18:42
8/1/2019

Od kilku miesięcy spływały do nas doniesienia o osobach, które na facebookowych grupach sprzedają różne rzeczy, a potem rzeczy tych nie wysyłają kupującemu. Klasyczne oszustwo. Zdarza się non stop także na Allegro, czy OLX. Ludzie tracą od kilkuset do kilku tysięcy złotych. Niby nic specjalnego, ale w ostatnich tygodniach piszące do nas ofiary zaczęły wspominać, że dały się nabrać, bo płatność odbywała się BLIK-iem, a dodatkowo sprzedający uwiarygadniał fałszywe ogłoszenie przesyłając im w wiadomości prywatnej ...skan swojego dowodu osobistego.

Siądźcie wygodnie, bo opiszemy Wam bardzo ciekawy przekręt. Ktoś sobie znalazł naprawdę niezły patent na zarabianie i jak wynika z naszej analizy, zarabia tak od miesięcy. W tym artykule znajdziecie też porady jak dbać o swoją cyfrową tożsamość i jak bezpiecznie kupować w internecie od obcych ludzi, np. na facebookowych grupach czy portalu OLX.

Bilety na Openera i policjant, który nie ogarnia

Oddajmy głos jednej z ofiar, która napisała do nas w listopadzie:

Pojawiło się ogłoszenie na Facebooku o tańszej sprzedaży biletów na festiwal Opener. Skontaktowałem się z tą osobą. Temat od samego początku wydawał się podejrzany, bo osoba się zachowywała się nachalnie. Wyczułem że jest to próba oszustwa. Napisałem specjalnie że się boję że zostałem kiedyś oszukany przez internet i ta osoba podając się za kobietę wysłała mi skan dowodu. Ale na tym skanie płeć była podana jako mężczyzna, więc miałem już ku temu solidne podstawy że jest to próba oszustwa.
Udałem się na komendę miejską policji i przedstawiłem sytuację na dyżurce. Zostałem skierowany do policjanta, który szczerze nie miał zielonego pojęcia na temat internetu, na temat przelewów internetowych, jak to wszystko funkcjonuje — była to dla niego czarna magia gdy mówiłem o bliku i portfelach internetowych.
A o bliku mówiłem, bo wysłałem tej osobie kod BLIK. Specjalnie. Pojawiła się informacja że ten blik zostanie użyty na prawdopodobnie portfelu internetowym. Nie potwierdziłem tej operacji oczywiście, więc jest to cały czas tylko próba oszustwa. Może udałoby się wam jakoś namierzyć, albo może macie jakiś jakiś kontakt w policji który ma większe pojęcie na temat przestępczości internetowej, bo jest to cały czas sytuacja na gorąco możliwa do namierzenia, lub jakiegoś tam artykułu.

Niestety, ten Czytelnik, podobnie jak i kilku innych, którzy w ostatnich miesiącach zgłaszali nam oszustwa na Facebooku, nie odpowiedział na nasze dalsze pytania i prośby o doprecyzowanie pewnych kwestii. Ciężko więc było napisać artykuł na podstawie takich relacji, bez dowodów, zdjęć, namiaru na profil oszusta, czy też tego, co faktycznie pojawiło się na ekranie potwierdzenia transakcji BLIK.

Ale w ten weekend odezwało się do nas małżeństwo, które na sprawę rzuciło więcej światła…

Ktoś przejął konto mojej żony i wykorzystał do oszustwa na Facebooku

Oddajmy głos Panu Andrzejowi:

Moja żona (Beata) posiada konto na Facebook’u od dosyć dawna, założone zostało na maila na portalu o2. Konto o2 nie było używane już od bardzo bardzo dawna w jakikolwiek sposób, ale jednak istniało i posiadało delikatnie mówiąc słownikowe hasło. Włamywacz uzyskał dostęp do konta na portalu o2, przepiął (na siebie) konto FB, zmienił imię i nazwisko na Agnieszka Myszkowska. Oczywiście zmienił także hasło. Brak podwójnego uwierzytelniania na FB na pewno ułatwił zadanie. Następnie z konta (…) rozpoczął się proces dołączania do grup o charakterze turystycznym i proponowania okazji do kupna voucherów

Konto zostało przejęte 26 grudnia, ale Pani Beata dowiedziała się o przejęciu konta dopiero 4 stycznia, dzięki swojemu koledze:

Kolega w pracy zapytał się z uśmiechem, czy mam drugie życie w sieci, bo dostał prośbę z FB o przyjęcie do grona znajomych. Widział, ze to moje zdjęcia, ale imie i nazwisko nie to.

Jak (i kiedy) doszło do przejęcia konta, małżeństwu udało się ustalić dzięki temu, że do Facebooka Pani Beata miała podpięty także drugi adres e-mail. Po zalogowaniu się na niego zauważyła wiadomości od Facebooka mówiące kolejno o:

  • przywracaniu konta przy użyciu maila na o2 wraz z kodem weryfikującym,
  • logowaniu przy jego pomocy z informacją o nr ip,
  • zmianie podstawowego adresu e-mail,

Wcześniej tych wiadomości Pani Beata nie widziała, bo jak informuje Pan Andrzej:

…były święta, a my byliśmy za granicą (…). W momencie odkrycia sytuacji (piątek 4 stycznia) wszelkie linki w wiadomościach są już nieaktywne

Choć linki (jak i przejęte konto Pani Beaty) nie są już aktywne, to udało nam się jednak porozmawiać z jedną z ofiar, która została oszukana przejętym kontem Pani Beaty. Oto jej relacja:

Podałam mu kilka kodów BLIK…

Jak pisze Pani Weronika:

Ogłoszenie [wystawione z przejętego konta Pani Beaty — dop. red.] znalazłam na grupie społecznościowej o nazwie “odsprzedam wczasy, odkupię wycieczkę, sprzedam wakacje – tanie podróżowanie“. Dotyczyło sprzedaży 4 sztuk voucherów Itaka do wykorzystania na wakacje. Wartość pojedynczego vouchera 2000zł., sprzedaż za 1400zł. Osoba, miała profil na Facebooku opisany jako Agnieszka Myszkowska.

Zaczęłam korespondować pytając o szczegóły. Osoba ta zgodziła się na sprzedaż pod warunkiem płatności kodem blik, ponieważ mieszka w Tajlandii i przelew bardzo dużo by kosztował (ja wysyłam kod tej osobie, ona wpisuje a ja zatwierdzam na swoim telefonie).


(czerwona cenzura dowodu to nasza redakcyjna ingerencja, w rzeczywistości dowód był przesłany bez jakichkolwiek zamazanych danych)


Uzgodniłyśmy, że wpłacę 3030, a pozostałą cześć kurierowi przy odbiorze (całość 5600 zł). Uzgodniłyśmy też, że po wpłacie 1900 zł ta osoba wyśle mi kod vouchera w celu sprawdzenia ważności. Podałam 5 kodów blik na kwoty ok. 300 zł.

Tutaj przerwijmy na chwilę relację Pani Weroniki. Zwróćcie uwagę na to, że “kradzież przez BLIK” to nie jest wykorzystanie słabości w samym BLIK-u. Pani Weronika podała złodziejowi kod BLIK, który sam w sobie na nic mu się nie przyda. Ale złodziej, zgodnie z naszymi ustaleniami, kod ten wprowadza w serwisie Skrill.com w celu doładowania swojego wirtualnego portfela. Pani Weronika widzi wtedy na swoim ekranie prośbę o akceptację transakcji kodem BLIK i aby złodziej otrzymał pieniądze z jej konta, musi tę transakcję świadomie potwierdzić. I robi to — świadomie — ponieważ chce przesłać pieniądze “kontrahentowi”.

Oto, jak wygląda to z perspektywy oszusta. Najpierw wybiera on opcję doładowania konta:

Potem wybiera metodę BLIK:

W poniższe pole wpisuje kod BLIK od osoby, której rzekomo sprzedaje voucher (tu: Pani Weroniki).

Po wpisaniu kodu, Pani Weronika otrzymuje komunikat z BLIK na swoim telefonie, mniej więcej o takiej treści:

i jeśli ją potwierdzi, oszust otrzyma pieniądze.

BLIK co prawda ma “limity”, ale w przypadku Pani Weroniki, przesłanie screenu z aplikacji Inteligo wskazało oszustowi, że “ofiara” korzysta z tego banku i limity PayPro na BLIK-a ominął wybierając z listy banków Inteligo, i zlecając transakcję BLIK bezpośrednio ze strony banku (wtedy limit jest wyższy):

Takie wyłudzenie nie różni się niczym od zlecenia przelewu na konto oszusta — ale kradzież przez rachunek bankowy jest trudniejsza dla złodzieja (musi posiadać konto założone na słupa) — w przypadku serwisu Skrill, konto (wirtualny portfel) może założyć online i doładować “szybko i wygodnie” BLIK-iem. Nikt nie sprawdzi, że nie jego…

Wróćmy do relacji Pani Weroniki.

Chwilę trwało zanim dostałam zdjęcie [vouchera]:

Napisałam maila do Itaki. Ta osoba naciskała na kolejne wpłaty, ale ja prosiłam o oczekiwanie. Itaka odpowiedziała, że podany kod jest już wykorzystany we wrześniu 2018 roku.

Napisałam, że kod jest nieważny do tej osoby, po czym byłam zapewniana, że wieczorem dostanę dobre zdjęcia bo to zrobił syn w domu i pewnie jakieś złe. Nie przelałam kolejnych transz. Zadzwoniłam do banku z prośbą o blokadę, ale było już za późno. Wieczorem napisałam maila do PayPro, które realizowało przelewy z prośbą o zablokowanie, niestety też nie było możliwości.

I tutaj znów przerwiemy relację poszkodowanej. Warto pamiętać, że o ile w przypadku płatności przelewem mamy czas na zatrzymanie, a czasem nawet cofnięcie przelewu (o ile nie jest to tzw. przelew błyskawiczny/ekspresowy), to w przypadku “szybkich” płatności, a także BLIK-a, tego typu operacja może nie być możliwa i w większości przypadków nie będzie. Złodziej pieniądze w swojej portmonetce ma natychmiast i od razu je transferuje dalej, np. kupując kryptowalutę, karty zdrapki lub wprost wypłacając w bankomacie.

Złodziej zarobił o wiele więcej…

Niestety, Pani Weronika nie jest jedyną osobą, którą ktoś oszukał przejętym kontem Facebooka Pani Beaty i metodą “na voucher Itaki”. Kiedy Pani Weronika zorientowała się że padła ofiarą oszustwa, poinformowała o tym na grupie na której ogłaszał się złodziej. I zaczęły się z nią kontaktować inne osoby, które też zostały oszukane.

[Kolejna osoba] powiedziała, że też kupiła 2 sztuki i wpłaciła 2800 zł. Potem szukałyśmy osób, które komentowały ogłoszenie i okazało się, że jest jeszcze jedna osoba oszukana. Zaczęłyśmy szukać na różnych grupach, okazało się, że takie same ogłoszenia były na wielu grupach oraz na portalu olx:

Zarówno Pani Weronika, jak i inne oszukane osoby, a także OLX stanęli na wysokości zadania, bo po wewnętrznym śledztwie i namierzeniu podobnych kont i ofert na facebookowych grupach i serwisie OLX, wszystkie zostały szybko zablokowane. Brawo!

[Niestety oszust] cały czas hakuje nowe konta na Facebooku i dodaje ogłoszenia sprzedażowe. Reasumując zostałam oszukana na 1900 zł. Płacąc blikiem numer konta oraz mail odbiorcy nie są dla mnie dostępne. Każda z poszkodowanych płaciła w ten sam sposób.

Bardzo istotne jest przedostatnie zdanie w wypowiedzi Pani Weroniki. Numer konta oraz e-mail odbiorcy nie są dostępne dla osób wykonujących transakcję BLIK. Ale nie uniemożliwia to reklamacji. Na koncie w banku zobaczymy transakcję BLIK-iem i możemy powołać się na numery w jej opisie. Choć, jak za chwile wyjaśnimy — odzyskanie pieniędzy będzie raczej trudne… Oto jak potwierdzenia transakcji BLIK-iem wyglądały w przypadku Pani Weroniki:

Co BLIK, pośrednicy i banki na to?

Jak napisał nam Marek Gieorgica (z firmy PR-owej obsługującej BLIK):

“Reklamacje transakcji realizowanych BLIKIEM składa się do banku (tego, w którym klient ma konto). W przypadku transakcji w internecie można także złożyć reklamację do operatora płatności (np. Przelewy24, PayU, itd.).”

Jak widać, BLIK nie posiada ścieżki reklamacji. BLIK jest tylko “szybką” metodą płatności, ale technicznie pod nim jest transakcja przelewu — i to tę transakcję radzą w BLIK-u reklamować. Nie u nich, a u pośrednika lub w macierzystym banku (lub u odbiorcy/pośrednika, na konto którego trafiają pieniądze z transakcji BLIK).

Zapytaliśmy więc i spółkę PayPro (Przelewy 24), jak wygląda ścieżka reklamacji i czy w ostatnich tygodniach ten pośrednik miał wiele reklamacji dotyczących transakcji BLIK, które ktoś wykonał, a potem (tj. po zorientowaniu się, że został oszukany) chciał cofnąć. Odpowiedzi udzieliła nam Iga Mrowińska:

1. Co zrobić, jeśli ze względu na nieuwagę, wykonaliśmy szybki przelew po pay-by-linku lub przez BLIK, a potem zorientowaliśmy się że pieniądze przekazane zostały szustowi i teraz chcialibyśmy cofnąć transakcję? Czy to w ogóle możliwe? Co musi zrobić “ofiara” i ile ma czasu, aby zwiększyć swoje szanse na odzyskanie pieniędzy?

Niestety, nie ma możliwości cofnięcia prawidłowo zatwierdzonej, autoryzowanej przez płacącego transakcji, jednak im szybciej po dokonaniu niechcianej płatności nastąpi kontakt z biurem obsługi klienta Operatora, tym większa jest szansa na zablokowanie transakcji przez dział bezpieczeństwa serwisu i zwrot środków płacącemu.

2. Jaka formę płatności PayPro poleca do zakupów przez internet, od prywatnych osób np. na grupach FB lub OLX?

Rekomendujemy przede wszystkim zachowanie czujności podczas dokonywania płatności w internecie. Internauci powinni być wyczuleni na próby oszustwa – nie otwierać maili z nieznanych adresów, nie klikać w załączniki, zwiększyć czujność, kiedy mail zawiera błędy ortograficzne bądź stylistyczne lub gdy dotyczy transakcji, której nie inicjowali. Wszystkie metody płatności są bezpieczne, jednak bez zachowania należytej ostrożności i weryfikacji wiarygodności sprzedającego, można paść ofiarą oszusta internetowego. W takim wypadku zalecamy oczwywiście zgłoszenie tego faktu organom ścigania.

O komentarz w sprawie reklamacji transakcji BLIK-owych poprosiliśmy też kilka banków: mBank, PKO i ING. Do momentu publikacji tego artykułu odpowiedziały mBank i PKO. Najpierw oświadczenie mBanku:

Jeśli mówimy o transakcjach BLIK, to klient może złożyć reklamację zarówno w PSP, jak i w banku, w którym ma konto. I raczej wybiera bank. Tym bardziej, że PSP nie jest w stanie zweryfikować sytuacji tak dalece jak bank, ponieważ nie dysponuje tak pełnymi informacjami na temat klienta. Jeśli natomiast mówimy o [liczbie reklamacji] na transakcje BLIK to ich poziom jest bardzo niski — oscyluje na poziomie ok 0,001 proc. wobec wszystkich realizowanych przez nas transakcji BLIK-owych.

W większości również są to reklamacje, które składają klienci po tym, jak zwrócili towar do sklepu. Ponieważ zwrot po transakcji BLIKiem nie jest tak natychmiastowy jak w przypadku karty, klienci zgłaszają się do nas. Ale zdecydowana większość z tych spraw jest – siłą rzeczy – rozwiązywana pozytywnie.

Z oświadczenia PKO natomiast dowiedzieliśmy się, że:

Reklamacji transakcji BLIK jest stosunkowo niewiele.

Marne szanse na uznanie reklamacji?

Podsumowując, osoba która świadomie autoryzowała szybki przelew nie ma zbyt wielu szans na odzyskanie swoich pieniędzy, jeśli nie zareaguje natychmiast. I nie może za to winić pośredników, czy swojego banku. Te instytucje zrobiły to, co obiecują — szybko przekazały pieniądze z punktu A do B. BLIK pokazał też czego dotyczy operacja. W tym przypadku jak widać, nie można winić technologii. Raczej dobrą socjotechnikę oszusta.

Żadne mechanizmy bezpieczeństwa przed socjotechniką ofiar nie uchronią.

Szybkie powiadomienie banku o oszukańczej transakcji może skutkować wstrzymaniem przelewu. Niestety jeśli minie więcej czasu to sytuacja oszukanych nie jest wesoła. Pisaliśmy kiedy banki są zobowiązane do oddawania ukradzionych pieniędzy, ale dotyczy to zwłaszcza sytuacji, gdy transakcja była autoryzowana przez oszusta i nie miało miejsca coś, co Ustawa o usługach płatniczych określa jako “rażące niedbalstwo”.

Niestety w tym przypadku banki mogą podnosić argument, że podawanie kodu BLIK innej osobie jest rażącym niedbalstwem. Dodatkowym problemem jest to, że ofiara przekrętu z BLIK-iem sama potwierdza transakcję w swojej aplikacji. Trudno więc podciągnąć tę sytuację do “posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym” lub “przywłaszczenia instrumentu płatniczego”, a w takich właśnie przypadkach Ustawa przewiduje odpowiedzialność po stronie banku.

Płomyczek nadziei w tym, że serwis Skrill (dawniej moneybookers) wykrył “anomalię” samodzielnie lub po zgłoszeniu Pani Weroniki zdążył zablokować oszustowi portmonetkę zanim ten wypłacił z niej pieniądze. Czas pokaże. Teraz działać będzie policja, która ustali gdzie trafiły pieniądze i czy udało się je w porę zablokować. Jeśli tak, Pani Weronika może spodziewać się ich zwrotu za kilka tygodni lub miesięcy.

Reakcja Facebooka i Policji

Tego typu oszustwa to problem nie tylko dla osób, które straciły pieniądze, ale także dla osób, którym wykradziono tożsamość. Wróćmy do Pana Przemysława i Pani Beaty. Kiedy zorientowali się, że ktoś korzysta konta Pani Beaty do wyłudzeń, chcieli to konto odzyskać lub zablokować. Niestety, nie było to łatwe…

Żeby cokolwiek zgłosić konieczne było zalogowanie do serwisu, czego nie [byliśmy przecież już w stanie] wykonać. Próba przywrócenia resetowania konta spełzła na niczym chociaż nadal mieliśmy dostęp do maila, który przez lata był przypisany do konta. Zastanawiające jest także to, że nie sposób znaleźć formularza kontaktowego czy telefonu [do Facebooka]. Pomimo szybkich zgłoszeń przez wielu znajomych, konto nadal jest aktywne [było jeszcze w sobotę — dop. red.].
Policja – komenda powiatowa, bardzo grzecznie przyjęto zgłoszenie z art. 267 KK o złamaniu zabezpieczeń elektronicznych itd. przesłuchanie 3h, wszelkie kontakty i wyciąganie danych od FB musi być podpisane przez prokuratora. Niestety nie było osoby przypisanej do sprawy, więc nie można było dostarczyć nawet dodatkowych dokumentów do sprawy, w tym zdjęcia Dowodu Osobistego osoby podszywającej się. Dziś zajmują się narkotykami.
Reasumując bardzo trudno nawet ostrzec ludzi przed oszustwem i szybko przeciwdziałać zarówno przez organy państwowe jak i FB.

I tu niestety musimy się zgodzić. Reakcja Facebooka (co zrozumiałe przy tej skali działania) jest dość wolna. Duży dramat ofiar, jest bardzo małym dramatem serwisu, który wiele nie straci na tym, że za jego pomocą ktoś przez dzień lub dwa dłużej będzie oszukiwał innych.

Reakcja Policji też jest po części zrozumiała. Polska policja jest niedofinansowana, a osób znających się na “cyberze” jest mało. Spraw natomiast jest dużo, więc Ci, którzy “się znają” dostają poważniejsze sprawy, niż błahe (w kontraście do całości przestępstw) kradzieże na “ledwie” kilka tysięcy. Perspektywę polskiego cyberpolicjanta na ten stan rzeczy opisywaliśmy w tekście Wywiad z Cyberpolicjantem.

Ofiary muszą więc radzić sobie same… Ale od czego jest Niebezpiecznik? Wyciągając pomocną dłoń, poniżej wskazujemy 5 porad, jak zachować się w takiej sytuacji. Przydadzą się one nie tylko w przypadku oszustw na Facebooku, dlatego prześlijcie ten artykuł znajomym :)

1. Mocno (i poprawnie) zabezpiecz swoją skrzynkę e-mail

Bo jeśli ktoś przejmie nad nią kontrolę, to będzie w stanie zresetować dostęp do każdego konta, które na ten adres e-mail zostało założone (w naszej historii było to konto na Facebooku). Większość osób ma kilka adresów e-mail i niestety nie pamięta — tak jak Pani Beata — że mają je popodpinane do różnych serwisów. Korzystają z nowszego, lepiej zabezpieczonego e-maila, a ten stary — choć już nieużywany — to dalej sobie wisi podpięty w różnych miejscach.

Czasem, jak to zapewne było w przypadku Pani Beaty, do tego starego e-maila hasło jest takie samo jak i w innym serwisie. Z tego innego serwisu dane wyciekają i są łamane (por. Już 350 000 haseł Morele.net zostało złamanych z Morele.net), a potem przestępcy sprawdzają czy hasło używane przez ofiarę w serwisie X, z którego wyciekła baza, pasuje też do ważniejszych serwisów. Ważniejszych, czyli właśnie skrzynek pocztowych, serwisów aukcyjnych czy wprost Facebooka. Bo dopiero na tych “ważniejszych” serwisach przestępcy mogą zarobić, np. sprzedając “lewe” vouchery Itaki.

Dlatego:

  • Upewnij się że stosujesz nieużywane nigdzie indziej hasło do swojej skrzynki e-mail.
  • Jeśli korzystasz z GMaila (a powinieneś!) to włącz dwuskładnikowe uwierzytelnienie. Dzięki niemu poza hasłem, do logowania będzie potrzebny kod z aplikacji na Twoim telefonie lub (do czego zachęcamy) fizyczny token U2F. Token warto kupić, jest tani, a całkowicie chroni przed najpopularniejszym sposobem w jaki ludzie tracą dostęp do swoich skrzynek pocztowych — phishingiem. O tym jak działa ten token pisaliśmy w artykule pt. Każdy użytkownik GMaila powinien przeczytać ten artykuł.
  • Popatrz na pytania kontrole (służące do resetu hasła w przypadku jego zapomnienia). Jeśli wybrałeś “Mój ulubiony kolor” i dałeś odpowiedź “Czerwony”, to miej świadomość, że znajomość Twojego ulubionego koluru przez atakującego też da mu dostęp do Twojej skrzynki
  • Pozamykaj stare, niepotrzebne skrzynki e-mail i odepnij ich adresy z serwisów, które na nie rejestrowałeś.

Podsumowując, korzystaj z GMaila — pod kątem bezpieczeństwa jest bezkonkurencyjny (niestety, niektórym podejście Google do prywatności może się nie spodobać — ale tak świadome osoby pewnie znajdą sobie samodzielnie dobre alternatywy).

Aby zabezpieczyć GMaila, przejdź tutaj.

 

Skrzynkę e-mail można zabezpieczyć bardziej i z decydowanie warto to zrobić. Temu tematowi poświęcamy sporo czasu na naszym wykładzie pt. “Jak nie dać się zhackować?“, z którym w 2019 roku będziemy w kilkunastu największych polskich miastach. Rozpiskę terminów znajdziesz tutaj. Zapraszamy!

 

2. Zabezpiecz swojego Facebooka

Uzgadniając agendę naszych wykładów z bezpieczeństwa dla pracowników firm, często nasi klienci chcą usunięcia modułu dotyczącego bezpieczeństwa Facebooka. Motywują to tym, że Facebook, choć jest posiadany przez prawie każdego pracownika, to nie jest kluczowy. Tłumaczymy im wtedy, że takie podejście nie jest dobrym pomysłem. To prawda, że wiele osób nie traktuje swojego konta na Facebooku na poważnie i na informacje o tym, że ich konto może zostać przejęte, reaguje stwierdzeniem:

Spoko, przeżyję, to nie jest dla mnie istotne konto

Mają rację. Dla nich nie jest to istotne konto, ale dla ich znajomych (w tym kolegów z pracy) tak. Pamiętaj, że to co najważniejsze na Facebooku, to Twoja relacja ze znajomymi. Znajomi Ci ufają. Jeśli na Facebooku złodziej o coś ich poprosi, oni nie odróżnią złodzieja od Ciebie (por. Ojciec oszukał mnie przez Facebooka).

Złodzieja nie interesują Twoje prywatne zdjęcia. Jego interesuje oszukanie Twoich znajomych. Jeśli więc uważasz, że bezpieczeństwo Twojego konta na Facebooku nie jest istotne, to tak naprawdę mówisz, że Twoi znajomi nie są dla Ciebie istotni i zachowujesz się bardzo egoistycznie. Już lepiej usuń całkiem takie konto.

Facebook, podobnie jak GMail, ma wiele ustawień bezpieczeństwa schowanych tutaj — i warto włączyć przynajmniej te dwa:

  • Włącz dwuskładnikowe uwierzytelnienie. Podobnie jak na GMailu, poza hasłem potrzebny będzie kod z aplikacji albo sprzętowy token U2F (możesz wykorzystać ten sam, którym zabezpieczasz dostęp do GMaila)
  • Włącz powiadomienia o “podejrzanych” logowaniach i ustaw na e-mailu filtr, który oznaczy Ci je jako ważne, tak Ci one nie zginęły w gąszczu innych e-maili, co zdarzyło się Pani Beacie. Na te wiadomości trzeba reagować szybko.

A jeśli kiedyś stracisz dostęp do konta na Facebooku lub znajomi powiadomią Cię, że rozsyłasz spam, wejdź na adres:

https://facebook.com/hacked

Zostaniesz przez Facebooka odpytany o kilka rzeczy i dostaniesz konkretne, pasujące do Twojej sytuacji działania do wykonania aby odzyskać kontrolę nad swoim kontem.

3. Chroń swój dowód

Uważni czytelnicy na pewno zauważyli, że w przypadku opisanej przez nas historii mamy do czynienia nie z jedną, a z dwoma kradzieżami tożsamości. Pierwszą ofiarą wcale nie była Pani Beata. Pierwszą ofiarą była Pani Agnieszka Myszkowska, której dowodem posłużył się oszust. Skąd go miał?

Niestety, coraz więcej firm w Polsce, zupełnie niepotrzebnie, prosi Polaków o skan dowodu lub wręcz wprost kseruje ich dokumenty bez pytania, chociaż nie powinny i chociaż UODO (dawne GIODO) ostrzega, że kserowane dowody są coraz częściej wykorzystywane do zaciągania kredytu.

Dlatego:

  • Dbaj o swoją prywatność i pamiętaj, że tylko te instytucje mogą prosić o okazanie Twojego dowodu (co nie jest równoznaczne z jego skserowaniem!). Przykładowo, LOTTO prosi o wgranie skanu dowodu online, ale wcale nie trzeba tego robić, o czym pisaliśmy w artykule pt. Jak grać w Lotto przez internet bez przesyłania skanu dowodu.

  • Uważaj też na ogłoszenia o pracę. Wiele z nich jest fałszywych. Przestępcy kuszą wysokimi zarobkami, ale poza CV wymagają wypełnienia różnych formularzy, które z kolei proszą o skan dowodu. Ten proceder opisywaliśmy w tych dwóch artykułach.
  • A jeśli już musisz komuś przesłać skan dowodu, to w miarę możliwości nanieś na niego znak wodny. Po prostu w programie graficznym napisz na zdjęciu dowodu:

    Skan dla firmy "XXX" w celu "YYY" w dn. AAAA-BB-CC

    Jeśli nawet Twój dowód wycieknie z tej firmy/serwisu (a prędzej czy później wycieknie, por. Serwis PZPN ujawnił skany dowodów osobistych kibiców) i ktoś będzie się chciał nim posłużyć, to osoby wydające zgodę na pożyczkę lub kupujące vouchery na Facebooku musiały by być chyba “ślepe” aby nie zauważyć, że coś jest nie tak.

4. W internecie płać kartą, albo…

Porady 1, 2 i 3 pozwolą ograniczyć ryzyko kradzieży tożsamości (i danych). Nikt nie wykorzysta Twojego konta do oszukiwania innych. Ale to nie oznaczy, że Ciebie ktoś nie spróbuje oszukać…

3 najpopularniejsze sposoby na okradanie Polaków opisaliśmy niedawno w artykule pt.: Tak cyberprzestępcy okradają Polaków. W większości oszustw chodzi o wyciągnięcie kasy. A tę bardzo ciężko będzie Ci stracić, jeśli za wszystkie zakupy będziesz płacił kartą płatniczą (najlepiej kredytową, choć debetowa też da radę).

Płatność kartą daje Ci możliwość cofnięcia każdej transakcji w ramach procedury “Chargeback”.

Jeśli na wyciągu z karty pojawia się coś, czego nie rozpoznajesz, dzwonisz do banku i prosisz o formularz “Chargeback”. Nie daj się nabrać na inne ścieżki bankowych reklamacji — proś od razu o formularz chargeback, czyli uruchomienie procedury wystawcy karty, bo ta daje Ci więcej korzyści. Chargeback możesz zastosować także do transakcji, które sam wykonałeś, ale produkt lub usługa, którą kupiłeś nie jest zgodna z opisem. Dostałeś czerwone buty, a miały być niebieskie i sprzedawca nie uznaje reklamacji? Dzięki chargebackowi dostaniesz swoje pieniądze z powrotem. Hotelowy pokój miał mieć widok na morze, a odstałeś widok na śmietnik? Dzięki chargebackowi dostaniesz swoje pieniądze, nawet jeśli hotel lub biuro podróży nie będą chciały uznać Twojej reklamacji. Oczywiście musisz dostarczyć dowody (np. zdjęcie folderu z ofertami, skan umowy z opisem pokoju, etc.). Chargeback dotyczy wszystkich kart płatniczych (Visa i Mastercard, debetowych i kredytowych). Kredytówki mają tę przewagę, że ewentualne “zdefraudowane” środki nie są ściągane z Twojego rachunku, a z kredytu (czyli pieniędzy banku), co pozytywnie wpływa na chęci banku do sprawnego zajęcia się sprawą. Co więcej, chociaż postępowanie chargebackowe może trwać kilkadziesiąt dni, to często pieniądze z lewej transakcji na koncie masz już następnego dnia, a bank/wystawca karty wyjaśnia sprawę z firmą, która obciążyła Twoją kartę równolegle.

Oto przykładowe powody Chargebacku:

Płatność kartą Jest możliwa u pośredników płatności. Większość sprzedawców, nawet jeśli korzysta z pośredników w płatnościach takich jak Przelewy24, TPay, PayU, DotPay to w ramach tych pośredników obsługuje transakcje kartami płatniczymi. Warto z nich skorzystać, a nie z tzw. “szybkich przelewów” wymagających do logowania się do swojego banku, bo te niestety nie dają takich gwarancji jak kartowy chargeback.

Oczywiście osoby sprzedające w internecie na OLX czy Facebooku nie przyjmą płatności kartą. I to już powinien być pierwszy sygnał, żeby dwa razy przemyśleć, czy warto takiego “niegwarantowanego” zakupu dokonać. W tych przypadkach rekomendujemy tylko i wyłącznie zakup z przesyłką pobraniową i sprawdzenie przy kurierze zawartości paczki, a w razie niezgodności towaru — natychmiastowe złożenie reklamacji u przewoźnika, co nie pozwoli na przekazanie pieniędzy oszustowi.

Gdyby ktoś z Was chciał mimo wszystko poczuć ten dreszczyk adrenalinki i kupować w internecie płacąc standardowym przelewem, to polecamy lekturę tych dwóch wpisów:

5. Po kradzieży, reaguj szybko!

Jeśli Twoje dane, a zwłaszcza skan dowodu, wyciekły — niestety będziesz miał zmarnowanych kilka dni. Tyle “zachodu” trzeba, aby maksymalnie zminimalizować potencjalne negatywne skutki takiej kradzieży (czyli wszelkiego rodzaju wyłudzenia i pożyczki). Dlaczego tak dużo czasu to kosztuje? Bo potencjalna ofiara musi wykonać aż 20 czynności (online i offline) aby móc spać w miarę spokojnie.

Taki właśnie bałagan mamy w Polsce jeśli chodzi o “zastrzeganie” danych z dowodu i monitoring wyłudzeń realizowanych przez oszusta w naszym imieniu. Nie ma jednego miejsca, w którym możemy zgłosić przestępstwo i zapomnieć o sprawie. To co dokładnie należy zrobić przedstawia ta infografika:

…której nie da się zrozumieć w pełni bez lektury towarzyszącego jej artykułu pt. Co jeśli oszust weźmie pożyczkę na moje dane.

Jeśli zaś wykradziono nie Twoje dane, a Twoje pieniądze, to złóż reklamacje gdzie się da, najszybciej jak się da. Pamiętaj też, że w przypadku niektórych kradzieży z rachunków bankowych, Twój telefon przestanie działać… Więc gdybyś kiedyś “stracił zasięg”, nawet na chwilę, to od razu na wszelki wypadek zadzwoń do banku.

PODSUMOWANIE

Wycieków dowodów i danych, umożliwiających przejęcia cudzych kont na Facebooku i wykorzystanie ich do wyłudzeń będzie jeszcze sporo. Nawet rozsądne osoby dają się nabrać na takie przekręty. Bo są dobrze dopracowane. Przestępca ma niezłą gadkę i jest mistrzem socjotechniki — potrafi uspokoić ofiarę i logicznie wytłumaczyć dlaczego pieniędzy potrzebuje w takiej a nie innej formie. Dodatkowo uwiarygadnia się skanem dowodu osobistego, no i w tle jest niezła okazja…

Ten scam (na “dowód + blik”) ma miejsce także poza Facebookiem, na serwisach z ogłoszeniami i na tematycznych forach internetowych (znamy podobną sprawę z forum dla muzyków, gdzie w sekcji “sprzedam” pojawiło się ogłoszenie sprzedaży gitary w atrakcyjnej cenie). Ktoś najwyraźniej zrobił sobie z tego źródło stałego dochodu.

Uważajcie więc na siebie i przekażcie bliskim link do tego artykułu, zanim będzie za późno

Kupuję w internecie — co robić, jak żyć?

Opisane przez nas w tym artykule oszustwo, to tylko jeden z przykładów z oszustw w internecie, jakimi przestępcy obecnie atakują Polaków. Niestety inne “scamy” mogą być jeszcze bardziej wiarygodne i zazwyczaj zbierają niemałe żniwo. Polacy regularnie tracą przez nie tysiące złotych.

O wszystkich obecnie stosowanych przez przestępców metodach okradania i oszukiwania Polaków mówimy w trakcie naszego 3 godzinnego wykładu pt. “Jak nie dać się zhackować?

Wykład prostym językiem pokazuje na co naprawdę trzeba uważać korzystając z internetu na komputerze i smartfonie oraz jak za pomocą darmowych aplikacji i prostych zmian ustawień swojego sprzętu lub kont internetowych znacząco podnieść swoje bezpieczeństwo i ochronić oszczędności. Co więcej, każdemu uczestnikowi gwarantujemy opad szczeny, bo w trakcie wykładu na żywo pokazujemy kilka widowiskowych ataków hackerskich — od fałszowania e-maili, wysyłania podrobionych SMS-ów aż do podglądania ludzi przez kamerkę i podsłuchiwania telefonów. Naszą prelekcję zrozumie każdy, nawet osoby nietechniczne — zarówno Wasi rodzice jak i dziadkowie, więc weźcie ich ze sobą i dołączcie do nas w następujących miastach i terminach:

W roku 2018 zrealizowaliśmy 15 takich wykładów w 8 miastach i przeszkoliliśmy 2,5 tysiąca osób, które oceniły wykład na 9.3/10 i w większości zostawiły komentarz, że “wszystko im się podobało” to “najlepszy wykład na jakim byli w całym swoim życiu” z czego jesteśmy bardzo dumni! Jeśli chcesz dołączyć do grona lepiej zabezpieczonych Polaków, to wejściówkę kupisz tutaj.

PS. Wszystkie imiona poszkodowanych osób z którymi rozmawialiśmy zostały zmienione. Jeśli i Ty na przestrzeni ostatnich tygodni dałeś się oszukać, albo skradziono Ci tożsamość na Facebooku (a następnie wykorzystano ją do wyłudzeń) — odezwij się do nas. Mamy dla Ciebie kilka pytań i prywatnych porad, które mogą pomóc odzyskać Twoje pieniądze.


Aktualizacja 10.01.2019, 15:40
Miło jest nam poinformować, że Pani Weronika poinformowała nas właśnie, iż odzyskała wszystkie z 6 przelewów, które wykonała na konto oszusta.

Nie wiemy, czy jest to wynik publikacji naszego artykułu (i wcześniejszego naszego kontaktu z pośrednikami i bankami) czy może ospałość złodzieja w wytransferowaniu wykradzionych środków ze swojego portfela i sprawna reakcja Przelewów 24 i Skrilla, którzy środki te zabezpieczyli w porę. Jak jednak widać, choć BLIK nie umożliwia reklamacji, warto szybko “błędną” transakcję zgłaszać gdzie się da. Działy ds. zwalczania wyłudzeń pracują i jak widać, pracują sprawnie. Brawa i dla Skrilla i dla Przelewów 24 za szybkie “cofnięcie” każdej z reklamowanych transakcji!

Przeczytaj także:

106 komentarzy

Dodaj komentarz
  1. Ale po co bylo to przejecie konta na Fejsatym? Czy oszustka nie mogla zalozyc nowego konta i z niego nadawac falszywe oferty?

    • Podejrzewam, że spójne zdjęcia i jacyś wyglądający na prawdziwych znajomi zwiększają wiarygodność.

    • Z nowego konta nie jest wiarygodna – każdy zauważy że nie ma znajomych, zdjęć itp.
      Przejęte konto ma swoją historię, aktywność więc jest godne zaufania.

    • Konto, które jest na fejsie od dawna, ma sporo znajomych, jakieś posty sprzed X lat, wszystko wyglądające na normalną osobę jest wiarygodniejsze niż jakieś konto krzak, wyraźnie dopiero co założone, ze znajomymi krzakami itd. Łatwiej oszukać, jak się zdobędzie zaufanie ;)

    • Po to by chociażby konto nie było założone wczoraj, były na nim jacyś prawdziwi znajomi, miało ustawione niepowtarzalne zdjęcie profilowe itp. – gdyby konto było totalnie “czyste” i miało jakieś podejrzane zdjęcie profilowe duuuużo mniej ludzi by się nabrało :)

    • Czyli ofiara przejecia konta na fejsatym nic tak naprawde nie stracila.

    • Czemu facebook nie blokuje możliwość zmiany imienia i nazwiska ,albo nie wprowadzi weryfikacji sms przy zmianie tych danych?

      Gość przejmuje konto logując się z obcego ip, przeglądarki, zmienia dane osobowe, email, hasło. Następnie wystawia oferty sprzedażowe ,a algorytmy FB przy tak dużej liczbie zmiennych nie dostrzegają w tym dziwacznego zachowania?

    • Pan oszust zmienił nazwisko na takie dla którego miał dowód przecież :-)

    • @etylda – czemu FB nie blokuje zmiany imienia i nazwiska? To przez poprawność polityczną bo nagle ktoś stwierdzi, że identyfikuje się jako krzesło i od tego momentu nazywa się Drewniane Krzesło.

    • Czy oszust na dowodzie osobistym podmienił zdjęcie ,żeby wizerunkowo pasowało do tego profilowego na FB?

    • @Aqua: Twój tok rozumowania mnie rozbraja. xP Jednocześnie przypomniała mi się pewna anegdotka:

      Przychodzi facet do urzędu meldunkowego:
      – Chcę zmienić nazwisko.
      – A jak się Pan teraz nazywa?
      – Adolf Dupa
      – A, to faktycznie nieładnie. A jak chce się Pan nazywać?
      – Alfred Dupa

  2. Zawsze mnie wzrusza poklepywanie po plecach leni w Kulsonicji, przy kolejnych przykładach niedbalstwa i tumiwisizmu. Ja rozumiem, że Niebezpiecznik chce mieć “ciepłe” relacje z wiadomych powodów, no ale…

    Niedofinansowaniem, to mozna tłumaczyć wszystko i wszędzie. Tolerowanie tumiwisizmu na tak błahej podstawie tylko “psuje” rynek – skoro policja jest niedofinansowana, to nie powinien mieć kto w niej pracować, co spowodowałoby – siłą rzeczy – konieczność wzrostu finansowania. Skoro są chętni, to należy od nich wymagać 100% – okaże się za trudne, odpadną ofermy, nie będzie komu “robić”, zarobki wzrosną.

    Jojczenie, że są beznadziejni, bo mało im płacą, to dawanie przyzwolenia na branie pieniędzy (nawet “niewystarczających”) za nic. Co nie poprawia ani finansowania, ani jakości pracy.

    • Policja ma codziennie kilka tysięcy takich zgłoszeń. A szanse na namierzenie sprawcy zerowe, więc po co robić ofiarom nadzieję?

    • Skoro szanse są zerowe, to może należy zrobić coś, aby je podnieść?
      Oni robią wszystko, żeby nie przyjąć zgłoszenia – bo to by źle wyglądało w statystykach. I wtedy musieliby coś zacząć z tym robić.

  3. PKO BP pozwala podpiąć BLIK pod rachunek karty kredytowej. Jak wtedy wygląda droga reklamacji? Można wtedy skorzystać z charbacku Visy/MasterCarda?

    • Nie wydaje mi się, ponieważ oferentem limitu kredytowego (a to z niego finansowany jest BLIK) jest bank, a nie organizacja kartowa – ta druga organizuje jedynie “warunki” akceptacji – tj. standard EMV, sieci bankomatów, czy właśnie procedura chargeback:)) ale mogę się mylić

    • Nie. Konto a karta to dwa różnie twory. Już nie mówiąc o tym, że transakcję przy pomocy BLIKa pobierana jest prowizja w wysokości 0,4% a karta to przynajmniej dwa razy tyle, a dawniej było ponad 1,5%. Skądś kasa na chargeback musi się brać.

  4. Aby zapobiec miedzy innymi takim przekrętom Polska firma System Aegis tworzy system MIND, działający zupełnie inaczej niż dotychczasowe rozwiązania bankowe. Dodatkowo wywala z transakcji wszystkich środkowych ludzi (banki rowniez, bo w jakim celu one istnieją w świecie digital?). Potencjalny klient bedzie placil bezsporednio dla merchanta, system jest tak stworzony ze wyludzenie jest nie mozliwe

    • Portale o bezpieczenstwie sa pelne tych ktorzy mysleli ze czegos sie nie da i cos jest w 100% bezpieczne :)

    • Jak nie ma blockchaina to nie biorę.

    • Jeśli w jedną stronę nie będzie możliwe wyłudzenie, to będzie możliwe w drugą (albo sprzedawca może wyłudzić, albo odbiorca). Nie wymyślono jeszcze systemu, który chroniłby obie strony, bo to logicznie niemożliwe.
      Przykładowo co w przypadku, gdy sprzedawca twierdzi, że towar dostarczył (i ma “jakiś” podpis na liście przewozowym), a odbiorca, że go nie otrzymał?

    • Escrow.

    • Pamiętam, jak kiedyś większość ostrzeżeń o wyłudzeniach dotyczyła fałszywych schematów escrow :D

    • @Kenjiro – To sprzedawca odpowiada za niedostarczenie towaru i jakiś podpis nie jest tu dowodem.

  5. Czy ludzie się kiedykolwiek nauczą, że drogie zakupy, w szczególności od osób fizycznych, to jedynie z odbiorem osobistym po uprzednim sprawdzeniu towaru?

    Przecież nawet gdyby kazał wysłać paczką za pobraniem to i tak wcześniej trzeba opłacić odbiór. Późniejsze otrzymanie kasy wcale nie będzie natychmiastowe.

    • Poczta Polska oferuje opcję sprawdzenia zawartości przed nadaniem paczki, ale jest to mało znane i dodatkowo płatne. A co do zachowania ludzi – zgrabna historyjka (pobyt w Tajladnii) i “zaufany/bezpieczny” system bankowy czyni ludzi spokojniejszymi :( nie bez znaczenia pozostaje budowanie przez oszusta poczucia wyjątkowej okazji – tacy są ludzie i nic tego raczej nie zmieni;

    • @Błażej
      Co z tego, że wybierzesz sprawdzenia zawartości przed nadaniem paczki, skoro musisz sprawdzić paczkę przy odbiorze. Myśl człowieku, myśl!

    • Ta opcja ze sprawdzaniem przesyłki przy odbiorze przez kuriera lub listonosza jest dodatkowo płatna ale nic nie wnosząca do przesyłki jeżeli faktycznie będzie uszkodzona. To jest opcja ale na wyciągnięcie dodatkowej kasy, tak samo jak list priorytetowy. Listonosz ani kurier nie mają uprawnień do stwierdzenia, czy przesyłka została uszkodzona. Może co najwyżej napisać, że przesyłka [czyli paczka, a nie zawartość] nie ma lub ma znamion/a uszkodzeń. Zawartość ich nie interesuje. Listonosz, czy kurier nie są rzeczoznawcami.

    • Dodajmy jeszcze, że doręczenie przesyłki kończy jej byt dla firmy kurierskiej, tzn., jak już pokwitujemy odbiór (i zapłacimy pobranie), to chcąc odesłać paczkę, tę samą paczkę, tworzymy nową przesyłkę, za którą ktoś musi zapłacić firmie kurierskiej.
      To NIE jest tak, że płacimy, podpisujemy, mówimy, żeby poczekał, otwieramy – i jak nam się nie podoba, to my oddajemy paczkę, a kurier pieniądze. Nie.
      Opcja sprawdzenia packzi przy kurierze jest rzadka i oferowana tylko przez niektóre firmy. Jak każda dodatkowa usługa, jest dodatkowo płatna. Normalnie kurier nie musi czekać na otwarcie i sprawdzenie, jesli sie zgodzi, to tylko jego dobra wola. A niezgodnej zawartości nie odbierze. Najwyżej będzie świadek, który w określonych okolicznościch potwierdzi, że w środku była cegła.
      Do momentu doręczenia (podpis + ewentualne pobranie + fizyczne przekazanie paczki) paczka jest własnością nadawcy i nikt nie może jej otwierać. Kurier, który zwróci na magazyn otwartą niedoręczoną paczkę, będzie miał kłopoty.

  6. Sporo dobrych rad, ale nie dostrzegłem jednej: “NIE PRZEKAZUJ KODU BLIK OSOBOM TRZECIM!”. Przecież to kody wyłącznie do osobistego wykorzystania w serwisach transakcyjnych.

    • Ale na stronie www można już wpisać?

    • Tylko jak jest kłódeczka :)

  7. skoro “na fejsbuku” to nie spodziewam się żadnej kradzieży tylko całkowicie dobrowolnego przekazania pieniędzy po zastosowaniu niskich lotów socjotechniki

    a teraz zabieram się za czytanie

  8. Po mojemu chodziło o uwiarygodnienie. Konto, które działa parę lat, ma znajomych, jakieś posty, zdjęcia, będzie pewnie bardziej wiarygodne niż takie stworzone od zera i pustawe.

    • Jak kupujesz rower na osiedlu, to tez sprawdzasz czy sprzedajacy ma znajomych i zdjecia?

      Bo przeciez to uwiarygadnia.

    • no tak, tylko jak kupujesz rower na osiedlu to masz go przed oczami i zapewne mozesz go nawet wyprobowac przed zakupem, wlacz myslenie gosciu zanim cokolwiek napiszesz

  9. No ja wiem, że redakcja nie lubi języka polskiego, ale jak się pisze artykuł z poradami dla “przeciętnego internauty”, to by wypadało zrzuty ekranu po polsku dać.

  10. Przeceniacie chargeback. Ta procedura nie działa tak jak opisuje cie. Zgodnie z psd2 to bank wydawca karty decyduje o tym co zrobic z reklamacją. Transkacja kartą ktorą reklamujesz jest przyjmowana przez Bank jako reklamacja i to od banku zalezy co z tym zrobi. Bank moze uznac reklamacje, oddac pieniadze i nawet nie wejdzie w prcedure chargeback moze tez nie uznac reklmaacjk i wcale chargebacku nie zaoferowac. A moze odpalic chargeback i tu tez nie ma zadnej gwarancji powodzenia. Nie ma zadnej siły bądz regulacji organizacji kartowej ktora moze zmusic bank do skorzystania z procedury chargeback. Wiec żądanie od banku formularza chargeback to tylko czyjeś rojenia i wishfull thinking

    • Absolutnie się zgadzam. Zwłaszcza przykład z hotelem mnie rozczulił. Próbowałam, po tym jak pokój w mocno odbiegał od tego, za co zapłaciłam. Jak mam niby udowodnić zdjeciami, że klimatyzacja nie dzialała (środek lata, tzw. ciepłe kraje, ponad 30 stopni w dzień, w nocy niewiele mniej, a pokój z minimalną liczbą okien)?
      Jak mam udowodnić zdjęciami, że lodówka zamiast chłodzić – grzała?
      Jak mam udowodnić zdjęciami, że “ciepłe” śniadanie było zimne a własciciel (bo to on obsługiwał) miała to gdzieś?
      Jak udowodnić zdjęciami, że właściciel to niegrzeczny, ksenofobiczny burak, który od samego przyjazdu nas obrażał (polityczne i wyznaniowe komentarze dotyczące Polaków) (Ok, pytanie czy to podlega reklamacji)
      I jeszcze parę innych…
      Poszedł chargeback i co? Wlaściciel hotelu nie potwierdził, a wrecz zaprzeczyl, bo wszystko było jak należy.

      Także nie przeceniajmy chargeback jako pewnej metody odzyskania pieniędzy…

    • Wystarczy zrobić zdjęcie temperatury na termometrze.

  11. Pisząc w skrócie: jeśli oszust nas okradnie, to możemy liczyć na reklamację w banku. Natomiast jeśli sami damy oszustowi, to bankowi nic do tego.

    Trochę odbiegając od tematu. Od niedawna czytam Wasz blog, ale dochodzę do wniosku, że Internet stał się niebezpiecznym miejscem, odkąd pojawiły się w nim pieniądze i dane osobowe. W takim razie wpadł mi do głowy pomysł zrobienia nowego Internetu. Owszem, nowy Internet też się “zepsuje”, ale dopiero po następnych 30 latach, a póki co będziemy mieli powtórkę z rozrywki.

    Przy okazji rozwiązałoby to problem nie tylko z cyberoszustami, ale i z politykami i wielkimi firmami, które wymyśliły sobie ACTA2.

    • Był już podobny pomysł – poszukaj sobie o www2 …
      ;)

  12. A mnie ciekawi co na to KNF. Przecież PayPro ma obowiązek realizować dyrektywę AML i identyfikować beneficjenta ostatecznego każdej transakcji. Wiadomo że Skrill nie działa we własnym imieniu, tylko ostatecznie podstawia środki osobom fizycznym.
    Ciekawe czy kogokolwiek ten wątek zainteresuje.

  13. > niektórym podejście Google do prywatności może się nie spodobać

    To eufemizm: “podejście Google do prywatności”, zamiast tego powinno być “masowa inwigilacja przez Google wszystkich jego użytkowników i wszystkich, którzy się z nimi kontaktują”.

    Ja wiem, że logowanie do GMaila mają zabezpieczone nieźle, ale błagam, nazywajcie rzeczy po imieniu.

    • To nie zadziala. Redakcja niebezpiecznika traktuje gugla jak bozka, przed ktorym trzeba padac na kolana, a moze i wiecej.

      Sam nie korzystam z zadnego czeko-produktu od ponad 10lat,a blokade ich serwisow mam na routerze. I zyje, za konto pocztowe place komus innemu. W ostatnich kilku latach wydano kilka powaznych ksiazek o szpiegowaniu w sieci, warto poczytac.

    • @Czeslawski – jak zaczniesz odróżniać bezpieczeństwo od prywatności to zauważysz, że Google jest dla nas półbożkiem. Tam gdzie się należy – chwalimy. Tam gdzie są ryzyka – wskazujemy.

    • Uważam Piotrze, że przeceniasz zabezpieczenia Google, bo taki sam poziom zabezpieczeń możesz osiągnąć na własnym Linuksie z Roundcube (również 2FA). Oczywiście to żadna opcja dla “Kowalskiego”, ale dla takiego masz mnóstwo równie dobrze działających i zabezpieczonych alternatyw, a niektóre jak ProtonMail dużo lepiej chronią prywatność użytkownika.
      A jakby jeszcze wspomnieć o kiepskim interfejsie Google, który nie przystaje do obsługi poczty na poważnym biznesowym poziomie, nawet outlook.com jest tutaj lepszy…

    • Którym musisz administrować i który nie ma takiej wiedzy o masowych atakach. Niczego lepszego niż advanced protection w Gmailu nie widziałem. A co do interfejsu – De Gustibus Costam Costam. Ale po to masz IMAP żebyś sobie mógł nawet Outlooka podpiąć :)

      Mój komentarz (jak ten fragment artykułu) dotyczy tylko “bezpieczeństwa” Gmaila, nie aspektów prywatnościowych. Tym którzy tak zaciekle stronia od Google “bo prywatność” przypomnę tylko że ok 50% ich maili i tak jest na skrzynkach kontrolowanych przez Google – chyba E z nikim nie wymieniają wiadomości… :)

    • Akurat to, że trzeba samemu administrować serwerem pocztowym, to jeszcze jeden plus w kontekście bezpieczeństwa dżimeil vs prywatny serwer. Kontakt z żywym administratorem jest nie do przecenienia w razie przejęcia konta. Jest wtedy realna szansa na szybkie odzyskanie oraz zebranie dowodów. Odpada też potrzeba posiadania automatycznych mechanizmów odzysku czy resetu hasła, które są kolejną podatnością.

    • No jak nie masz co robić tylko wgrywać update’y, to spoko ;)

    • @Piotr Konieczny > “jak zaczniesz odróżniać bezpieczeństwo od prywatności to zauważysz, że Google jest dla nas półbożkiem.”

      Wybaczcie, że się wtrącę do Waszej dyskusji, ale skoro Niebezpiecznik ciągle straszy, że nasze dane wcześniej czy później wyciekną, to wychodzi na to, że prywatność to kwestia bezpieczeństwa. Nic nie wycieknie, gdy nie ma co wyciekać

    • @Daniel

      Nie zadawaj trudnych pytan, bo jesli nie gugle i nie aple, to niebezpiecznik nie bedzie mial zadnych porad dla mas. Gugle i aple to nasi wybawcy i tak juz ma byc!

    • @Daniel
      1. Niebezpiecznik nie straszy, a przestrzega (bazując na wiarygodnych przesłankach). To różnica.
      2. Bezpieczeństwo jest szerokim terminem (w j. polskim), ale prywatność to jednak zestaw innych cech jak i sposobu postępowania, jeśli tę wartość chcemy chronić.

      Prawdą jest to co piszesz, że nic nie wycieknie, jeśli nie ma co wyciekać — ale tego typu rekomendacja jest prawdziwa jak siedzisz w jaskini z czapką aluminiową na głowie. Jeśli korzystasz z jakiejkolwiek usługi, to dane z tej usługi mogą wyciec. Nie ma znaczenia, czy to GMail czy Proton czy WP.

      Nie ma lepiej dziś lepiej zabezpieczonej przed atakami hackerskimi, darmowej usługi poczty elektronicznej niż GMail. Czy się to komuś podoba, czy nie. Advanced Security Programme w GMailu dodatkowo podnosi jego bezpieczeństwo (usuwa możliwość przywrócenia hasła przez socjotechnikę supportu lub “pytania kontrolne”, jak i ataki przez duplikat karty SIM).

      Google daje to bezpieczeństwo “za darmo” i jak większość osób słusznie podejrzewa — nie ma niczego za darmo. Jak coś w internecie jest za darmo, to płacimy swoimi danymi. Celem firmy jest wiedzieć jak najwięcej na temat internautów (nie zawsze konkretnie — kowalskiego, a ludzi ogólnie), dzięki czemu mogą lepiej trafiać do tych osób z reklamami, a to właśnie na reklamach zarabiają.

      Niektórym to nie przeszkadza, bo lubią mieć dopasowane reklamy. Wybierają więc najlepsze bezpieczeństwo kosztem tego — dla nich nieznacznego — ubytku prywatności. I robią słusznie.

      Każdy kto podejmuje inną decyzję też robi słusznie. Bo pierwszym krokiem do bezpieczeństwa (rozumianego jako ochrona siebie na każdym froncie) jest analiza ryzyka. Trzeba ustalić CO jest dla kogoś najważniejsze i PRZED KIM chce to ochronić. Jeśli dla kogoś najważniejsze jest to żeby GOOOGLE nie poznało jego adresu IP, upodobań, siatki znajomych, to nie powinien korzystać z GMaila. Ale będzie mieć spory problem — bo jego znajomi z usług Google na pewno korzystają, więc nawet jeśli ma skrzynkę na niszowym, superbezpiecznym FooBarMail, to i tak maile które będzie wysyłał Google odczyta, ze skrzynek jego znajomych. Bo większość osób ma GMaila. I to jest dobre, dla ich bezpieczeństwa (rozumianego jako ochrona przed atakami). Mam nadzieję, że rozjaśniłem ;)

    • @Piotr Konieczny, ogólnie masz rację, ale mam drobne “ale”. Portale nie muszą nas śledzić, żeby serwować nam dopasowane reklamy. Np. na stronie o tematyce motoryzacyjnej można umieścić reklamę samochodu, bo jeśli ktoś na taką stronę wchodzi, to prawdopodobnie interesuje się motoryzacją. Tak więc śledzenie nas jest potrzebne przede wszystkim wielkim portalom, które chcą być uniwersalne, np. Facebook.

      Nie chcę spamować, ale jeśli można wierzyć oficjalnym zapewnieniom, prywatna wyszukiwarka DuckDuckGo opiera swoje reklamy na słowach kluczowych, a nie na naszej historii i naszych danych. (czyli jeśli szukasz samochodu, to masz szansę trafić na reklamę samochodu)

    • No więc dogłębnie opisałem ten “problem” w osobym artykule, Panowie: https://niebezpiecznik.pl/post/gmail-najbezpieczniejszy/

    • @Daniel
      Dopasowanie bez śledzenia jest niewiele warte.

      Bez śledzenia: wchodzisz na stronę o samochodach – dostajesz reklamę Toyoty

      Ze śledzeniem : wchodzisz na stronę o samochodach dostajesz reklamę BMW bo:
      – twoje przychody pozwalają na jego zakup
      – udzielasz się na forum BMW
      – od 3 lat nie zmieniałeś samochodu
      – przejeżdżasz rocznie 15 -17kkm
      – itd…

    • @Daniel – Duck Duck Go ostatnio zostało złapane na szpiegowanou użytkowników

  14. Ciężko mieć pretensje do BLIKa, tu zawinili tylko ludzie, a nie technologia. Jeżeli klient podaje kod, potwierdza operację, nie zgłasza że pojawiła mu się jakaś nieznana operacja (w końcu sam ją wykonał), to ciężko winić firmę, że wysłali pieniądze tam gdzie klient kazał.
    Jedyne co można tu robić to edukować, przede wszystkim, że oszuści w sieci to powszechne i realne zagrożenie.
    BTW Nawet gdyby nikt nie ukradł tożsamości tej kobiety, to przelewanie pieniędzy w ciemno komuś kto rzekomo siedzi w Tajlandii jest mocno ryzykowne. Zawsze może wziąć pieniądze, nic nie wysłać i śmiać się z naiwności oszukanej osoby, na drugim końcu świata będzie bezkarna.

  15. Macie jakiś pomysł w jaki sposób klient wyprowadzi tyle kasy ze skrilla? Weryfikacja konta to zdjęcie twarzy z dokumentem w ręce, dopiero wtedy dostaniemy kartę, która przyjdzie na jakiś fizyczny adres poczta. Wtedymoze wybrać gotówkę i to tez z jakimiś limitami. Możesz przelać kasę na konto słupa, tylko po co wtedy bawić się ze skrillem? Jest jakaś giełda krypto, która przyjmuje skrilla? Wydaje mi się, ze to raczej ciężka opcja i Skrill pewnie to zablokuje.

  16. Artykuł jak zawsze elegancki, aż strach pomyśleć, że wciąż jeszcze znajdują się tak naiwni… i jeszcze #protip na Wasze kolejne wpisy: linkujcie zewnętrzne adresy by otwierały się w nowej karcie! ;)

  17. Płacić z Escrow. tylko tak prowizja.

  18. Ludzie mnie załamują.. chyba mają dużo pieniędzy skoro stać ich na wpłaty po kilka tys za ładne zdjęcia.

  19. Jedna rzecz w tej historii mnie nie pasuje. Jeśli ktoś przejął konto FB i zmienił imię i nazwisko, to czemu znajomi pani Agaty dostali zaproszenie do znajomych od FB, skoro tymi znajomymi już byli? Zmiana imienia i nazwiska nie powoduje kasacji listy dotychczasowych znajomych.

    • Jest mowa o tylko jednym znajomym z pracy, który dostał zaproszenie. Podejrzewam, że złodziej wysłał zaproszenia do osób, które poszkodowana mogła znać, a które podpowiadął FB na podstawie książki telefonicznej, znajomych jej znajomych itp.

  20. A co to znaczy, że powinienem używać Gmaila? Że miliony much nie mogą się mylić?

    • Masz wytłumaczone zdanie dalej.

  21. Bezpieczniki, mam problem. Albo raczej Google /Firefox mają. Od jakiegoś czasu dostaje SMS o treści “Use G-(6 cyfr) to sign in to k***n@gmail.com using 2-Step Verification. Never forward this code.”. Problem w tym że hasło do maila mam jedyne, unikatowe, długie i ciężkie do zapamiętania (ok. 60 losowych znaków). Hasło zapisane wyłącznie w Firefoxie na laptopie i w mojej komórce. 2FA włączone więc nikt się nie wbija na konto. Nowych urządzeń na liście brak, do telefonu i laptopa dostęp zaszyfrowany hasłami (nikt ze znajomych ani domowników), choć na maila żadne powiadomienia mi nie przychodzą. Bać się o konto?

    • @Krishna

      Dla mnie to wygląda, jakby jakaś a) apka ze smartfona lub b) serwis otwierający się w tle na lapku uzupełniał/a hasło do google i zatrzymywał/a się na 2FA. Może sprawdź taką możliwość.

  22. To nie zaden “atak”. To dobrowolne zrzekniecie sie wlasnych pieniedzy na rzecz osoby trzeciej.
    “To Ty mie podawej kody BLIK i zatwierdzej a jo atakuja”. Nonsens…

  23. Zamykanie starych skrzynek mailowych to chyba nie najlepsza porada. Przecież w takim przypadku oszust nie będzie musiał się na nie włamywać a po prostu założy nową (pod tą samą nazwą).

    Ważne jest aby poodpinać starą skrzynkę od innych kont, dla pewności wyczyścić całą zawartość skrzynki ale właśnie NIE USUWAĆ jej. Aby w razie gdy zapomnimy (a na pewno zapomnimy) odpiąć ją od jakiegoś serwisu, nie ułatwiać jego przejęcia.

  24. Czytam niebezpiecznik.pl od pewnego czasu (włącznie z materiałami archiwalnymi) i nie znalazłem waszego stanowiska w sprawie bezpieczeństwa PayPal-a. Wiem, że posiada on pewne mechanizmy reklamacyjne, co w połączeniu z możliwością przekazania pieniędzy drugiej osobie nie sprawia, że jest to dobre narzędzie do płatności za rzeczy kupione z pominięciem jednostek biorących prowizję za pośrednictwo w transakcjach (allegro)?

    • Ogólnie, to na PayPal’u masz dwa typy transakcji:
      – prywatne: przesyłanie pieniędzy na e-mail, wpłaty, wypłaty (bezprowizyjne, tylko z konta PayPal – czyli w praktyce wymagane doładowanie kontem bankowym a nie KARTĄ, natychmiastowe i bez możliwości odwołania)
      – publiczne: transakcje poprzez PayPal.me, API, bramki płatności lub kilka innych możliwości dostępnych w USA/UK – tutaj PayPal pobiera prowizje, i włącza nas do programu ochrony kupujących; możemy tutaj zapłacić kartą bezpośrednio, i zyskać dodatkową ochronę (chargeback)

      Sama procedura reklamacyjna przebiega tak samo sprawnie jak w bankach, choć mnie oszukano jedynie na 30 PLN (nie wiem jak z innymi przypadkami) – pieniądze dostałem po 3 tygodniach od otwarcia sporu.

  25. A jak jest z bezpieczeństwem płatności kartą podpiętą pod PayPala?

  26. Pokutuje tu skąpstwo i szukanie okazji. Od dawna informuje się, że wszelkiego rodzaju promocje mają drugie dno. Nikt nie odda dóbr taniej bez powodu, zawsze jest haczyk. Czy to market czy olx.
    Gdyby przeliczyć ile czasu i nerwów tracimy na rzekomych promocjach czy używanych przedmiotach bez gwarancji, to ten czas przeznaczmy na zarobkowanie i kupujmy nowe, pełnowartościowe przedmioty od renomowanego sprzedawcy. To ukróci także cały ogon przekrętów zwz z promocjami.

  27. Do kitu ten BLIK jeśli nie ma czegoś takiego jak chargeback.

  28. […] sprawie pisze serwis Niebezpiecznik. Proceder ma już trwać od kilku miesięcy. Przestępcy wyłudzają pieniądze sprzedając […]

  29. jak place w sklepie za artykuly to mam paragon/fv, jest potwierdzenie kto komu ile za co gdzie i kiedy, jak robie przelew to mam potwierdzenie jw. jak place blikiem to tak jakbym zgubil pieniadze, zadnych sladow? czy ktos oprocz p. beaty czyli o zdrowych zmyslach wogole z tego korzysta? szok.

  30. To że ktoś jest ameba i dobrowolnie w ciemno daje kod blik nie jest okradany, tylko świadomie oddaje komuś pieniądze.

    • Sam żeś człowieku jest ameba. No bo jaka istota rozumny ocenia tak innych, zamiast okazać empatię? Serio, nikt się nie zna na wszystkim. Umiesz ugotować Homard Thermidor? Potrafisz wymienić magnetron w mikrofali? Ułożyć płytki w na ścianie w łazience?

  31. To co polecam wszystkim bez wyjątku jeśli chodzi o bezpieczeństwo to ukryjcie informacje o sobie w tym dane kontaktowe. Zaskakujące jest to jak wiele osób nadal ma publiczne dane, albo w ustawieniu znajomy znajomych.

  32. Moze troche nie do konca na temat ale chyba warto:

    Czy ktos moze zauwazyl nowy (choc moze nie nowy) FEATURE/BUG w aplikacji mobilnej mBanku? Problem dotyczy limitow na platnosci w internecie dla karty debetowej przy ustawianiu w aplikacji na androida (tu sprawdzalem).

    Bug wywoluje zmiana limitow w pewien okreslony sposob: ja zazwyczaj mam ustawione limity na transakcje internetowe na 0, a gdy chce za cos zaplacic ustawiam limit tymczasowy na odpowiednia wartosc dla przykladu powiedzmy 33zl. Bug ujawnia sie gdy zrezygnujemy z zamiaru platnosci i ustawimy wartosc limitu tymczasowego z owych 33zl z powrotem na 0zl.

    Aplikacja w swoj standardowy sposob potwierdza ze dokonuje zmiany limitow na 0, ponowne wejscie w ustawienia limitow rowniez potwierdza ze wszystko jest OK – limity wynosza 0zl.

    Tylko ze: nastepnego dnia limit dzienny (nie tymczasowy) w magiczny sposob samoczynnie ustawia sie na owe 33zl. Ja sam nie moglem w to uwierzyc i powtarzalem ten eksperyment przez kilka dni z rzedu z roznymi kwotami dla limitu tymczasowego. Efekt zawsze ten sam, nastepnego dnia limit dzienny przybiera wartosc limitu tymczasowego z dnia poprzedniego.

    Zeby bylo jeszcze ciekawiej, proba zmiany tego samoczynnie ustawionego limitu dziennego bezposrednio na 0, nie przynosi skutku. Aplikacja potwierdza ze dokonano zmiany, ale po wejsciu w ustawienia wartosc limitu nadal widnieje jak przed proba zmiany. Aby dokonac rzeczywistej zmiany na zero trzeba najpierw dokonac zmiany posredniej na inna wartosc, a dopiero w nastepnym kroku na 0. Wtedy faktycznie limit zostaje ustawiony na 0.

    Zawile – wiem, niestety u mnie doprowadzilo to to rozliczenia platnosci ktora chcialem zablokowac (wiem, mozna reklamowac, chargeback itp.) Probowalem informowac bank o moim spostrzezeniu, niestety sila sprawcza szeregowego klienta jest zerowa. Przy 3 probie kontaktu w tej sprawie po moich wyczerpujacych opisach i naciskach poinformowano mnie ze to jest FEATURE a nie BUG, powaznie. Naprawde konsultant poinformowal mnie, ze klienci oczekuja iz w momencie ustawienia limitu tymczasowego na 0 ich limit glowny zmieni sie nastepnego dnia na poprzednia wartosc limitu tymczasowego (pomimo faktu ze aplikacja potwierdza zmiane limitow na 0). A poza tym, to kto ustawia limit tymczasowy na zero, hmm.. Ja. No i jeszcze dowiedzialem sie ze jakos strasznie czesto te limity zmieniam ;).

    Niestety klient nie ma dostepu do hostorii zmian limitow, przy probie kontaktu bank mowi ze klient tak ustawil limit i kropka.

    Podsumowanie jest nastepujace, jesli w danym momencie nie chce sie placic wylaczac dostep do platnosci w internecie calkowicie, limity ustawione na 0 nie daja 100% gwarancji “zera”. Pozostaje pytanie: kto zagwarantuje ze nastepnego dnia ta blokada w automatyczny sposob sama sie nie odblokuje. Taki kolejny FEATURE.

    Pozdrawiam klientow mBanku w nowym roku.

    • Znamy inne osoby z podobnym problemem.

  33. Zauwazyl ktos ze na screenie z blika jest “Katarzyna Swiniarska” – to samo nazwisko niedawno pojawilo sie na problemie z biletami Intercity. Przypadek???

  34. Mam pytanie o U2F. Czy jak kupie taki token bez nfc to na smartfonie nie bede mógł używać np konta gmail?

    • Będziesz mógł przez aplikację i tzw. application password, generowane z poziomu ustawień Konta Google

    • Rozumiem, dzięki. w takim razie kupuje ten niebieski. Jeszcze jedna kwestia: laspass, keypass czy bitwarden? :)

    • Panie Piotrze, ma Pan przestarzałe o parę dobrych lat informacje. Na nowych Androidach można podłączyć token przez przejściówkę. Sam tak robię, więc wiem. A token z NFC to trochę overkill, bo przecież nikt przy zdrowych zmysłach nie loguje się na telefonie do maila co pół godziny. :P

      PS: Jeśli chodzi o posiadaczy iPhone’ów, to najprostszym wyjściem jest kupienie Samsunga.. i będzie spokój. ;)

    • @: to nie są przestarzałe informacje, to jest odpowiedź na pytanie. Będzie mógł? Będzie – aplikacja GMaila nie potrzebuje kluczy U2F, żeby działać. Nie napisałem, że z nimi nie działa. Działa. I to zarówno na Androidzie — tak jak sugerujesz — jak i na iPhone. Tak, klucze Feitiana U2F po BlueTooth nawet przy GMailowym Advanced Security pozwolą uwierzytelnić aplikację mobilną GMaila na iOS. Więc zdecydowanie użytkownicy iPhonów nie muszą kupować Samsunga. Nigdy też (niezależnie od systemu mobilnego) nie trzeba klucza co chwilę przystawiać. On służy do jednorazowego potwierdzenia. Potem jak aplikacja jest zalogowana to zostaje zalogowana tak długo dopóki jej ktoś nie wyloguje.

    • Czyzby zatem Intercity tez zaliczylo jakis atak a nie tylko “zapomnialo o WHERE”?

  35. Czy to prawda że do advanced protection googla potrzebuje dwóch kluczy?

  36. Na jednym ze zdjęć widać dane Katarzyny Świniarskiej. Gdy był błąd z biletami elektronicznymi PKP to na skutek błędu wszystkie bilety były na… Katarzynę Świniarską. Zbieg okoliczności?

  37. Miałem podobny przypadek parę lat temu, ale z innym tworem: Idea Bank. Oferowali lokaty zakładane online na 7%, ale mój dowód był już nieważny i formularz online nie dał się wypełnić do końca. Jednak szybko ktoś z tego banku do mnie zadzwonił, bo dane kontaktowe były na wcześniejszym etapie i po pogadaniu o co mi chodzi umówił się na osobistą wizytę. Cały wał odbywał się w siedzibie banku i wykonywało go 2 pracowników. Atmosfera miła, ale trochę napięta czasowo, pan się spieszył, że ma kolejnego klienta, język też niejasny, ale ładnie brzmiący. Zamiast lokaty wciskali umowę na produkt strukturyzowany ‘lokomotywa europy’. Nic to, gdyby nie to, że jedyna możliwość skorzystania z niej to zlecenie przelewu u nich w siedzibie na miejscu i podpisanie umów na miejscu. Oferta tylko tu i teraz. Więc złożyłem zlecenia przelewów na konta z umów przez internet na miejscu. Teraz wiem już czemu tak nalegali żeby się pospieszyć – była prawie 17 i na moje szczęście przelewy już nie wyszły, a po powrocie i zobaczeniu dokładnie co jest w umowie (ryzyko do którego nie mogłem doczytać, bo im się spieszyło) i że daleko temu od lokaty, anulowałem je oszczędzając sobie problemów z odkręcaniem tego oszustwa. Więcej szczęścia niż rozumu. Ciekawe czy od podpisanych a nieopłaconych tez zgarniali prowizję.

  38. “Reklamacji transakcji BLIK jest stosunkowo niewiele.”
    Czyżby odpowiedź od samej dyrektor pionu komunikacji czy coś tam?

  39. Witam,

    Mam mieszane odczucia dotyczące całej sprawy… Nie wiem czy sytuację określić mianem oszustwa/złodziejstwa czy raczej głupotą/rozdawnictwem? Nie znajduję tu winy BLIKA, pośrednika czy banku a jedynie tej Pani. Co tu zostało ukradzione? Został wykorzystany kod wygenerowany przez właściciela konta, transakcja autoryzowana przez właściciela konta. Co innego gdyby oszust przejął konto bankowe ofiary, zwinął jej telefon i robił transakcje BLIKIEM. Jak można komuś obcemu, przez internet przekazać kod BLIKa? Masakra. Łatwowierność i brak elementarnej rozwagi ludzi jest porażająca.

    Aż czasami sam mam ochotę zacząć robić takie numery widząc jakie to łatwe i brak zainteresowania policji…

    Co do bezpieczeństwa google to przyznam rację Piotrowi. Gmail to bezkonkurencyjny poziom darmowego bezpieczeństwa dla mas. Mas, które w większości zgadzają się na to kosztem prywatności “bo i tak nie mają nic do ukrycia”. Podobnie jak to jest z Windowsem 10. Dodatkowo nikt nie ma pewności czy Onet lub WP nie czyta maili swoich użytkowników, a te konta przejąć można bardzo prosto.

  40. Hej, Protonmail czy gmail jeśli chodzi o security?

  41. Pytanie w kwestii opłacania kartą przez internet. Otóż pewnym kontrargumentem używanym przeciw tej metodzie jest “Bo w banku powiedzieli by tego nie używać, bo to wtedy jest logowanie na konto przez stronę trzecią i mogą wtedy podejrzeć moje dane logowania i w razie czego to bank nie uzna gwarancji, lepiej blikiem przez telefon bo loguję się bezpośrednio i żadne alegro czy inny oeliks nie przechwytują”. Jak to wygląda w praktyce?

  42. Po przeczytaniu artykułu – stwierdziłem że jest jeszcze jeden drobizg , taka ot ,subtelnośc której nie poruszyliście (a może trzeba ..?) .

    Chodzi o sam proces gaszenia pożaru po włamaniu i utracie konkretnej skrzynki mailowej – czyli ‘przypominania sobie’ – “gdzie ja jeszcze tę cho..erę miałem ? ”

    Otóż pamięć ludzka bywa zawodna (nie to nie jest stwierdzenie po oglądnięciu xx godzin prac komisji sejmowej :P ) ale fakt że właśnie zawodzi nieraz , kiedy jest to najbardziej palące. Nie znam chyba nikogo kto potrafiłby wyrecytować listy wszystkich serwisów w których ma/miał kiedyś konto założone na tego komretnie maila (chyba że byl to jego jedyny mail :D :P )

    I tutaj właśnie z pomocą przychodzi dobry PASSWORD MANAGER …!!
    Za jego pomocą możemy bowiem szybko w jednym posunięciu wyszukać sobie wszystkie hasła (konta, serwisy ) w których do zakładania użyliśmy konkretnego adresu mailowego. Warunek : że podczas zapisywania każdego z nich (przy zakładaniu) dodaliśmy choćby w uwagach nowego kontaktu – adres mailowy na który to konto rejestrowaliśmy . Drobna rzecz, a cieszy :) Tylko trzeba się tego trzymać z niesamowitą wręcz konsekwencją. Ale z drugiej strony – cóż szkodzi wklepanie (czy wklejenie) tych kilkunastu dodatkowych literek za każdym razem ? ;)

    Pozdrawiam

  43. ALIOR Bank nie daje możliwości usunięcia transakcji która jeszcze nie poszła do systemu Eliksir. “Autoryzowanych transakcji nie można wycofać”. Z mojego doświadczenia nie wiedzą co to Charge back.

  44. Najlepiej to nie mieć aktywnego BLIKa. Skoro robisz transakcje kartami to po co BLIK? Do dzisiaj nie mam tego aktywnego.

    Co do przelewów na MOneyBookers – u nich można zgłosić nazwy kont (chyba są na przelewach) a jeśli nie w ogóle opisać sprawę i podać trochę danych. Działają jak PayPal – kasy nei zwrócą ale utrudnią odebranie pieniędzy.

  45. Szkoda, że nie zobaczyłem tego artykułu wcześniej, bo zostałem oszukany dokładnie w ten sam sposób.

  46. Apropos banków danych osobowych i bezpieczeństwa – naszła mnie taka wątpliwość :
    – a co w sytuacji kiedy padniemy ofiarą wyłudzenia naszych danych w jeden z najprostszych chyba i trudnych do uniknięcia zarazem (A przynajmniej wymagających) sposobów – czyli ‘na fałszywego konsultanta działu windykacji’ ?
    Zauważcie że w klasycznych tego typu sytuacjach (kiedy np. śliźniemy się o parę dni ze spłatą raty kredytu :) ) z reguły dzwoni do nas telefon – z numeru identyfikującego się jako bank (lub też możliwego do rozszyrowania jako bankowy) lub nie. Rozmowa w skrócie wygląda tak:

    =========================================================
    – Dzień dobry Bank Bezpiecznej Kasy Oszczędzania Petronela Nieświeska czy rozmawiam z Panem Janem kowalskim ?
    – Tak słucham ,
    – Dzwonię z banku w sprawie Pana konta i istniejącego na nim zadłużenia, ale żebym mogła udzielić Panu szczegółowych informacji muszę zadać Panu kilka pytań celem weryfikacji. Czy możemy kontynuować ?
    Niepodejrzewający niczego Jan Kowalki zelektryzowany słowem “zadłużenie” odpowiada szybko:
    – Tak, oczywiscie
    – Dodam tylko że w celu zapewnienia bezpieczeństwa nasza rozmowa jest rejestrowana elektornicznie, kontynuacja z Pana strony bedzie oznaczała zgodę na rejestrowanie rozmowy . […]
    – Pana data urodzenia oraz miejsce urodzenia ?
    – 01.01.1970
    – A jeszcze miejsce urodzenia ?
    – Warszawa
    – Dziękuję, poproszę jeszcze o nazwisko panieńskie Pana matki ?
    – Nowak
    – Dziekuję . I ostatnie pytanie :
    Proszę podać 6-cio cyfrowy numer identyfikatora klienta stosowany przy zarządzaniu usługą weryfikowania elektronicznego transakcji ?
    – Yy…. nie posiadam takiego numeru….A przynajmniej nie pamiętam go teraz i chyba sobie go nie przypomnę , czy może jakieś inne pytanie ?
    (tak naprawde nigdzie w usłudze elktronicznej oferowanej przez Bank Bezpiecznej Kasy Oszczędzania nie figuruje i nie figurował nigdy taki identyfikator.
    – Dobrze w takim razie w celu ostatecnzego potwierdzenia Pana tożsamości , żebym mogła kontynuowac z Panem rozmowę – prosze o podanie numeru dowodu osobistego bądź numeru pesel ?
    – W takim razie – momencik sprawdzę (słychać szeleszczenie dokumentami) – mój Pesel to 79010104714
    – Dziękuję, wszystkie dane są poprawne. Panie Janie na Pana koncie figuruje niewielka niedopłata, z tego co teraz widzę powstałą stosunkowo niedawno , … tak , wygląda na to że jest to skutek nie uiszczenia jakiejś opłąty utrzymaniowej bądź manipulacyjnej .
    – Ale tam nie powinno być żadnej niedopłaty ,powinnie nawet być pewien plus niewielki ale jednak … – troche zaskoczony i zbity z tropu Jan Kowalski wyraźnie próbuje negocjowac.
    – Prosze o chwilę cierpliwości …sprawdze to dokładnie
    [I tutaj słychać miłą muzyczkę w tle , po dłższej chwili głos konsultantki powraca]
    Dziekuję za cieprliwośc- sprawdziłam wszystkie dane, faktycznie była to kwota zaksięgowana na poczet przelewu który został później zrewidowany i z jakichś powdów wycofany. Niemniej w systemie widze tutaj mała zaległość, pewnie to skutek tamtej pomyłki i wycofania przelewu , ale na wszelki wypdek, o ile to nie Pan wykonywał bądź zlecałtą operację sugerowałabym żeby udał się Pan bezpośrednio do SWOJEGO oddziału Banku i wyjaśnił tą sprawę z opiekunem Pana konta. Tak bedzie najlepiej bo tylko on może wprowadzić tutaj poprawkę jesli przeleew był zlecony a potem wycofany.
    – Ale ja …nie pryzpominam sobie hcyba takiej sytuacji, prosze Pani, cyzmoże pani mi dokładniee powiedzieć …
    – Prosze Pana ja tylko dzwonię aby przypomnieć o ciążącym , wicdocznym w sytemie niewielkim zadłużeniu, jak PAn mówi pewnie jest to wynik pomyłki, ale ostatecnzie wyjasnić tą sprawę może Pan tylko u swojego opiekuna konta, poniewaz jest to związane z alokacją środków na Pana koncie i dyspozycjami od jego włąsciciela. Tak ze najlepiej jeśli Pan się uda niezwłocznie do oddziału banku. Prosiłabym aby zrobił to Pan d o 3 dni ponieważ póxniej jeśl izaległośc się przeterminuje – mogą dojsc do tego niepotrzenie opłaty za upomnienia i wysyłaną od Pana korespondecję.
    – Rozumiem, dziekuję i oczywiście sprawę wyjaśnię zaraz, jeszcze dziś pewnie
    – Ma Pan czas do trzech dni na to , ja tutaj w systemi zostawiam informajcę że sprawa jest do wyjasnienia i termin do 15 stycznia, dobrze?
    – Tak, tak …
    – W takim razie dziękuję za rozmowę. Do widzenia .
    ==================================================================

    Wszystko w porzadku ? Tak wygląda, ale przecież dzwoniącakonsultantka wcale nią nie była,
    chodziło tylko o wyciągnięcie kilku danych od wyprowadzonego (lekko, ale przecież rozmowa mogła być poprowadzona odrobinę mocniej – mocniejsza przynęta) a jedyne co musiała wiedzieć “zła kobieta” było imie i nazwisko oraz bank w któym ofiara (Jan Kowalski) posiadał konto . Nawet nie musiał być on wcześniej zadłużony czy psiadać kredyt !

    Oczywiście ktoś powie – bzdura” ja bym sie nie nabrał na taki szwindel” ,ale czy istotnie ?
    Jeśli atakujący, lepszy lub gorszy socjotechnik, trafi w nasze obawy, albo potrafi w dużym stoniu operowac emocjami odbiorcy i zna podstawy słownictwa bankowego (lepiej niz to przedstawiem na przykładzie) może zastraszając na wstępie ofiarę łatwo osągnąć swój cel. Czyli kradzież danych (A moze jeszcze pryz okazji dodatkowych informajci na emat depozytów, kont oszcędnościowych jesli mu ise ofiara zacznie bardziej tłumaczyci przekonywać go … :)

    Na koniec tego przydługawego tekstu – chciałbym zadac pytanie do załogi @Niebezpiecznika – czy istnieje jakiś ustandaryzowany sposób WERYFIKACJI dzwoniącego do mnie konsultanta(?) . Tj. sposób na który musiałby on odpowiedziec tak-a-tak, np podając szybko IBAN swojego banku albo jakąś inną daną którą można by zweryfikować ? Bo oczywiście moze i moge odmówić kontynuacji takiej konwersacji, ale kto z nas słysża alarmującą info o zadłużeniu na koncie – nie będize chciał sprawy od razu wyjasnić ?

    Pozdrawiam

  47. A co z voucherem? Numer był prawidłowy i zgodnie z mailem od Itaki został wykorzystany. Ktoś go wykorzystał a jak zdobył go oszust?

  48. He he :)
    Jak to ja lubię samospełniające się przepowiednie :P

    Napisałem tu 17.01.2019 krótki tekścik z przykładem sfingowanej rozmowy gdzie rzekomy pracownik windykacji banku X dzwoni i pod “presją chwili” uzyskuje od niczego nie podejrzewającego klienta wszystkie interesujące go dane osobowe…

    Nie minęło więcej niż tydzień – a już pewien mój klient informuje mnie że “właśnie taką podejrzaną rozmowę odbył” tyle że nie z bankiem ale z – rzekomo – pracownikiem pewnej znanej i dużej firmy ubezpieczeniowej działającej od lat na naszym rynku . Tym razem haczykiem nie było zadłużenie na koncie ale jakaś , podobno istniejąca polisa, z którą coś (jakąś decyzję rzekomo należało podjąć ….

    Na szczęście mój znajomy zachował przytomność umysłu i żadnych danych prócz potwierdzenia na początku imienia i nazwiska nie podał. Po sprawdzeniu i skontaktowaniu się z biurem tej że firmy ubezpieczeniowej – okazało się że jest to prawdopodobnie jakaś większa akcja i że firma ubezpieczeniowa jej na pewno nie aktualnie prowadzi i nie jest autorem żadnych tego typu telefonów przychodzących do klienta….

    @niebezpiecznik – może by się tak tematowi ciut bardziej przyglądnąć ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.