18:40
25/6/2018

Wakacje. Zaraz ruszycie na urlopy. Być może część z Was wycieczki kupi online. A że koszty wycieczek nie są małe, to — wiadomo — każdy przychylnie spojrzy na e-mail z rabatem od biura podróży z którego właśnie zakupił wyjazd marzeń. I nawet do głowy nie przyjdzie Wam, że to przekręt. Bo udzielający Wam rabatu przedstawiciel biura zna Wasze dane i cel podróży. Jeśli skusicie się na rabat, stracicie pieniądze. Oto jak jeden z pracowników Wakacje.pl próbował oszukiwać klientów, ale na szczęście nie przemyślał wszystkiego zbyt dobrze i wpadł.

Promocja! Tańsze wakacje!

O pracowniku-oszuście dowiedzieliśmy się od Czytelnika, który kilka tygodni temu wykupił wycieczkę przez Wakacje.pl. W tym serwisie wycieczka jest rezerwowana przez 24 godziny i w tym czasie należy wpłacić zaliczkę w wysokości 10% całej kwoty. Nasz Czytelnik zaliczkę wpłacił korzystając z linka zawartego w potwierdzeniu mailowym. Link prowadzi do strony Wakacje.pl, która przekierowuje do systemu płatności Przelewy24. Do tej pory, wszystko przebiega zgodnie z planem.

Kilka dni później, 5 czerwca, ten sam Czytelnik odebrał wiadomość pt. “Informacja o dopłacie”. Wyglądała ona jakby pochodziła z serwisu Wakacje.pl (ta sama kolorystyka) i oferowała zmniejszenie ceny w zamian za dopłatę do zaliczki. Oto treść wiadomości:

Dziękujemy za wybranie Wakacje.pl. Dbając o naszych klientów nieustannie udoskonalamy nasze usługi. Dlatego od 1 czerwca 2018 r. możliwe jest dokonanie dopłaty za rezerwację nawet na 60 dni przed planowanym terminem wycieczki.  Jak na razie uruchomiliśmy wersję pilotażową tej usługi i w pierwszym miesiącu klienci, którzy zdecydują się na szybsze dokonanie dopłaty otrzymają rabat w wysokości 10%, który zmniejszy aktualną kwotę do zapłaty za rezerwację. Jeżeli chcesz skorzystać z oferty promocyjnej, odpowiedź na tego maila. Tymczasem dziękujemy i życzymy miłego wieczoru.

Zapewne już zwróciliście uwagę na podejrzany adres, ale naszemu Czytelnikowi w pierwszej chwili to umknęło. W jego programie pocztowym adresu e-mail nie było widać. A że faktycznie wykupił wycieczkę w Wakacje.pl, to wiadomość wydała mu się wiarygodna. Odpisał więc, że chciałby skorzystać z promocji i dostał kolejną wiadomość:

Dziękujemy za odpowiedź. W Pana przypadku rabat wyniósłby XXXX zł. Pozostała kwota do dopłaty wyniosłaby więc YYYY. Jeżeli zgadza się Pan na te warunki prosimy o odpowiedź z jakiego banku będzie dokonywana płatność. Wówczas wygenerujemy dla Pana odpowiednie dane do przelewu. Tymczasem dziękuje i życzę miłego dnia.

Rabat nie wynosił 10% kwoty wycieczki, ale był zbliżony. Naszego Czytelnika zdziwiło jednak pytanie o bank. Gdy odpisał, że korzysta z Inteligo, dostał dokładne informacje o przelewie do wykonania.

Panie [XXXX], bardzo dziękujemy za odpowiedź. Poniżej przesyłamy dane do przelewu:
Nazwa odbiorcy: DialCom24 Sp. z o.o.
Adres odbiorcy: ul. Kanclerska 15, 60-327 Poznań
Numer konta: 50 1020 5558 1111 1240 4150 0010
Tytuł przelewu: P24-Q31-380-477 ecoPayz
Kwota: [XXXX] PLN
Informujemy, że został naliczony wspomniany rabat w wysokości [ZZZZ] zł. Prosimy o dokładne skopiowanie wszystkich powyższych danych, by firma przelewy24 mogła automatycznie zaksięgować Pana wpłatę. Szczególnie ważny jest tytuł przelewu. Fraza: P24-Q31-380-477 służy do automatycznej weryfikacji płatności w systemie przelewy24… Fraza: ecoPayz to kod rabatowy, który został Panu przyznany”

Patrz pan! Nalegają na wpłatę!

Nasz Czytelnik nie wykonał przelewu od razu, bo nie zdążył zapoznać się z treścią powyższego e-maila. Zanim go otworzył, kilka godzin później otrzymał kolejną wiadomość. Serwis Wakacje.pl wyraźnie upominał się o skorzystanie z promocji:

W tym momencie nasz Czytelnik poważnie zwątpił, że ma do czynienia z prawdziwym serwisem. Skontaktował się z infolinią Wakacje.pl, gdzie uzyskał informację, że taka promocja nie istnieje. Czytelnik zaprzestał więc wymiany e-maili i oczywiście nie dokonał przelewu. Gratulujemy mu czujności.

Tu warto wyjaśnić jeszcze czym jest tajemnicze “ecoPayz”. Z pomocą przychodzi sam Czytelnik, który po wyjściu na jaw oszustwa, zrobił własne śledztwo i:

Po pobieżnej lekturze w google dowiedziałem się, że „Companies like ecoPayz and EntroPay are among the most commonly accepted virtual prepaid cards at major web-based casinos” http://www.casinoreports.ca/casino-deposit/prepaid-cards/

14 oszukanych osób

Początkowo sądziliśmy, że mogło dojść do wycieku jakiejś bazy klientów z Wakacje.pl. Oszust sprawiał wrażenie, jakby miał dostęp tylko do części informacji o klientach serwisu. Rozważaliśmy też nie atak i wyciek, a zwykłą odsprzedaż danych przez jednego z pracowników — wielu pracowników sprzedaje na lewo dane klientów (por. Dostęp do danych klientów UPC na sprzedaż).

Nie wykluczaliśmy też tego, że oszust włamał się wcześniej na skrzynkę naszego Czytelnika, tam zapoznał się z jego rezerwacją i “dorobił” do niej historię. W końcu wiemy, że większość “grubych” przekrętów w jakich uczestniczą nasi Czytelnicy zaczyna się od przejęcia konta e-mail, a potem socjotechnika i do przodu (por. Jak przestępcy przekierowali mu telefon i okradli konto w banku). Wykupienie domeny platnosci-wakacje.pl sugerowało jednak, że ktoś raczej chce oszukać więcej niż jednego klienta serwisu Wakacje.pl…

Kiedy o sprawę spytaliśmy serwis Wakacje.pl, rzeczniczka prasowa była niedostępna. Mimo to odpowiedziała nam Katarzyna Walczak, dyrektor ds. Reklamy i PR. Widać, że firmie zależało na szybkim wyjaśnieniu sprawy:

Zauważyliśmy jednostkowe przypadki podszywania się pod markę Wakacje.pl. Nasze procedury pozwoliły nam natychmiast zdiagnozować, że naruszenie miało charakter wewnętrzny. Pracownik odpowiedzialny za nieuczciwy proceder został dyscyplinarnie zwolniony. Incydenty nie były wynikiem błędu ani wycieku danych. Jednocześnie bierzemy pełną odpowiedzialność za zaistniałą sytuację, jesteśmy w stałym kontakcie z klientami, których naruszenie dotyczy.

O incydentach natychmiast zawiadomiliśmy policję i prokuraturę, a żaden z klientów nie poniósł szkód materialnych. W przypadku czternastu Klientów, którzy dokonali wpłaty na fałszywy rachunek bankowy, niezwłocznie pokryliśmy koszt ich wycieczki i wakacje żadnego z naszych Klientów nie są zagrożone.

A więc to jednak nieuczciwy pracownik, który spartaczył (na szczęście!) robotę jeszcze gorzej niż pracownik PKO, który swego czasu próbował pieniędzmi klientów kupić złoto i wpadł przy jego odbiorze w paczkomacie.

Fałszywemu pracownikowi “ds. dopłat” udało się jednak zmanipulować 14 osób, więc na czysto ze swojego przekrętu mógł wynieść od kilkunastu do kilkudziesięciu tysięcy. Trzeba przyznać, że podłoże socjotechniczne tego ataku było niezłe. Na szczęście zabrakło umiejętności technicznych, aby w sposób niezauważalny wykorzystać dane, do jakich oszust miał dostęp. Może uzależnienie od hazardu wyłączyło zdrowy rozsądek?

Kto ma dostęp do Twoich danych?

Na koniec warto podkreślić, że ofiarą tego oszusta paść mógł dowolny klient Wakacje.pl. A pewnie nie tylko w tej firmie pracuje (tu: pracował) ktoś, kto między jednym a drugim klientem zastanawia się jak zarobić na firmowych danych. Ten incydent powinien być lekcją dla nas wszystkich:

dziś każdy z nas może być celem precyzyjnie wycelowanego oszustwa, bo wiele osób ma dostęp do naszych danych, które to oszustwo uwiarygodnią.

Dlatego tak ważne jest, aby zawsze być czujnym i tej czujności pomagać doświadczeniem. Pomóc może znajomość najpopularniejszych w Polsce oszustw i przekrętów jakimi codziennie są atakowani polscy internauci — mówimy o nich na tym wykładzie. Pamiętajcie też, że za wycieczkę powinniście płacić kartą płatniczą. Dlaczego? To z kolei tłumaczymy w 2 odcinku naszego niebezpiecznikowego podcastu Na Podsłuchu.

Aktualizacja 6.09.2018 10:49

Oszust podszywający się pod serwis Wakacje.pl najwyraźniej nie zaprzestał działalności po tym jak został namierzony. Pamiętajcie, że e-maile w sprawie wycieczek przychodzą tylko z jednego adresu.

29 czerwca czytelnicy poinformowali nas o kolejnym podejrzanym e-mailu.

Tym razem mail był wysłany z adresu klient@zamowienie-wakacje.pl co sugerowało kolejne oszustwo. Pytanie tylko, czy to był ten namierzony pracownik czy może naśladowca? A jeśli naśladowca, to czy również miał dostęp do bazy klientów?

Od razu spytaliśmy serwis Wakacje.pl, a przy okazji przyjrzeliśmy się jego regulaminom i zasadom. Z informacji na stronie wynika jasno, że korespondencja w sprawie zamówień przychodzi tylko z adresu klient@wakacje.pl.

Również Klaudyna Mortka – rzeczniczka Wakacje.pl – potwierdziła, że autentyczna korespondencja powinna przychodzić tylko z adresu klient@wakacje.pl. Za wszystkimi próbami oszustw najwyraźniej stała ta sama osoba.

To kolejna domena powiązana z procederem próby wyłudzeń przez naszego pracownika, jaka miała miejsce w czerwcu. Widnieje również ten sam fałszywy podpis. Zgłosiliśmy już wniosek o zablokowanie domeny do organów ścigania, podobnie jak innych użytych w tym procederze: klient@platnosci-wakacje.pl, klient@zamowienia-wakacje.pl i klient@wakacjedoplaty.pl.

Oszust nie powinien mieć już dostępu do baz Wakacje.pl. Klaudyna Mortka wyjaśniła, że dostępy zostały zablokowane, hasła zostały natychmiast zmienione i działa procedura nieregularnej zmiany haseł. Kluczowe systemy dostępne są za VPN’em. Sprawa została zgłoszona na Policję, do Prokuratury oraz do UODO.

Ten tekst jest aktualizacją naszego artykułu z 25 czerwca pt. Jak pracownik Wakacje.pl w cwany sposób próbował sobie dorobić oszukując klientów własnego pracodawcy?

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. Mimo wycieku i tak na plus że firma przyznała się do winy z własnej strony.

    • jakiego wycieku… ?

  2. Wstyd przyznać, ale chyba bym się podłożył jakbym dostał takiego maila. Domena nie wzbudziłaby podejrzeń, widywałem już przypadki gdzie firmy korzystały z różnych domen. To co potencjalnie by mnie zaalarmowało to pytanie o bank (które w sumie było w tym przekręcie niepotrzebne(?)) oraz fakt, że przelew na konto Przelewy24 miałby zostać wykonany “ręcznie” zamiast przez odpowiedni link.

    • Bylo potrzebne. Kase chcial miec jak najszybciej na koncie w kasynie. Widac, ze byl na cisnieniu. Moze lepiej, ze pojdzie siedziec zanim pusci siebie i swoja rodzine z torbami. O ile jeszcze tego nie zrobil.

  3. Mnie sie zapalilo swiatelko przy ‘Otylia Jedrzejewska”

    • To późno bo przecież już w tytule artykułu jest napisane że to przekręt ;)

  4. “Otylia Jędrzejewska” budzi, przynajmniej we mnie, podejrzenia

  5. Ja bym mu odpisał, że mam konto w Ludowym Banku Spółdzielczym w Zduńskiej Woli. Ciekawe jakby zareagował.

  6. Po mailu ponaglajacym widac, ze chlop byl na cisnieniu. Pewnie wlasnie mu sie kasa konczyla, a karta nie szla. Jezeli to bylo kilkadziesiat tysiecy, to pojdzie siedziec na kilka lat. Potem odsiedzi kazdego, ktoremu nie naprawi szkody.

    • Wydaje mi się, że nie o to chodzi. Pytanie o bank wskazuje, że on na bieżąco generował dane do płatności w kasynie. Takie dane platnosci24 (głównie tytuł przelewu) pewnie są ważne określony czas, więc zależało mu, żeby nie wygasły.

  7. Już “Otylia Jędrzejewska” mówi mi, że coś jest nie tak, a szczególnie pytanie o bank. Ale o wiele łatwiej jest “wyłapać” takie szczegóły, gdy jest wiadomo, że jest to oszustwo :)

  8. Chociaż stanowisko mógł zrobić mądrzejsze, kto zatrudnia konsultanta ds. dopłat? :)

    A jeśli chodzi o kasyno, to może nie chodzi o hazard, tylko o wypranie tych pieniędzy? Koleś by te pieniądze na coś mało ryzykownego postawił, może nawet stracił 10 czy 20% i potem bez problemu wypłacił (pewnie nie da się wypłacić pieniędzy bez obrócenia nimi wcześniej).

  9. konsultanta ds. dopłat – to się nie popisał :D

  10. Pani Otylia zbierała na ajfona i siem jej spieszyło :D Ha ha

  11. Najlepsze w tym wszystkim jest stanowisko “konsultanta ds. dopłat”. Piękne <3

  12. wiecie że tamta Otylia to była Jędrzejczak? I tak zupełnie serio to nie zdziwiłby mnie fakt że ktoś się tak nazywa (krótki google podpowiada ze jest kilka takich dziewczyn)

  13. Jest sporo miejsc w których pracownicy operują danymi klientów i mają bezpośredni dostęp do baz, jedyne wyjście żeby uniknąć takich incydentów to zwiększenie kontroli wewnętrznej pracowników.

  14. wszystkie Otylie J. są więc podejrzane

  15. Wcale nie musiał być na ciśnieniu, może chciał uprać kasę przez jakiś pokerroom online. Na przykład przegrać z konta krzaka pod które podpiął to ecopayz na konto swoje/wspólników. Mógł też wypłacić bezpośrednio z bankomatu, ale to jednak spory przypał.

  16. Nie rozumiem skąd to podejrzenie o grę w kasynie. Sam posiadam kartę EntroPay a nigdy nie grałem hazardowo. Takie karty są wykorzystywane jako nośnik kredytów lub np. w ramach wynagrodzenia za zrobienie ankiety lub napisanie recenzji produktu.

Odpowiadasz na komentarz a

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.