko są zorganizowane struktury aktywnie unikające namierzenia i wędrujące po różnych ścieżkach ataku i łańcuchach dostaw reklam, podszywające się pod legalne podmioty i tak dalej. Czasami potrzeba wiele miesięcy żeby rozpracować daną siatkę i zablokować używane przez nią drogi. A niestety dla ofiary wystarczy kilkanaście minut żeby zostać oszukanym i okradzionym.

    Odpowiedz

Odpowiedz