Kilka tygodni temu czytałem serię arcyciekawych opowiadań pokazujących jak łatwo zostać oszukanym w sieci. Podczas jednej odsłony CSI Stories poznałem historię narciarza, który podczas niefortunnego zjazdu z fikcyjnego szczytu Pic Blank stracił jednocześnie telefon i kontroler do drona. Ponieważ bardzo zależało mu na opublikowaniu nagrania z jego efektownego zjazdu – zalogował się na ogólnodostępnym komputerze stojącym w hotelowym lobby. Kilka minut wystarczyło, żeby jego wideo trafiło na Facebooka. Tyle samo czasu wystarczyło aby Janusz spędzający urlop w tym samym hotelu poznał Jego login i hasło oraz przy pomocy jego konta wyłudził kilka tysięcy złotych.
Do sprytnego oszustwa wystarczył KeyLogger zbierający wszystko co zostanie wpisane na klawiaturze oraz odrobina socjotechniki pozwalająca w prosty sposób wyłudzić od znajomych z Facebooka po 200-300 złotych. Oszustwo wydało się dopiero, gdy narciarz wrócił z urlopu i znajomi zaczęli się dopytywać jak to się stało, że został bez gotówki oraz kiedy mogą liczyć na zwrot zaciągniętej pożyczki. Od słowa do słowa okazało się, że każdy ze znajomych dostał bardzo podobną wiadomość:
„Słuchaj, głupia sprawa, ale potrzebuję pożyczyć 300 złotych na kilka dni. Jestem za granicą i zgubiłem portfel z kartą kredytową, a muszę zapłacić za nocleg. Straciłem też telefon więc nie mogę zlecić przelewu ze swojego banku przez Internet, bo jest potwierdzenie kodem SMS. Przelejesz pls w moim imieniu 3 stówy na rachunek hotelu? Tyle mi brakuje bo na szczęście miałem trochę gotówki przy sobie. Jak tylko wrócę oddam z nawiązką, dzięki! Podaję numer rachunku:”
Historia lubi się powtarzać
Niedługo po lekturze tej historii odezwał się do mnie Marek. Znam go jedynie przez internet, nigdy się nie widzieliśmy, czytam jego bloga, a on czyta mojego. Należymy do jednej grupy na FB, czasami wymieniamy prywatne wiadomości ale na tym nasza znajomość się kończy. Marek ma tak naprawdę inaczej na imię ale to nie jest istotne w tej całej historii.
– Cześć Kamil. Mam do Ciebie prośbę. Czy masz konto na PayPal’u?
– Mam. Co potrzebujesz? – zapytałem.
– Pytam, bo muszę pilnie wypłacić stamtąd pieniądze. Zrobię Ci transfer tylko podaj adres mailowy. W jakim masz banku konto?
– Nooo… okey. – podałem adres, nazwę banku i niedługo później dostałem powiadomienie, że wpadła na moje konto trzycyfrowa kwota.
– To co, możesz mi przelać tę kwotę? Podaję numer konta.
Tak w telegraficznym skrócie wyglądała nasza rozmowa. Z każdą chwilą pojawiały się jednak nowe wątpliwości. Ponieważ pośpiech nie jest najlepszym doradcą, dlatego postanowiłem przed podjęciem ostatecznych kroków wcześniej wszystko sprawdzić.
Oto co udało mi się ustalić podczas mojego prywatnego śledztwa:
- otrzymałem od Marka nr telefonu – chwilę porozmawialiśmy
- kontaktowałem się z dwoma znajomymi Marka i upewniałem się czy znają go osobiście i czy można mu zaufać
- od znajomych wziąłem jego nr telefonu żeby sprawdzić czy to ten sam numer, który podał mi Marek
- poznałem od jednej ze znajomych fakt związany z Markiem, którego szczegóły mógł znać tylko Marek – zweryfikowałem dzięki temu czy faktycznie rozmawiam z Markiem
- sprawdziłem w Google podany numer konta – z początku błędnie odczytując jakby należał do osoby wyłudzającej pieniądze, po ponownym sprawdzeniu upewniłem się, że nie ma na jego temat w sieci negatywnych komentarzy
- sprawdziłem czy w bazie firm znajdę firmę Marka
Przed zrobieniem przelewu zadzwoniłem jeszcze do PayPala i zapytałem czy jeśli środki trafiły na moje konto i jest zlecona wypłata to czy nadawca tych środków może je zablokować. Okazało się, że tak. Procedura chargeback pozwala na zwrot środków pod warunkiem, że były one realizowane kartą płatniczą i reklamacja zostanie zatwierdzona przez bank. Nie wiedziałem więc czy przypadkiem nie okaże się tak, że puszczę przelew, a nadawca środków dokona procedury reklamacji i wyjdę na całej sytuacji na minusie. Później okazało się, że procedura chargeback nie obejmuje przelewów określonych jako „Darowizna/Prezent”.
Ostatecznie postąpiłem w sposób może trochę bezczelny, ale nie dawało mi to wszystko spokoju i musiałem się ostatecznie upewnić. Zainicjowałem na Facebooku rozmowę wideo z Markiem i poprosiłem żeby mi pokazał swój dowód osobisty. Obyło się bez podawania nazwiska rodowego matki, kodu CVV z tyłu karty płatniczej czy numeru karty bibliotecznej. Dowód osobisty na którym widziałem imię i nazwisko Marka oraz zdjęcie człowieka, z którym poprzez wideo rozmawiałem w zupełności mi wystarczył i był ostatecznym dowodem na to, że rozmawiam z nim, a nie z kimś kto czyha na moje pieniądze.
Piszę Wam to dlatego, abyście będąc w podobnej sytuacji wiedzieli, że nie musicie się na wszystko godzić, nie bali się prosić i abyście wcześniej sprawdzili możliwie wszystkie ewentualności aby nie wpaść w zasadzkę zastawioną przez socjotechnika, który pozyskał o jedno hasło za dużo.
Happy end
Skończyło się pozytywnie. Puściłem przelew. Żadnego zwrotu środków nie było. Marek dostał pieniądze od razu. Ja dostałem kilka razy palpitacji serca, bo oczekując na transfer PayPal zmienił regulamin o czym raczył poinformować użytkowników mailowo (wiadomość o temacie „Twoje umowy prawne z firmą PayPal” może napędzić niezłego stracha), a także przesłał podsumowanie transakcji (logują się na konto zastanawiałem się czy zaraz nie odkryję przekrętu stulecia). Kilka dni później otrzymałem środki z PayPala, więc wszystko skończyło się happy end’em.
Od otrzymania środków minęło już ładne kilkanaście dni, więc nie sądzę żeby historia miała mieć inne zakończenie. Przepraszam Cię Marku, że Ci nie ufałem i dzięki za wyrozumiałość. Kiedy w grę wchodzi pieniądz włącza mi się tryb szczególnej ostrożności, ale to zdrowe podejście, bo ten naturalny mechanizm obronny może mnie uchronić przed próbami wyłudzeń.
I przy okazji pozwólcie na złożenie publicznej obietnicy. Nikomu z moich internetowych znajomych od dziś nie pożyczam pieniędzy. Nawet jeśli to będzie chwilówka tak jak w przypadku Marka. Po prostu nie. Zabawa w detektywa jest bardzo czasochłonna, a oczekiwanie na przelew zbyt stresujące aby się w taką „rozrywkę” angażować.
