Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Mama była tak zmanipulowana, że wierzyła bardziej tym złodziejom niż mi mojej siostrze, swojej sąsiadce czy komukolwiek innemu”. Historia scamu inwestycyjnego. 77 letnia pani Mariola straciła ~100 000 złotych.
Poniżej w skondensowany sposób zredagowana relacja syna, który przesłał do sekuraka garść detali o całej akcji-scamie (nota bene – sam schemat nie jest nowy – patrz np. tutaj historię pewnego pana, który stracił ~4mln złotych na fałszywej inwestycji)
Zaczęło się od „reklamy na Onecie” z tytułem: „Dochód gwarantowany: co kryje się za nową ustawą rządu Tuska?” (scam-reklama wykupiona w Google). Sama reklama wyglądała mniej więcej tak:
Po kliku w reklamę ofiara podała swoje podstawowe dane – między innymi nr telefonu, na który zadzwonili niebawem przestępcy. Zaproponowali „inwestycję w giełdę”, a całość miała się odbywać za pomocą platformy: webtrader[.]swisspay-ltd[.]trade. W ramach przygotowania do „inwestycji” pani Mariola zainstalowała również narzędzia do zdalnego dostępu na komputerze i telefonie
W ramach „testów platformy” atakujący poprosili ofiarę o kod blik (oraz jego autoryzację). Wykonali za tę kwotę zakład w pewnej polskiej firmie bukmacherskiej. Ale czy ofiara nie zorientowała się że to oszustwo? No więc na fejkowej platformie (patrz powyżej) widniała już stosowna kwota „zysków”…
Dalej było już tylko gorzej: wypłata 5x4000zł pieniędzy z bankomatu (ponownie blik), wniosek o kredyt „na laptopa za 39000zł”, przelew z karty kredytowej; za parę dni kolejne kody blik do wypłaty z bankomatu.
W międzyczasie udało się też atakującym zalogować na mObywatela (w tym przypadku zastrzeżenie PESELa nie zdałoby się na wiele… można je przecież w tym miejscu „ściągnąć”)
Atakujący używali również spoofingu GSM (po testowym oddzwonieniu zgłosił się człowiek, który całkiem autentycznie stwierdził, że to pomyłka).
Relacjonujący nam cały scam syn dodał jeszcze:
- „Mama była tak zmanipulowana, że wierzyła bardziej tym złodziejom niż mi mojej siostrze, swojej sąsiadce czy komukolwiek innemu”
- „Mama działała jak zahipnotyzowana, nie dało się jej przemówić do rozsądku, nie wierzyła, że jest oszukiwana, zabrałem jej telefon”
Na nagraniach rozmów, które posiada syn ofiary słychać tzw. „wschodnioakcentowców”…
✅ Zainstalujcie Waszym seniorom bloker reklam w przeglądarkach (np. uBlock origin)
✅ Uczulcie na tego typu scamy (bo metodą ochrony jest przede wszystkim wiedza o sposobach działania przestępców)
✅ Możecie im też zastrzec PESEL (ale to tylko ograniczy ryzyko)
Jeśli macie swoje pomysły, jak docierać z takimi tematami do seniorów – dajcie znać w komentarzu.
~ms
Ja nie wiem czy istnieje skuteczna ochrona, przed oszustem, w ogóle, niestety.
Z rodzicami mam 'układ’, że: ja się znam na komputerach i jak coś to mają się ze mną konsultować, troche działa bo czasem dzwonią z taką sprawą. Wspólnie wyznajemy też zasadę: w życiu nie ma mic za darmo → napewno czasem ucieknie nam jakaś promocja, ale za to chroni przed >90% scamu.
Gorzej jeśli chodzi o teściów xD, oni mimo że wiedzą że umiem w komputery, to pytają tylko gdy coś nie działa. Heh, może problem jest w tym że dziecko dla rodziców jest dumą, a zięć to zagrożenie/konkurent/wróg xD.
Polecam blokowanie reklam, choć wadą jest, że strony potrafią to wykrywać i łatwo instruują jak takie blokowanie wyłączyć dla konkretnej domeny, wtedy wracamy do punktu wyjścia. Ale w jakimś stopniu to napewno pomaga.
Inna sprawa że nabrać może się każdy, czytam o bezpieczeństwie a i tak nabrałem się na wpisanie hasła w okienko → akurat to był kontrolowany scam z działu IT w firmie w której pracuję; od tego czasu jestem jeszcze ostrożniejszy, wniosek taki, że warto robić takie scamowe testy w firmach, a może nawet na własnej rodzinie. Hm.. może warto rozesłać wszystkim swoim bliskim SMS: „potrzebuję kasy bo wypadek, przelej na konto 01234567 XXX zł, szypko szypko” i podsumować akcję przy rodzinnym stole.
@Roman
Różnica nie zależy od tego czy senior jest rodzicem czy teściem, tylko jak duży ma opór przed nową wiedzą, przekonanie że wszystko wie, i ambicję żeby przyszpanować przed rodziną/znajomymi ;) U mnie akurat jedno z własnych rodziców jest najcięższym przypadkiem :D
(aż się boję czy nie odziedziczyłem tych skłonności)
Z testami na rodzinie bym uważał, bo wzmagają znacznie podejrzliwość – ale nie do obcych tylko do Ciebie. Na moich zadziałałoby opowiedzenie jak się nabrałem na test awareness z pracy, a także że ktoś z moich albo ich znajomych się nabrał. Wiesz, ta ambicja żeby pokazać że oni się nie dadzą.
Istnieje i nazywa się działający mózg. Oszuści żerują na ludziach chciwych i zdesperowanych. Wystarczy pamiętać że nikt ci w życiu za darmo nic nie da (nawet w łeb za darmo już nie dają), i wtedy się nie nabierzesz na bajeczki o księciu z Nigerii albo pozostawionych kosztownościach na lotnisku.
Prewencyjnie starszych rodziców można trochę ubezwłasnowolnić na „kąkuterze”. Ublock origin z pełną listą, plus jeszcze dodać swoje filtry. Zablokować np ściąganie plików wykonywalnych (moje filtry i *.exe.
Wyłączyć blika, kartę kredytową.
Można też zostawić stary laptop do płacenia na allegro, w sklepach internetowych czy do przelewów w banku.
Na smartfonie sam nie używam bankowości elektronicznej i nie czuję że coś tracę z tego tytułu a wręcz przeciwnie bo potencjalnie jest większa szansa że ktoś z mojej rodziny by się naciął. Wszystkiego człowiek nie upilnuje u starszych rodziców to trzeba dać wolność jak dzieciom. Trochę się zmieniają role, ty się martwisz i dbasz. U mnie np. mama ma osobny komputer(stary laptop) do płatności elektronicznej. Sama robi opłaty za meda, kupuje w sklepie internetowym, allegro itp. Nie skarży się, że na szpiegusiu blik nie chodzi, czy inny wynalazek.
To co robi google dla bezpieczeństwa to jakiś żart
– nie weryfikują reklam w żaden sposób, olewają zgloszenia i kombinują jak ograniczyć działanie adblocków.
Taki przykład – w chromie mobilnym powiadomienia stron są domyślnie włączone. Moja mama straciła przez to 20 złotych, bo jej przez jedno nieopatrzne kliknięcie przychodziły jej powiadomienia, że ma masę wirusów, i może się ich pozbyć wysyłając SMS. Teraz jest uważniejsza, ale nie ma gwarancji, że znowu korporacja nie postawi reklamodawców nad userami przy projektowaniu aplikacji.
Nie tylko Google. Tak samo jest na Onetach. A Facebook, to w ogóle temat-rzeka. Kasa na pierwszym miejscu i tyle.
Ublock’a nie zainstalujesz na telefon.
Kiwi browser na bazie chrome z wrtyczkami. Normalnie zainstalujesz ubclock orygin, polecam 🦙😄
Na Firefoxie na Androida można zainstalować
Facebook i Instagram to obecnie największa wylęgarnia takich scamów. Zgłaszanie ich nic nie daje – FB odrzuca zgłoszenie z automatu a ponowna weryfikacja także przechodzi pozytywnie. Aż dziwne że UOKiK nic z tym nie robi…
Osobne urządzenie tylko do płatności (jak pisze @skodanawoda) jest bardzo dobrym pomysłem. Zmusza użytkownika do pomyślenia i ma szansę przerwać „zahipnotyzowanie” go przez atakującego. Widziałem takie stany że użytkownik jest jak w transie i zatrzymuje go dopiero przeszkoda nieprzewidziana przez atakującego. Ograniczenie reklam – bardzo ważne. Osoby nieobeznane z serwisami internetowymi często nie umieją odróznić co jest komunikacją co reklamą, oraz jaki komunikat jest z jakiej aplikacji (sms czy komunikator, który komunikator), często nie wywołują apki przez ikonę tylko wchodzą z powiadomień.
@Dorian
Nie do końca jest tak że UOKiK (albo policja) „nic z tym nie robi”. Po prostu po drugiej stronie tych scamów też nie siedzą idioci, tylko są zorganizowane struktury aktywnie unikające namierzenia i wędrujące po różnych ścieżkach ataku i łańcuchach dostaw reklam, podszywające się pod legalne podmioty i tak dalej. Czasami potrzeba wiele miesięcy żeby rozpracować daną siatkę i zablokować używane przez nią drogi. A niestety dla ofiary wystarczy kilkanaście minut żeby zostać oszukanym i okradzionym.