Raport międzynarodowego śledztwa dziennikarzy znajduje się przed waszymi oczami

W gnieździe sieciowej mafii

Zarobki internetowego oszusta: 3 200 000 zł. Raport CHIP-a oparty na wypowiedziach aktywnych przestępców pokazuje, jak działają cyfrowi kryminaliści i w jaki sposób się przed nimi chronić.

Wszystko zaczęło się od wewnętrznego raportu eBaya, do którego dotarł kolega z redakcji niemieckiej. Szkody powstałe w wyniku fałszywych aukcji na tamtejszym eBayu idą w miliony złotych (wszystkie waluty z lokalnych raportów przeliczamy na złotówki). Według ekspertyzy mózgi grupy aukcyjnych naciągaczy przebywają w Rumunii. Ich mafia jest zorganizowana jak firma, z załogą ponad 100 członków, z reguły w wieku od 18 do 30 lat. Wśród nich są szefowie organizujący proceder, rzemieślnicy umieszczający aukcje w Sieci i kontaktujący się z ofiarami, a także programiści tworzący strony fikcyjnych firm, mające upewnić kupujących co do autentyczności ofert. Są też ludzie słupy, czyli przypadkowe osoby odbierające pieniądze w punktach Western Union. Słupy są rozsiane po całej Europie, co utrudnia ściganie wyżej postawionych członków mafii.

Zaczynając do przechwyconego raportu, międzynarodowa ekipa CHIP-a sprawdziła, jak internetowa mafia oczyszcza konta, kradnie tożsamości i zarabia na oszustwach. Podpowiadamy też, jak się przed tym bronić.

Kraje z których uderzają hakerzy

Kraje z których uderzają hakerzy

Wyłudzanie na eBay: szybka kasa dla ubogich

Rumuńskie miasteczko Dragasani, cztery godziny jazdy od Bukaresztu, liczy 20 708 mieszkańców. Około 10% z nich zarabia na życie, wyłudzając pieniądze na aukcjach internetowych. Przeciętna pensja w regionie wynosiła dwa lata temu 930 zł, ale mimo to po ulicach śmigają nowoczesne audi, jaguary i bmw. Wielu ludzi dostrzegło, że na wirtualnych oszustwach można zarobić prawdziwe pieniądze – to, co kiedyś robili nieliczni, dziś odbywa się na masową skalę.

Michał P. mieszka wraz z rodzicami w dwupokojowym mieszkaniu w Dragasani. Dla niewtajemniczonych Michaił P. to sympatyczny młody człowiek: 22 lata, krótkie włosy, przyjazny uśmiech. Jednak za tą niepozorną fasadą kryje się cyniczny oszust, który naciągnął 80 osób na niemieckim portalu eBay. Jego zarobek to aż 230  000 zł. A jednak w porównaniu z największymi sieciowymi przestępcami Michaił jest tylko drobnym złodziejaszkiem – inni wyciągają od internautów nawet 3 200 000 zł  miesięcznie! Jak na ironię, mimo że organy ścigania dobrze wiedzą, gdzie przebywają kryminaliści, udaje im się pociągnąć do odpowiedzialności jedynie mało znaczące płotki.

Kariera Michaiła P. zaczęła się od tego, że kiedyś wraz z kilkoma kolegami dla zabawy wystawił na aukcji parę telefonów, które sam chciałby mieć. Gdy dotarły pierwsze przelewy, Michaił nie posiadał się ze zdumienia, że ktoś zapłacił mu za sprzęt, którego nie miał. Jego oszustwo okazało się zyskowne. Za którymś razem na jednej aukcji sprzedał 20 nieistniejących smartfonów – zarobił 46 000 zł.

Mimo prostoty sposób Michaiła jest jedną z najczęściej stosowanych metod oszustwa na aukcjach eBay. W ofercie znajdują się fikcyjne towary, za które kupujący musi zapłacić z góry. Sprzedawca nie akceptuje jednak przelewu bankowego – taka operacja wymaga bowiem podania danych i numeru konta odbiorcy, co umożliwia jego odnalezienie. Przestępcy stawiają na przekazy Western Union – firmy umożliwiającej szybkie przesyłanie pieniędzy między jej oddziałami na całym świecie. Należność jest wpłacana i wypłacana w gotówce – ani kupujący, ani sprzedawca nie potrzebują kont.

Płatność przez Western Union przebiega następująco: wysyłający przekaz wypełnia odpowiedni formularz w filii Western Union, a następnie wraz z pieniędzmi przekazuje go pracownikowi, legitymując się swoim dowodem tożsamości. Potwierdzeniem dokonania wpłaty jest numer kontrolny przekazu (MTCN: Money Transfer Control Number). W ciągu kilku sekund gotówkę można odebrać w dowolnej filii Western Union na świecie za okazaniem dowodu tożsamości i po podaniu nazwiska nadawcy, kraju, w którym został wysłany przekaz, oraz wysokości kwoty. Oszuści odbierają pieniądze, posługując się fałszywymi dokumentami i numerami MTCN podanymi przez łatwowiernych klientów – i w ten sposób pozostają całkowicie anonimowi. W wielu przypadkach weryfikacja tożsamości jest fikcją, kasjerzy Western Union bowiem są opłacani przez przestępców. Prawdopodobieństwo takiej sytuacji jest wysokie, gdyż w rankingu organizacji Transparency International Rumunia zajmuje 71. miejsce na świecie pod względem poziomu korupcji. Pojawia się również regularnie w pierwszej dziesiątce listy krajów o najwyższym udziale w przestępczości elektronicznej przygotowywanej przez FBI.

Jednym z powodów małej skuteczności organów ścigania w walce z rumuńskimi kryminalistami jest również lokalne prawo. Według niego poszkodowany musi osobiście zeznawać przed sądem. Jednak nawet jeśli do tego dojdzie, ukarane zostają jedynie słupy – ich mocodawcy pozostają bezkarni.

Michał Kołodziejczyk, adwokat z warszawskiej kancelarii KKR

Michał Kołodziejczyk, adwokat z warszawskiej kancelarii KKR

Michał Kołodziejczyk
adwokat z warszawskiej
kancelarii KKR www.kkr.com.pl
„Pieniądze utracone w wyniku phishingu można odzyskać”

Kiedy umowy zawarte przez Internet są prawnie wiążące?
Umowy zawierane przez Sieć rządzą się takimi samymi prawami, jak zwykłe transakcje w świecie rzeczywistym. W szczególności zamówienia dokonywane w Internecie są dla kupującego wiążące. Klienta chroni prawo do zwrotu towaru lub wycofania się z umowy – od umowy zawartej przez sieć można odstąpić drogą pisemną w ciągu 10 dni.

W jaki sposób mogę odzyskać pieniądze w sytuacji, gdy zapłaciłem za towar z góry i nie otrzymałem go?
Jeżeli sprzedający nie dostarcza zamówionego i opłaconego towaru, najpierw wyślijmy ponaglenie, najlepiej faksem, pocztą elektroniczną lub listem poleconym. Ponaglenie musi określać ostateczny termin dostawy – z reguły wynosi 14 dni. Jeśli po upływie tego czasu nadal nie mamy towaru, możemy odstąpić od umowy i domagać się zwrotu pieniędzy. W przypadku gdy sprzedający nie zapłaci, rozważmy wstąpienie na drogę sądową.

W jakich sytuacjach i w jaki sposób można cofnąć wykonany wcześniej przelew?
Zasadniczo nie ma możliwości cofnięcia raz zatwierdzonego polecenia przelewu. Niezależnie od tego, czy wykonaliśmy przelew przez nieuwagę lub w wyniku oszustwa, czy też chcemy odzyskać pieniądze za towar, którego nie dostaliśmy, jesteśmy zdani na odbiorcę przelewu. Co prawda banki mogą podjąć próbę wstrzymania przesłania środków, zanim zostaną one zaksięgowane na koncie docelowym, ale dzisiejsze zautomatyzowane systemy bankowe pozostawiają na to naprawdę niewiele czasu – zwykle przelew dociera do celu bardzo szybko.

A jeśli odbiorca przelewu mieszka zagranicą?
Przelewów zagranicznych, podobnie jak krajowych, nie da się wycofać. Podczas zakupów w Sieci – zwłaszcza od sprzedawców spoza UE – często korzysta się z systemów płatności internetowych, takich jak PayPal utworzony przez eBaya. Niektóre z nich chronią kupującego, umożliwiając wycofanie już wykonanego przelewu, jeżeli towar nie dotrze do adresata. Jeśli nie mamy takiej możliwości, jesteśmy na łasce sprzedającego, gdyż potencjalne koszty prowadzenia procesu cywilnego zagranicą najczęściej znacznie przekraczają wielkość spornej kwoty.

Gdzie mogę złożyć doniesienie, jeżeli moje internetowe zakupy zagranicą nie przebiegły zgodnie z planem?
Doniesienia dotyczące zakupów internetowych w kraju i za granicą można składać na każdym posterunku policji oraz w prokuraturach. Krajowi urzędnicy przekażą informacje zagranicznym organom ścigania.

Podałem dane logowania do mojego konta na sfałszowanej stronie banku i moje pieniądze zostały ukradzione. Co mogę zrobić?
Jeżeli klient nie dopełnił należytej staranności w obchodzeniu się ze swoimi poufnymi danymi i udostępnił je przestępcom, to on ponosi odpowiedzialność za szkody. Na niekorzyść klienta działają niedostateczna ochrona danych dostępowych (mająca przykładowo postać niedbałości przy sprawdzaniu, czy loguje się na autentycznej stronie banku) oraz brak aktualnego oprogramowania antywirusowego na jego komputerze. Oczywiście, można podjąć próbę wykazania przyczynienia się banku do powstania szkody, jednak jeżeli system naszego banku wykorzystuje nowoczesne, uchodzące za bezpieczne metody autoryzacji (token, autoryzacja przez kod wysyłany SMS-em), sąd zakwalifikuje to na jego korzyść, uznając, że klient jest wyłącznie winny, gdyż albo osobiście zatwierdził transakcję, albo udostępnił przestępcom kod autoryzujący.  Niemniej każdy przypadek wymaga odrębnej szczegółowej analizy.

Schemat działania sieciowej mafii

Schemat działania sieciowej mafii

Wyłudzanie na wynajmie: fałszywy pośrednik

Szybka kasa w Internecie pochodzi nie tylko z oszukańczych aukcji. Wiele osób nie zdaje sobie sprawy, że naciągaczy równie łatwo spotkać także w mniej przewidywalnych miejscach, np. na portalach z ofertami wynajmu nieruchomości. Schemat jest dość banalny: oszust podaje się za właściciela mieszkania, którego w rzeczywistości nie ma, i w ten sposób wyciąga pieniądze od naiwnych najemców.

Wiele takich przypadków ma miejsce w Warszawie. Na jednym z dużych portali z ogłoszeniami z rynku nieruchomości można znaleźć dziesiątki tysięcy ofert sprzedaży lub wynajmu mieszkań i domów. Między uczciwymi ogłoszeniami swoje macki zapuścili również oszuści. Szczególnie ostrożnie należy podchodzić do najbardziej atrakcyjnych propozycji – to często sidła na naiwniaków. Szybko znaleźliśmy tego rodzaju ofertę: 2200 zł za 140-metrowy apartament w centrum Warszawy. Są nawet fotografie wnętrza oraz polski adres emailowy w serwisie Hotmail. Brakuje za to innej możliwości kontaktu, np. numeru telefonu.

Piszemy wiadomość na podany adres, chcąc umówić się na spotkanie. Odpowiedź przychodzi już 24 minuty później – z Budapesztu. Osoba słabo władająca językiem polskim informuje nas w emailu, że musiała wyjechać na Węgry w sprawach zawodowych i przekazała sprawę wynajęcia mieszkania pośrednikowi. To on ma zadbać o przebieg transakcji. Jeżeli nadal jesteśmy zainteresowani, mamy szybko dać odpowiedź – ostatecznie tak doskonała oferta nie trafia się codziennie. Też tak sądzimy, bezzwłocznie więc dopytujemy się o szczegóły.

W ciągu 13 minut w naszej skrzynce pojawia się kolejny email z dokładnym opisem postępowania. Droga do mieszkania marzeń prowadzi przez serwis rent.com. Strona nie tylko działa, ale nawet jest legalna – to amerykański potentat w wynajmie apartamentów na całym świecie. Klucze wraz z gotową do podpisu umową najmu są już u operatora portalu. Jeżeli chcielibyśmy najpierw obejrzeć lokal, musimy zapłacić serwisowi rent.com kaucję w wysokości miesięcznego czynszu, a klucze dostaniemy pocztą. Po zobaczeniu mieszkania możemy albo odesłać klucze i otrzymać przelewem zwrot kaucji, albo podpisać umowę najmu. Ponieważ poza nami jest wielu chętnych na mieszkanie, musimy się pospieszyć – upomina właścicielka. Udajemy, że chcemy dobić targu. Po chwili dostajemy od serwisu rent.com polecenie dokonania przelewu: 2200 zł zaliczki mamy wysłać przez Western Union na Węgry.

Najpóźniej w tej chwili w naszych głowach powinny zadziałać dzwonki alarmowe – przecież nie ma żadnego powodu, aby pośrednik miał korzystać z usług Western Union. Poza tym wysyłane pieniądze wcale nie miałyby trafić do amerykańskiej firmy, która na pewno chętniej używałaby własnego systemu płatności PayPal. Mimo to wiadomość od rent.com wygląda autentycznie i poważnie. Wszystko jest na swoim miejscu: logi, wskazówki dotyczące bezpieczeństwa, a nawet reklama firmy zajmującej się przeprowadzkami. Dopiero rzut oka na adres nadawcy budzi podejrzenia: [email protected] Adres należy do firmy World Media Group z siedzibą w amerykańskim stanie New Jersey, która nie ma nic wspólnego z witryną rent.com.

Pieniądze trafiłyby bezpośrednio na Węgry, do rzekomej właścicielki. Nie wysyłamy gotówki, ale piszemy, że tydzień później wybieramy się w sprawach służbowych do Budapesztu i proponujemy spotkanie – podany przez właścicielkę adres jest w sąsiedztwie naszego hotelu. Nagle z Sieci znika oferta wynajmu, a adres email zostaje zablokowany – wygląda na to, że osoba podająca się za właścicielkę nie ma już ochoty robić z nami interesów.

Można jedynie szacować, jak duży jest udział fałszywych ofert na portalach ogłoszeniowych. Według naszych informatorów zbliża się do 10%. Szukając mieszkania w Internecie, zwracajmy więc baczną uwagę na szczegóły oferty i podchodźmy sceptycznie do zbyt atrakcyjnych propozycji. Pamiętajmy, że pośrednicy nie korzystają z Western Union. Zamiast wysyłać pieniądze, żądajmy spotkania z właścicielem lub agentem.

Anonimowy bank. Z przesyłania pieniędzy przez firmy pośredniczące, co zapewnia anonimowość, korzysta wielu naciągaczy.

Anonimowy bank. Z przesyłania pieniędzy przez firmy pośredniczące, co zapewnia anonimowość, korzysta wielu naciągaczy.

Dane bankowe: sposób „na umarlaka”

Za pomocą prostych trików kryminaliści kradną tożsamość internautów, pozyskują dane dostępowe do ich kont, a następnie pozbawiają ich oszczędności. Wiadomości phishingowe skłaniają nieświadomych klientów banków do ujawniania loginów i haseł oraz innych poufnych danych. Choć brzmi to niewiarygodnie, takie informacje można po prostu kupić w Sieci na stronach takich jak DarkMarket. Na tym internetowym czarnym rynku handel tożsamościami i danymi bankowymi kwitł w najlepsze. Wartość dostępnych tam danych sięgała ponad 200 mln zł. Ponad 2500 zarejestrowanych na stronie przestępców wymieniało, kupowało i sprzedawało poufne informacje. Żaden z nich nie wiedział jednak, że serwis DarkMarket działał na tajnym serwerze FBI i był częścią dwuletniej operacji przeciwko cyfrowym kryminalistom prowadzonej przez Amerykanów we współpracy z organami ścigania państw europejskich. W ciągu ostatnich miesięcy administratorem strony DarkMarket był zakonspirowany agent FBI ukryty pod kryptonimem „Master Splyntr”. Obecnie strona zniknęła z Sieci, a internetowi przestępcy trafili za kratki.

Nie była to jednak jedyna strona umożliwiająca kryminalistom upłynnianie cyfrowych łupów. Redaktor śledczy z rosyjskiego CHIP-a pokazał nam aktywne portale, na których oferowano dane kart kredytowych i informacje osobiste. Przykładowo pakiet pięciu kart z limitami ponad 4000 zł kosztuje zaledwie 1800 zł. W sprzedaży są nawet kompletne dane logowania do kont dostępnych przez Internet. W ramce obok znajdziemy wskazówki pozwalające obliczyć, ile warta jest nasza tożsamość.

Największym źródłem informacji dla oszustów pozostaje phishing oraz fałszywe strony banków. Statystycznie 5% adresatów uczciwie odpowiada na spreparowane wiadomości wzywające do podania danych logowania do konta. Nowe techniki autoryzacji, takie jak potwierdzanie przelewu SMS-em czy tokenem, uniemożliwiają jednak przestępcom przesyłanie środków na inne konta. Z tego powodu opracowali oni inne, skuteczniejsze metody.

Znając dane logowania do serwisów niektórych banków, można czasami złożyć wniosek o wydanie nowej karty debetowej i kodu PIN. Są one w ciągu kilku dni przesyłane na adres właściciela konta. Zmiana adresu często wymaga jednak autoryzacji jednorazowym kodem. Ponieważ złodzieje go nie mają, uciekają się do sztuczki pozwalającej mimo to przejąć kartę: pocztowego polecenia przekierowania. W np. Rosji za około 60 zł można przez Internet poprosić o przekierowanie przesyłek przychodzących na dany adres w zupełnie inne miejsce. Jako powód kryminaliści podają śmierć adresata. W ten sposób kilka dni później nowa karta wraz z działającym numerem PIN trafiają do skrzynki w jakimś pustostanie. Za pomocą karty przestępcy podejmują środki w bankomacie.

Co gorsza, bank wcale nie musi zwrócić nam utraconych pieniędzy – przecież zostały one wypłacone za pomocą pomocy oryginalnej karty i poprawnego kodu PIN. W takiej sytuacji instytucje finansowe mogą powołać się na klauzulę o niedbałości klienta zawartą w umowie. Mimo to możemy jednak liczyć na zadośćuczynienie, gdyż banki często decydują się pokryć szkody z powodów wizerunkowych. Większość z nich stara się unikać negatywnego rozgłosu, jaki mogłyby spowodować tego rodzaju przypadki, tym bardziej że są one bezpośrednią konsekwencją luk w systemach zabezpieczeń.

Ochrona przed takimi przestępczymi sztuczkami polega przede wszystkim na nieujawnianiu danych osobistych. Emaile wzywające do podania danych logowania czy kodu PIN na stronie internetowej to zawsze spam. Żaden bank nigdy by tego od nas nie wymagał. Najprościej uniknąć niebezpieczeństwa, nie wchodząc na stronę banku przez link czy zakładkę, ale tylko wpisując adres ręcznie. Jeśli już raz wpadniemy w ręce złodziei, trudno uniknąć strat. Przykładowo nakaz przekierowania przesyłek można usunąć, tylko znając kod zlecenia. Sprawdzajmy więc regularnie nasze konto bankowości online, by wykryć nieautoryzowane przelewy i transakcje. W razie wątpliwości kontaktujmy się z bankiem.

Kolejny trend w sieciowej przestępczości to żerowanie na strachu internautów. Cyberkryminaliści wykorzystują fakt, że użytkownicy są coraz ostrożniejsi i stosują coraz więcej środków przeciwko wirusom i innym zagrożeniom.

Dane logowania. Hakerzy sprzedają w sieci dane logowania do serwisów aukcyjnych i systemów płatności.

Dane logowania. Hakerzy sprzedają w sieci dane logowania do serwisów aukcyjnych i systemów płatności.

Aktualny trend: kradzieże tożsamości w Sieci
Kryminaliści pozyskują cudze dane personalne i, podszywając się pod nieświadomych internautów, popełniają przestępstwa. Otwierają konta używane do prania pieniędzy, robią zakupy na aukcjach i używają kart kredytowych swoich ofiar, aby opłacić życie w luksusie.

Tyle jest warta twoja tożsamość
Nazwisko i pełen adres każdego z nas jest wart nadspodziewanie dużo. Identity Calculator firmy Kaspersky pozwala dokładnie obliczyć tę wartość. Najwyższy zarobek daje kradzież danych kart kredytowych, ale również loginy i hasła do serwisów społecznościowych nie są bezwartościowe. Przeciętnie każdy Polak „wart” jest wart 560 zł.

Fałszywe wirusy: zdradziecka ochrona przed szkodnikami

Programy typu rogueware symulują na komputerze ofiary zakażenie poważnym wirusem, który da się usunąć wyłącznie po zainstalowaniu pełnej wersji narzędzia – oczywiście kosztującej grube pieniądze. Naciągacze są przy tym niezwykle skuteczni – 93% ofiar dobrowolnie ściąga fałszywe programy antywirusowe. Niepewnych mają przekonać do zakupu pracownicy działających infolinii wsparcia technicznego. W rzeczywistości twórcy tego rodzaju programów często pochodzą z Rosji i trudno pociągnąć ich do odpowiedzialności. O tym, jak skutecznie pozbyć się rogueware’u, pisaliśmy w artykule „Zdradliwe antywirusy”.

Poza dochodami ze sprzedaży fałszywych programów antywirusowych oszuści zarabiają też na stronach, gdzie można kupić ich produkty. Przykładowo TrafficConverter, witryna zajmująca się dystrybucją fałszywego oprogramowania, daje zarobić dziesięciu najaktywniejszym klientom średnio po 68 000 zł tygodniowo. W rzeczywistości są to przestępcy, którym uda się przemycić fałszywy program do jak największej liczby komputerów.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.