20:27
18/6/2015

Tydzień temu na konferencji Infoshare opowiadałem o atakach socjotechnicznych, jakie w ramach wykonywanych przez nas testów penetracyjnych przeprowadzaliśmy na klientach. Wspominałem też o 3 polskich firmach, które padły ofiarą chińskich oszustów (straty łącznie wyniosły ponad 3 miliony złotych). Po prelekcji podszedł do mnie Piotrek Canowiecki, współzałożyciel ChinskiRaport.pl, serwisu zajmującego się weryfikacją wiarygodności chińskich firm. Wynikiem naszej pogawędki jest niniejszy, napisany przez Piotra artykuł, który ukazuje kilka dodatkowych sposobów na przekręt.

x 5

Potęga Chin w handlu internetowym

Chiny to coraz popularniejszy kontrahent dla polskiego biznesu. Wzrasta zainteresowanie chińskimi serwisami B2B (np. Alibaba), a niektóre z polskich firm całkowicie przenoszą produkcję do Chin. Z tego powodu warto uświadomić sobie, jakie rodzaje oszustw (tzw. scamów) spotyka się podczas prowadzenia interesów z Państwem Środka. Oto 3 najbardziej popularne – każdy z nich widzieliśmy kilkukrotnie.

Nie chcemy, abyście każdą firmę z Chin traktowali jako potencjalnych oszustów – wielu polskich przedsiębiorców z powodzeniem od lat prowadzi udany i uczciwy handel (zarówno import jak i eksport) z Państwem Środka. Mamy jednak nadzieję, że przekazane przez nas rady pomogą uczulić Was na pewne scamy i być może uchronią nie tylko przed rozczarowaniem, ale również przed utratą pieniędzy.

“Big Order Scam”. Oszustwo na duże zamówienie

Ten wariant oszustwa nasila się od 2 lat. Ataki wycelowane są głównie w przedsiębiorstwa zajmujące się produkcją (ale także np. usługami). Firmy typowane są najprawdopodobniej na podstawie internetu, a schemat jest zawsze podobny. Polska firma dostaje email w którym Chińczycy przedstawiają się jako duże przedsiębiorstwo, chcące zakupić bardzo duży wolumen produktu sprzedawanego przez Polaków (stąd potoczna nazwa oszusta).

Chiński pendrive

Chiński dongle ;-)

Dla przykładu przyjmijmy, że ofiarą jest polska firma, która produkuje okna, a wartość zamówienia przekracza milion euro. Polacy robią wycenę (haczyk połknięty) a Chińcycy przystępują do negocjacji (dla zachowania pozorów). Po wymianie kilkunastu maili (często wykorzystywane są także Skype i telefon), negocjacje kończą się propozycją strony chińskiej, aby przedstawiciele producenta okien przyjechali na podpisanie kontraktu do Chin.

Oszustwo jest przygotowane bardzo profesjonalnie, z lotniska ofiary przekrętu odbiera dedykowany szofer, zabiera do firmy, a potem hotelu. Polacy proszeni są aby przekazać od paruset do kilku tysięcy euro na prezent dla prezesa chińskiej firmy (tu działa tłumaczenie oszustów, że tak wypada w chińskiej kulturze) lub na notariusza, który ma prawnie potwierdzić ważność kontraktu (w tej roli występuje oczywiście podstawiona osoba, nie prawdziwy notariusz).

Czasami pojawiają się inne schematy ataku, np. bardzo wysoki rachunek za kolacje, który mamy zapłacić, czy certyfikat, który rzekomo jest wymagany przez chiński rząd (a swoje kosztuje).

Ofiary są w obcym kraju, w obcym mieście, nie znają języka, a ponadto są wabieni kontraktem opiewającym na pokaźną sumę. Po paru dniach polscy przedsiębiorcy biedniejsi o parę tysięcy euro i bogatsi o nowe doświadczenia, a przekonani o sukcesie (kontrakt jest podpisany!) wracają do kraju. Oczywiście do żadnej transakcji finalnie nie dochodzi. Najczęściej kontakt ze strony chińskiej urywa się, choć zdarza się że oszuści wyślą maila w którym informują o niemożliwości finalizacji kontraktu. Często chińska firma okazuje się jednoosobowym przedsiębiorstwem zarejestrowanym na skrytkę pocztową. W innych przypadkach nie ma żadnej rejestracji, jedynie strona internetowa, i co zaskakujące — to dla wielu wystarcza.

Jakie środki zapobiegawcze podjąć?

Zweryfikować czy chińska firma ma prawną rejestracje, licencję importową, w jakich branżach faktycznie działa i czy ma możliwości zakupowe dużego wolumenu towaru (kapitał). Pamiętajmy także o tym, że ofiarami takiego wyłudzenia może paść zarówno producent dachówki jak i firma zajmująca się tworzeniem oprogramowania czy stron internetowych. Zawsze podchodźmy ostrożnie do bardzo dużych zamówień z Chin.

china-bank-money

Były pracownik podmienia numer konta

To oszustwo jest cały czas popularne. Dokonuje go najczęściej były pracownik firmy chińskiej, która sprzedaje towar za granicę ,a ofiarą padają firmy, które od lat kupują produkty z Chin od konkretnego dostawcy. Należy pamiętać, że z przyczyny różnicy czasu najczęstszym środkiem komunikacji z Chinami jest poczta elektroniczna.

Polacy z reguły mają kontakt z konkretnym pracownikiem firmy (sales manager etc.) i ponieważ od lat bezproblemowo współpracują – ich czujność jest uśpiona. Dlatego kiedy pewnego dnia dostają emaila od swojego sales managera informującego o zmianie numeru konta bankowego na inne, często nie wzbudza to ich podejrzeń. Konto jest jednak podstawione, a e-mail – choć wysłany z odpowiedniego adresu – to został albo nadany przez osobę, która została zwolniona (tak, Chińscy pracodawcy nie zawsze pamiętają o zablokowaniu kont byłych pracowników…) albo wysłany przez odpowiednią bramkę, która pozwala podrabiać adresy nadawcy (ktoś dowiedział się, że polski kontrahent spodziewa sie faktury za dostawę towaru – jak, o tym w kolejnym scamie poniżej).

Jakie środki zapobiegawcze podjąć?

Zweryfikujmy czy osoba jeszcze pracuje w firmie i czy faktycznie doszło do zmiany numeru konta. Pamiętajmy, że nawet jeżeli osoba komunikuje się z nami poprzez adres mailowy z domeny firmowej może już nie pracować w firmie lub sam e-mail jest podrobiony (zespoofowany).

xx

“Man-in-the-middle”. Podmiana konta bankowego po raz drugi

Może nam wydawać się to śmieszne ale wiele komputerów w Chinach cały czas używa przestarzałych systemów operacyjnych, na przykład Windows XP, którego Microsoft nie wspiera już uaktualnieniami bezpieczeństwa. Fakt ten wpływa na dużą podatność na różnego rodzaju ataki i złośliwe oprogramowanie.

Jednym z takich ataków może być tak zwana technika “man-in-the-middle” polegający przejęciu kontroli nad komputerem chińskiego kontrahenta i monitorowaniu wiadomości pomiędzy polską firmą, a chińskim dostawcą. Atakujący nie ingeruje w treść przesyłanych wiadomości, ale stopniowo podmienia ich adresatów i nadawców (pod adresy w CC podstawia te kontrolowane przez siebie, usuwa oryginalne e-maile od Polaków ze skrzynki chińskiej firmy i wysyła te same treści od Polaków ponownie, ale z fałszywej domeny, zbliżonej do oryginalnej domeny polskiego kontrahenta, ale zakupionej przez oszusta. W konsekwencji, Chińczycy korespondują z oszustem, myśląc że piszą do Polaków, a Polacy …też rozmawiaja z oszustem, myśląc że piszą do chińskiego kontrahenta). Treści e-maili nie są zmieniane do momentu pojawienia się wiadomości z fakturą. Wtedy oszust przesyła fakturę dalej, ale z drobną modyfikacją. Zmienia numer konta.

Często stosowane są tu konta w Hongkongu lub tak zwane konta “offshore banking account” (OSA). Można to poznać po początku numeru SWIFT. Pieniądze są przeważnie nie do odzyskania po wpłacie na takie konto.

Jakie środki zapobiegawcze podjąć?

Jeżeli pojawi się informacja o zmianie konta (trzeba brać pod uwagę, że firma chińska może po prostu taką decyzję podjąć) należy informację potwierdzić telefonicznie i poprosić o pismo z tą informacją przesłane faksem. Technologia archaiczna, ale w tym przypadku zmniejszająca
ryzyko. Dobrze, aby pismo miało pieczątkę firmy (w Chinach pieczątki pełnią bardzo ważną rolę w biznesie) i podpis prezesa. O ile podpis można podrobić to do pieczątki firmowej ma przeważnie dostęp tylko właściciel firmy (choć Photoshop też jest znany Chińczykom).

Autor: Piotr Canowiecki, współzałożyciel ChinskiRaport.pl, serwisu zajmującego się weryfikacją wiarygodności chińskich firm. Kontakt z autorem: piotr@chinskiraport.pl

PS. Pamiętajcie, aby przesłać ten tekst pracownikom waszego działu zakupów / handlu zagranicznego :-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

25 komentarzy

Dodaj komentarz
  1. ” tak zwane konta “offshore banking account” (OSA). Można to poznać po początku numeru SWIFT”

    Tzn czym dokładnie się wyróżniają?

    • W tym artykule jest trochę głupot. Kody BIC (Bank Identifier Codes) są unikalne dla każdego banku (mało tego, duże, międzynarodowej banki mają ich więcej zależnie od oddziału), nie ma specjalnych prefiksów rozróżniających konta w rajach podatkowych od innych. Możliwa jest sytuacja, że kontrahent z Chin kontynentalnych będzie chciał rozliczać się przez konto w Hong Kongu, a zmianę numeru rachunku należy potwierdzić niezależnie od tego na jaki bank zmienia.

    • Na początku numeru SWIFT masz identyfikator banku – więc wiesz czy jest to bank na kajmanach czy w chinach.

    • To czy jest na Kajmanach czy w Chinach to decyduje nie kod instytucji tylko KOD KRAJU. Ten znajduje się na pozycjach 5-6 kodu SWIFT zaraz za kodem instytucji. Przykładowo, kod BREXPLPWMBK ma kod instytucji BREX, kod kraju PL, kod lokalizacji PW i kod oddziału MBK.

  2. Ludzie ,którzy zajmują się dużym biznesem (tak jak w pierwszym przykładzie) z umowami na miliony złotych wiedzą ,że w przypadku krajów egzotycznych (nie USA, Niemcy, Francja itp.) jeśli udajemy się do kraju kontrahenta należy zorganizować kogoś lokalnego do tłumaczenia i nie tylko (nawet jeśli znamy język), taka osoba zna kulturę i zwyczaje danego kraju i za kilkaset-kilka tysięcy złotych uchroni nas przed takimi sytuacjami i pomoże nam

  3. Jeszcze dorzućcie do listy AliPay + AliExpress. Zamawiasz na AE towar, płacisz przez AP, twoje zamówienie jest anulowane, środki wracają na konto w AliPay. Klient z europy nie może zapłacić za zakupy w AE kontem AP. Pozostaje więc wypłacić środki oczywiście z ogromną prowizją, przy czym przy wypłacie należy podać hasło. Hasło którym się logowałeś minutę wcześniej oczywiście nie działa.

    • Tyle dziesiątek razy kupowałem na Aliexpress i jeszcze się z tym nie spotkałem… Kto ma z tego dochód? Alibaba?

    • ?! AE i AP to Alibaba. Jest wspomniana w artykule. AE/AB to jedynie targowiska. Wykiwał Cię sprzedawca taki jak z eBay, równie dobrze mogłeś kupować tam. Bycie z Europy nie ma żadnego znaczenia, nie wiem skąd ten pomysł, a ta reszta to jakiś absurd do którego sam się wkopałeś. Po kilkudziesięciu transakcjach na AE, w tym kilku niepowodzeniach–ze zwrotem pieniędzy, oczywiście bezproblemowym i bez prowizji–mogę tylko wywnioskować, że to Twoja wina, a nie Alibaby.

  4. Straszne ogólniki.

    Pierwszy to bardziej zaawansowana wersja ‘tea house scam’ na turystów i trzeba być strasznym naiwniakiem i nowicjuszem w handlu międzynarodowym, żeby się na to złapać.

    Opis drugiego sposobu jest zbyt lakoniczny szczególnie jeśli chodzi o sposoby na zabezpieczenie się. Jeśli dokonujemy z dostawcą rozliczeń na zasadzie TT (czyli robimy przelewy sami po wypłynięciu towaru to dobrym zwyczajem jest poczekać na kopie wszystkich dokumentów przewozowych. Były pracownik nie sfałszuje poprawnie konosamentu i certyfikatu pochodzenia, bo nie będzie miał wszystkich danych. Z drugiej strony należy pamiętać, że niekoniecznie chce nas oszukać pracownik były. Chiny to duży kraj i spotkałem się z sytuacją, że scamu dokonała osoba ciągle pracująca, która w momencie przelewu się ulatniała. Szczególnie uważać należy przy płatnościach depozytów, bo po pierwsze jest to moment kiedy faktycznie firma może zacząć używać nowego rachunku, a po drugie wystarczy podrobić fakturę pro forma do czego w praktyce wystarczy excel. Dlatego każdą zmianę weryfikować telefonicznie z szefem osoby, z którą na co dzień prowadzimy korespondencję handlową (i dbać o to, żeby w każdej firmie taką osobę znać). Faksy czy inne pieczątki to żadne zabezpieczenie, w Polsce łatwo zrobić pieczątkę na dowolne dane, w Chinach jeszcze łatwiej, opcję fotoszopa już pominę.
    I kolejny dobry sposób: zamiast TT rozliczać się za pomocą D/P (documents against payment) – wtedy to bank reguluje płatność, a odbiorca wykupuje dokumenty w banku. Bank nie zwolni żadnych środków dopóki nie trafią do nich oryginały dokumentów handlowych. Kosztuje to kilkaset USD po każdej stronie, ale przy dużych transakcjach zapewnia większe bezpieczeństwo.

    Co do trzeciego sposobu – cóż, dobrze co jakiś czas porozumiewać się kontrahentem innym sposobem niż mail/skype, a jeśli skype to z video. SkypeOut nie jest drogi, warto czasem zadzwonić, szczególnie w newralgicznych momentach (depozyty, wysyłki towarów, regulowanie płatności).

    • @Pluton dzieki. Przynajmniej nie zalozyles strony w ktorej po przejrzeniu ogolnikow zamowisz za kase ogolnikowy raport, gratulacje postawy!

  5. Zdarza się też że pracownik, czy to aktualny czy były, proponuje mniejsze koszty wysyłki lub towaru przy płatności na jego konto prywatne. Nigdy na to nie przystałem ale wyczuwam przekręt.

  6. Drugi scenariusz czyli “były pracownik” spotkał Mnie osobiście kilka lat temu. Scenariusz dokładnie taki sam jak ten tu opisany. Nie wiem jak jest teraz ale, na tamten czas większość skrzynek pocztowych była zakładana na darmowych serwisach typu yahoo, gmail, itp. Więc firmy jak przypuszczam nie zawsze miały nawet możliwość “zablokowania” tej skrzynki.
    Mi się udało uniknąć wtopy tylko dzięki czystemu przypadkowi. Akurat gdy już miałem wszystko dogadane i logowałem się na stronie by zrobić przelew, ktoś z firmy odezwał się przez skype, z pytaniem kiedy zrobię następne zamówienie bo dawno nie robiłem :/

    • to za co mu robiles przelew?

    • @Tadeusz Lolecki

      Pewnie za „zamówienie”, ale złożone u oszusta…

    • Do Tadeusz Lolecki:

      Robił przelew za lewe zlecenie realizowane przez byłego pracownika. Tak trudno zrozumieć?

    • Pewnie za zamówienie uzgodnione z oszustem ???

    • Może zrobił… Ale u zwolnionego typka i firma nic o tym nie wiedziała…

  7. Czytając was, chyba popadnę w paranoję i wszędzie będę widział spisek i potencjalnych oszustów xD

    • Myślę, że jeśli uda się utrzymać “paranoję” w ramach, to czemu nie. Jednak obawiam się, że nie będziemy wiedzieli wcześniej kiedy polecieliśmy za daleko. Ostrzeżenia bliskich mogą być wtedy ignorowane. Pierwszym krokiem powinno być mówienie samemu sobie, że to przesadne sprawdzanie kontaktów internetowych czy coś innego, co nie jest chorobowe/zaburzeniowe. Ustalić sobie też ramy tego sprawdzania i nie przekraczać ich. Mówiąc sobie, że jest to paranoja, można sobie ją wmówić. Oczywiście niewielu to dotknie w ten sposób, bo muszą dojść inne wyzwalacze, ale można temu na wszelki wypadek przeciwdziałać. Bardziej bym się obawiał powolnego zwiększania ram swojego sprawdzania, aż stanie się to paranoją pełną gębą.

      Uwaga, nie jestem psychologiem. Opieram to na doświadczeniu, logice, podstawowej wiedzy o błędach postrzegania i obserwacji świata oraz ludzi – a to może zawieść. Przede wszystkim nie wiem ile osób może takim sposobem przejść w “kliniczną” paranoję, czyli urojenia. Nie sądzę, że to poważna sprawa, ale pewnie trafi na tego, kto się nie spodziewa (to akurat Murphy ;)). Pewnie część osób będzie miał większe ryzyko odsłonięcia u siebie objawów, które mogłyby wystąpić później lub wcale, np. przy genetycznym obciążeniu schizofrenią. Na pewno w przypadku schizofrenii są inne mocne wyzwalacze, których pewnie część zna dobrze. I lubię przyśpiewkę “White Rabbit” ;) Nie chcę się już rozwlekać, bo zbyt mało wiem, a nie chcę kogoś zasugerować, mimo ostrzeżenia o mojej niewiedzy.

      I uwaga numer dwa: to nie jest namowa, żeby lekceważyć takie rzeczy, ale inaczej je nazywać, traktować i ubijać złe zapędy w zarodku – to dużo dla psychiki.

  8. Czemu będąc w Chinach nie mogę napisać komentarza? Tylko muszę proxy robic :(

    • Coby nikt z Chińczyków się nie kapnął, że my wiemy o ich metodach przekrętów i żeby ich nie zmodyfikowali na bardziej skuteczne. ;-)

  9. W obecnych czasach dużo rzeczy już można taniej wykonać w europie niż w chinach np. płytki pcb lub montaż kontraktowy. Jeśli ktoś nie ma naprawdę dużej produkcji to nie ma sensu żeby w ogóle się interesował chińczykami. Firma w której pracuję robiła produkcje w chinach (małoseryjna) dopóki pewna polska firma nie zrobiła skutecznego telemarketingu i nie namówiła nas do wysłania plików produkcyjnych do wyceny. Okazało się że są tańsi od chińczyków aż o 30%.

  10. Czy mam rozumieć, że w Chinach też kulawo działa weryfikacja nazw odbiorców przelewów? No chyba, że były pracownik zakłada konto na firmę, w której pracował tylko w innym banku!
    A tak w ogóle przy zamówieniach wysokokwotowych są też inne formy płatności, np. akredytywa lub inkaso dokumentowe.

  11. “Na początku numeru SWIFT masz identyfikator banku – więc wiesz czy jest to bank na kajmanach czy w chinach.”

    Jak tak czytałbym takich specjalistów to nigdy nie wiedziałbym co w końcu jest czym, bo każdy mówi na odwrót. Nie wiem jak można poznać po kodzie SWIFT co to za bank, ktoś średnio zoreintowany zgadnie SWIFT: AGRIPLPR, co innego IBAN gdzie przed numerem jest juz skrót kraju.
    Jak ktoś chce to mieć bardzoj zobrazowane to tutaj jest przykład dobrze wyjaśniony.
    http://darmowyinternet.net/forum/temat-przelew-z-zagranicy-kod-swift-i-iban_908
    Inaczej są niedomówienia i błędy w teorii, trzeba też czasami ludziom to obrazować aby potrafili zrozumieć co czym jest.

  12. Próbowali mnie oszukać podobnie :). Spotkanie biznesowe w chinach, duży kontrakt oczywiście zaproszenie na kolacje a później albo podpisuje albo 3000$ płacę za kolację, po dłuższej wymianie zdań przez tłumacza chińczyk zadzownił na policje i tak trafiłem do aresztu, nie mam pojęcia co im powiedział ale było widocznie wystarczające abym posiedział dzień w areszcie, byłem załamany duże szczęście że wypuścili mnie na samolot.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: