Prokuratura Krajowa, Komenda Główna Policji, Urząd Ochrony Konkurencji i Konsumentów, Europejskie Centrum Konsumenckie i FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP – wszystkie te instytucje podpisały się pod ostrzeżeniem przed fałszywymi stronami udającymi pośredników szybkich płatności. – To jest faktycznie poważny problem, którego zasięgu wciąż dokładnie nie znamy. Ale już z tego, co wiadomo, wyłania się obraz zorganizowanej akcji prowadzonej przez więcej niż jedną grupę przestępców – mówi nam Adam Haertle z Zaufanej Trzeciej Strony, specjalistycznego serwisu od dawna ostrzegającego przed tego typu wyłudzeniami. Wyłudzeniami, których skala wciąż rośnie.

Klucz do konta

Jak działają oszuści? Do ofiary trafia SMS. Wygląda jak zwykła wiadomość od kuriera, sklepu internetowego czy pośrednika płatności internetowej. A w nim prośba o dopłatę za przesyłkę, za zakup w e-sklepie albo za odblokowanie konta w serwisie zakupowym, z którego dawno się nie korzystało. Kwota nie jest wysoka – złotówka, dwie, może pięć. A czasem jak w SMS-ach, które rozchodziły się zimą tego roku, jeszcze mniej: „Twoje konto w serwisie OTOMOTO zostalo zablokowane. Oplac zalegle 0.76 PLN, by ponownie aktywowac ogloszenia” – brzmiała ich treść (pisownia oryginalna). Kwota jest tak niska, że uwaga odbiorcy zostaje uśpiona. Ofiara klika w link dołączony do SMS-a i przekierowywana jest na – wydającą się bezpieczną – znaną stronę: Dotpay, PayU czy Przelewy24. Dalej procedura wygląda „jak zwykle” – strona łączy się z bankiem właściciela konta, generuje wypełnioną płatność, a do użytkownika przychodzi SMS z kodem do potwierdzenia przelewu.

Oszukiwany wpisuje kod i zaczyna się dramat. Zamiast 0,76 PLN z konta może zniknąć kilkaset, kilka tysięcy lub nawet kilkadziesiąt tysięcy zł. – Link wysłany użytkownikowi prowadzi do fałszywej strony podszywającej się pod serwis z płatnościami on-line – tłumaczy Haertle. Ofiara jest przekierowywana na fałszywą stronę banku. Oczywiście nie wie o tym więc nieświadoma podaje login i hasło, które trafiają do złodzieja. Ten na prawdziwej stronie loguje się na konto ofiary i w jej imieniu zleca przelew. Ofierze wyświetla wtedy na fałszywej stronie prośbę o przepisanie kodu z SMSa, który jako uwierzytelnienie wysyła bank. Użytkownik, niestety często nie zwraca uwagi na treść SMS z prawdziwą kwota przelewu i przepisuje kod na fałszywej stronie. Kod trafia do złodzieja ten przepisuje go w prawdziwym elektronicznym koncie bankowym zatwierdzając przele

Zorganizowana przestępczość

Choć przestępstwo wydaje się na pierwszy rzut oka dosyć prostackie, a przepytywana przez nas policja i prokuratury nie mają statystyk tego typu oszustw, to, jak przekonują wspomniane na początku instytucje we wspólnym komunikacie: „Problem jest poważny – tylko w marcu odnotowano ponad 100 różnych stron udających pośredników płatności, używanych przez przestępców”.

– Problem jest i niestety narasta. Pierwsze tego typu zgłoszenia od ludzi dostaliśmy w 2016 r. Od tamtej pory regularnie co kilka tygodni czy miesięcy pojawiają się kolejne fale takich SMS-ów. Za każdym razem coraz bardziej udoskonalane, z lepszymi, bardziej przekonującymi chwytami socjotechnicznymi – tłumaczy Haertle. Jak informuje serwis Niebezpiecznik.pl, najnowsza fala to SMS-y straszące wysokimi opłatami za wykupienie prenumeraty jakiejś dziwnej usługi, np.: „Potwierdzamy uruchomienie usługi SMS Premium Daily Jokes. Koszt 30,75 zł dziennie. Rezygnacja na stronie...”

Jednak eksperci podkreślają, że nie tylko socjotechnika jest w tym procederze udoskonalana. Niestety, równie skutecznie rozwijany jest cały proces wyłudzeń. Składa się na niego naprawdę zaawansowany mechanizm, w ramach którego budowane są całe przestępcze siatki. – Liczba mnoga, bo dziś moim zdaniem jest ich co najmniej 4-5. Nie walczą ze sobą, ale konkurują. Po prostu jest tyle osób do oszukania, że nie muszą się zwalczać – ocenia Haertle. Według niego w każdej z tych grup jest osobny mózg procederu, który tworzy cały schemat. Wynajmuje usługę bramek SMS od firm, które pośredniczą z operatorami. Programuje oprogramowanie przechwytujące ruch użytkownika, przekierowujące go na fałszywą stronę z płatnościami i podmieniające kwotę przelewu. – Zatrudniają też ludzi odpowiedzialnych za pilnowanie ruchu, by gdy ofiara kliknie w link, błyskawicznie ją przejąć – opowiada Haertle. Ale to nie koniec. Dodatkowo zatrudniane są słupy. Czyli czasem nieświadome osoby, których zadaniem jest wypłacenie przelanych pieniędzy, a następnie przesłanie ich za pomocą kodu BLIK lub wpłaty na poczcie na kolejne konta. I tak kilka razy, by zatrzeć ścieżkę przepływu skradzionych pieniędzy.

W efekcie śledczy mają problem z namierzeniem tych grup, a poszkodowani – z odzyskiwaniem skradzionych środków.

1000 osób na godzinę

A problem staje się coraz większy. CERT Polska w NASK, czyli ośrodek szybkiego reagowania na incydenty komputerowe potwierdza, że w ocenie ich ekspertów to „jeden z poważniejszych tematów w ostatnich miesiącach”. – Zgłoszenia wpływają do nas z zewnątrz, od banków, czyli policji, ale też sami wychwytujemy nowe strony – mówi Przemysław Jaroszewski, kierownik CERT Polska, i podaje, że ubiegłym roku namierzono 180 domen z fałszywymi bramkami. Obserwacje te potwierdza raport CERT Orange Polska za 2018 r. Jak zauważają eksperci operatora, w ciągu całego poprzedniego roku występowały kolejne fale ataków tego typu. Luty: SMS-y podszywające się pod niezapłacone rachunki. Lipiec: klienci Neonetu otrzymali wiadomość SMS z promocją, ceny wszystkich towarów sklepu internetowego miały być rzekomo niższe o 30 proc. Skorzystanie z przeceny nie dotyczyło jednak oficjalnej strony Neo24.pl, ale przejętej przez cyberprzestępców witryny Mistrzostwa.neo24.pl. Listopad: CERT Orange Polska zidentyfikował złośliwe SMS-y z informacją o zwrocie nadpłaty skierowane do użytkowników sieci we Włoszech i Wielkiej Brytanii. Wystarczy tylko kliknąć w przesłany link i wypełnić formularz.

Jak wskazuje raport, największy zasięg mógł mieć atak na sklep internetowy Morele. Oszust, który miał dostęp do bazy danych, wysyłał do nowych klientów sklepu SMS-y o treści: „Wymagana dopłata do zamówienia: 1 PLN, opłać teraz: link”. Pod linkiem krył się fałszywy panel prawdziwego pośrednika płatności, DotPay. Coraz więcej tego typu oszustw widzi też Zaufana Trzecia Strona. Odnotowuje również coraz większą liczbę namierzanych fałszywych stron pośredników rozsyłających złośliwe SMS-y. W ciągu dwóch pierwszych lat od pojawienia się tego procederu było ich kilka, góra kilkanaście miesięcznie. W 2018 r. ich liczba wzrosła do 30-40 miesięcznie, a na początku tego roku eksplodowała. W styczniu i w lutym eksperci zanotowali po ponad 120 takich bramek. – Zwalczanie bramek SMS to podstawowa metoda, jaką stosujemy, by ochronić użytkowników. Blokujemy je jak najszybciej, by zasięg złośliwych SMS-ów był jak najmniejszy – mówi nam Robert Grabowski, szef CERT Orange Polska. A jak tłumaczy Grabowski, zasięgi bywają naprawdę spore. – W ciągu jednej godziny można wysłać SMS-y nawet do 600-1000 osób. Oczywiście, nie wszyscy nabierają się na takie oszustwa, ale i tak obrazuje to skalę problemu – dodaje szef CERT Orange.