"Plătesc eu livrarea". Cum arată cea mai nouă escrocherie de pe site-urile de anunțuri românești

• Tweet

Escrocii folosesc o nouă metodă de înșelăciune pe site-urile de mică publicitate - colectarea datelor printr-un sistem ce imită plățile bancare. Experții în securitate spun că metoda a fost deja folosită pe unele site-uri de anunțuri.

Alexandru a scos la vânzare, pe platforma OLX, un far auto care îi rămăsese de la o mașină veche. Imediat a fost contactat, pe Whatsapp, de un așa-zis cumpărător. Bărbatul i-a spus că va face plata prin sistemul dezvoltat de OLX iar apoi îi va trimite un link de primire a banilor. Își va introduce datele în aplicație și cardul lui va fi alimentat cu suma pe care o convenise cu cumpărătorul. După ce operațiunea era finalizată, așa-zisul cumpărător urma să trimită curierul să ridice bunul, pentru că el era din Brașov.

Deși și-a dat seama că este țeapă, a continuat discuția să vadă până unde merge omul de la celălalt capăt. I-a spus bărbatului că a introdus datele unui card, dar tranzacția nu poate fi procesată pentru că îi cere un cod pe care l-a primit prin SMS și în posesia căruia ar putea intra abia a doua zi. Bărbatul a insistat și a încercat să-l convingă că a doua zi nu mai are bani și nu va mai putea face plata.

A doua zi, Alexandru a revenit și i-a spus că a aflat de la contabilă că este țeapă iar codul primit prin SMS este necesar doar pentru plăți făcute, nu și pentru bani primiți. Mihai a vrut și el să vândă un laptop acum trei zile. Specifica în anunț că predarea se va face personal în București. După câteva minute de la postarea anunțului a fost contactat de un „potențial" cumpărător, care i-a spus de aceeași metodă de a intra în posesia banilor. Cu toate că i-a spus că nu e interesat de o tranzacție la Brașov, interlocutorul i-a trimis totuși linkul de așa-zisă plată.

Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) arată că tipul acesta de atac cibernetic este întâlnit și pe alte platforme cum ar fi publi24. Specialiștii în securitate arată că, după ce obțin datele de identificare a cardurilor atacatorii încearcă apoi să extragă sume de bani de pe acel card în timp real

„Practic, vorbim despre un atac de tip real-time phishing, deoarece atacatorii vor cere mai departe interlocutorului pe #WhatsApp inclusiv eventuale coduri venite pe sms sau prin aplicaţia de internet banking, pentru validarea tranzacţiilor. Pentru a da acel fals sentiment de încredere potenţialei victime, atacatorii au integrat pe acel site de phishing şi un serviciu de tip chat, care are rolul de a ajuta utilizatorul să efectueze plata. De fapt, în realitate acea conversație este purtată tot cu atacatorii", precizează CERT-RO.

Tiberiu Anghel este expert în securitate cibernetică. El a explicat pentru Europa Liberă cum recunoaștem atacurile de tip phishing. Metoda de înșelăciune reprezintă o forma de inginerie socială pe care anumiți răufăcători o folosesc pentru a obține ilicit bani sau date monetizabile precum date personale, date de card sau date despre starea de sănătate.

„Atacurile de tip phishing sunt foarte variate, dar au la baza același principiu: apelează la emoțiile consumatorului pentru a-i distrage atenția. Astfel consumatorul face plăți, trimite date de card sau date personale care răufăcători. Câteva situații foarte des întâlnite sunt campaniile web promoționale unde poți câștiga ceva 'gratis'", explică Tiberiu Anghel pentru Europa Liberă

Expertul spune că oamenii trebuie să fie atenți în orice situație când li se prezintă un câștig sau o pierdere imediată și nu doar în mediul online, ci și atunci când fac plăți cu telefonul.

„Dacă situația e prea bună sau prea rea (ciudată) să fie adevărată, mai uitați-vă o dată dacă cel care v-a informat este legitim. Întotdeauna trebuie verificate adresele de e-mail sau adresele web folosite. În cele mai multe dintre dăți acolo vor fi identificate erori. Cum ar fi GO0GLE in loc de GOOGLE. Aici creativitatea atacatorilor este foarte mare, deci vă puteți aștepta la multe iluzii optice", avertizează Tiberiu Anghel.

Ce date nu trebuie furnizate niciodată:

Datele bancare. Nicio bancă din România nu cere datele de pe card prin telefon.
Datele medicale, datele personale trebuie împărtășite doar persoanelor sau companiilor în care aveți încredere.

Nu este prima dată când au fost înregistrare atacuri cibernetice la utilizatorii platformelor de mică publicitate.

Pe 17 februarie, CERT-RO descopererea o nouă campanie frauduloasă pe platforma OLX - crearea de conturi false şi publicarea de anunţuri cu produse extrem de căutate pe piaţă, oferite la preţuri avantajoase. Cu o săptămână înainte experții descoperiseră că atacatorii, pentru a convinge mai rapid utilizatorii să cadă în capcană, foloseau o imagine creată în ton cu identitatea vizuală a platformei online.