Robisz zakupy w morele.net? Uważaj, ktoś może próbować cię okraść
Uwaga na SMS-y proszące o dopłatę 1 zł do zamówienia – ostrzega Grupa Morele, właściciele sklepów takich jak morele.net czy digitalo.pl. Jest to pokłosie śledztwa, jakie przeprowadził z kolei „Niebezpiecznik”. Nieustalonemu jeszcze oszustowi – albo grupie oszustów – udało się zdobyć dostęp do bazy numerów telefonu klientów, a nieostrożność może w skrajnych przypadkach doprowadzić do wyczyszczenia konta bankowego z wszystkich pieniędzy.
Przekręt wymierzono w osoby, które są świeżo po dokonaniu zakupu. Złodziej jakimś sposobem zdobywa ich numery telefonu i wysyła wiadomość z prośbą o dopłatę 1 zł. Jednak w istocie rzeczy nie chodzi o symboliczną złotówkę, ale o przekierowanie ofiary na fikcyjną stronę płatności Dotpay. Tam czeka również fikcyjny panel logowania do konta bankowego, który podany login i hasło wysyła do napastnika, pozostawiając użytkownika z niekończącym się ekranem ładowania.
Oczywiście w przypadku weryfikacji dwuetapowej cały czas nie jest to równoznaczne z utratą pieniędzy, ale – jak zauważa „Niebezpiecznik” – oszust może na przykład zlecić dodanie zaufanego odbiorcy, do którego przelewy wykonywane są bez dodatkowego potwierdzenia. Mniej ostrożne osoby, otrzymawszy SMS z prośbą o akceptację operacji, zapewne nawet nie spojrzą, że chodzi o coś innego niż transfer 1 zł. A wtedy złodziej sam przeleje sobie dowolną kwotę.
Przyznam szczerze, że nie do końca to rozumiem, ponieważ – przykładowo – mBank, w którym mam konto, zawsze wysyła unikatowe SMS-y weryfikacyjne dla każdej sesji. Tak więc jeśli przestępca zalogowałby się na moje konto i zlecił jakąkolwiek operację, to bez natychmiastowego podania kodu nic by nie wskórał. No, ale nie zmienia to faktu, że z całą pewnością nie byłbym zadowolony, mając świadomość obecności intruza w moim panelu użytkownika.
Niemniej co najbardziej w tej sprawie intrygujące, to pytanie, jakim sposobem uzyskiwane są numery telefonu. Czyżby miał ujawniać je nieuczciwy pracownik sklepu lub firmy kurierskiej? To jedna z teorii, które wzięto pod uwagę, ale równie dobrze może chodzić o złośliwy dodatek do przeglądarki czy wstrzyknięty w stronę internetową złośliwy JavaScript. Dziwi zarazem, dlaczego oszust nie stara się uwiarygodnić, dodając do wiadomości choćby imię i nazwisko, bądź e-mail ofiary.
Co ciekawe, z dużą dozą prawdopodobieństwa niniejszy przekręt jest kolejną już próbą ze strony tego samego człowieka lub grupy. Na początku października br. metodą „na 1 zł” próbowano wykraść dane osób korzystających z usług DHL-u oraz InPostu. Spedytorzy się tym zbytnio nie przejęli, więc nic dziwnego, że złodziej uderza po raz kolejny. Na szczęście Grupa Morele zdaje się mieć poważniejsze podejście do sprawy, czego dowodem jest złożenie zawiadomienia na policję.
