W świecie cyfrowych zakupów, gdzie wygoda idzie w parze z szybkością transakcji, czai się nowe zagrożenie dla milionów polskich konsumentów. Eksperci ds. cyberbezpieczeństwa z CERT Orange Polska zidentyfikowali wyjątkowo wyrafinowaną kampanię przestępczą, której ofiarami mogą paść klienci największej platformy zakupowej w kraju.
Mechanizm nowego oszustwa jest niezwykle podstępny. Przestępcy wysyłają SMS-y z informacją o rzekomym anulowaniu zamówienia złożonego na popularnej platformie handlowej. Co szczególnie niepokojące, wiadomości te pochodzą ze zwykłych numerów telefonicznych przypisanych do polskiej strefy numeracyjnej, co dodatkowo uwiarygadnia przekaz w oczach potencjalnych ofiar.
Treść takich wiadomości zazwyczaj zawiera informację o anulowaniu zamówienia oraz instrukcję, jak postępować, aby rzekomo odzyskać swoje pieniądze. Przestępcy często umieszczają w tekście szczegóły dotyczące konkretnych produktów wraz z ich cenami, co ma na celu wywołanie u odbiorcy przekonania, że wiadomość faktycznie dotyczy jego zamówienia.
Kluczowym elementem tej cyberprzestępczej układanki jest skrócony adres URL umieszczony na końcu wiadomości. Link ten prowadzi na spreparowaną stronę internetową, która do złudzenia przypomina oficjalny portal znany milionom Polaków. Domena, na przykład taka jak 24-7.online-web-verification.cfd, została starannie zaprojektowana, by sprawiać wrażenie legalnej witryny obsługującej zwroty pieniędzy.
Po kliknięciu w link ofiara zostaje przeniesiona do pierwszego etapu pułapki. Na profesjonalnie wyglądającej stronie pojawia się formularz, który prosi o podanie kompletnych danych karty płatniczej. Przestępcy żądają imienia, nazwiska, pełnego numeru karty, daty jej ważności oraz trzycyfrowego kodu bezpieczeństwa CVV znajdującego się na odwrocie.
Fałszywa strona została jednak zaprojektowana z myślą o rozwianiu wszelkich wątpliwości. Zawiera ona uspokajające komunikaty o tym, że cały proces jest „prosty i bezpieczny”, a także grafiki imitujące certyfikaty bezpieczeństwa i loga popularnych systemów zabezpieczeń.
Po wprowadzeniu danych karty następuje jeszcze bardziej niebezpieczny etap. Ofiara otrzymuje prośbę o podanie kodu SMS, który właśnie dotarł na jej telefon. W rzeczywistości jest to uwierzytelnienie 3D-Secure, czyli dodatkowe zabezpieczenie transakcji online.
Finałowym akordem tego cyfrowego przestępstwa jest ekran potwierdzający „zatwierdzenie zwrotu”. To ostatni element mistyfikacji, mający całkowicie uśpić czujność ofiary. Po jego wyświetleniu użytkownik zostaje przekierowany na prawdziwą stronę platformy zakupowej lub do jej oficjalnej aplikacji mobilnej.
Specjaliści z CERT Orange Polska podkreślają, że skala zagrożenia jest znacząca. Kampania jest prowadzona profesjonalnie, a wiadomości wysyłane są masowo do użytkowników w całym kraju. Co niepokojące, oszuści stale modyfikują swoje metody, dostosowując treść wiadomości i wygląd fałszywych stron do aktualnych trendów i promocji dostępnych na platformie zakupowej.
Jak bronić się przed tego typu atakami? Przede wszystkim należy pamiętać o fundamentalnej zasadzie cyberbezpieczeństwa – żadna legalna firma nie będzie prosić o pełne dane karty płatniczej za pośrednictwem linku przesłanego w wiadomości SMS. W przypadku jakichkolwiek wątpliwości dotyczących zamówienia, zawsze należy logować się bezpośrednio do oficjalnej aplikacji lub wpisywać adres serwisu ręcznie w przeglądarce, nigdy nie korzystając z linków otrzymanych w wiadomościach.
W przypadku otrzymania podejrzanego SMS-a, najlepszym rozwiązaniem jest całkowite zignorowanie go. Dodatkowo, warto taką wiadomość przekazać na specjalny numer 8080, służący do zgłaszania podejrzanych SMS-ów. Dzięki temu operatorzy mogą szybciej reagować i blokować numery wykorzystywane przez przestępców.
Eksperci zalecają również, aby regularnie sprawdzać historię transakcji na swoich kartach płatniczych. W przypadku zauważenia nieautoryzowanych operacji, należy natychmiast skontaktować się z bankiem w celu zablokowania karty i zgłoszenia oszustwa. Szybka reakcja może znacząco zwiększyć szanse na odzyskanie utraconych środków.
Warto pamiętać, że dane karty płatniczej powinny być wprowadzane wyłącznie na zaufanych stronach, które rozpoczynają się od „https://” i posiadają symbol kłódki w pasku adresu przeglądarki. Dodatkowo, coraz więcej banków oferuje możliwość generowania wirtualnych kart jednorazowych lub ustawiania limitów transakcji, co może znacząco zwiększyć bezpieczeństwo zakupów online.
Zjawisko smishingu, czyli oszustw realizowanych za pomocą wiadomości SMS, staje się coraz powszechniejszym problemem w cyfrowym świecie. Przestępcy nieustannie doskonalą swoje metody, wykorzystując znajomość psychologii społecznej i mechanizmów, które skłaniają ludzi do podejmowania szybkich, nieprzemyślanych decyzji pod wpływem emocji, takich jak strach przed utratą pieniędzy czy presja czasu.
Edukacja w zakresie cyberbezpieczeństwa staje się więc kluczowym elementem ochrony przed tego typu zagrożeniami. Świadomość istnienia takich metod oszustwa i znajomość podstawowych zasad bezpieczeństwa w sieci to najskuteczniejsza broń w walce z cyfrowymi przestępcami. Pamiętajmy, że w świecie online zdrowy sceptycyzm i ostrożność są zawsze wskazane, szczególnie gdy w grę wchodzą nasze finanse.