18:37
13/7/2012

Na forum widzisz prośbę o pomoc: wykonaj 2 przelewy na 1.01 PLN a w zamian dostaniesz możliwość umieszczenia swojego bannera reklamowego na stronie.

Lewe konta na Allegro

Wykonane przelewy tak naprawdę aktywują konto oszusta na Allegro. Ten wystawia aukcje, przyjmuje pieniądze, ale nie wysyła towaru. Ponieważ konto na Allegro zostało aktywowane poprzez twój rachunek bankowy — jest założone na Twoje dane — to do Ciebie przychodzi policja wyjaśniać sprawę…

Ogłoszenie oszusta

Ogłoszenie oszusta

Ofiarą takiego przekrętu padł niedawno użytkownik Wykopu. Całą sprawę opisał tutaj. Wkleił też odpowiedź Allegro:

Allegro - odpowiedź

Allegro – odpowiedź

Co ciekawe, oszukany użytkownik pisze, że swój “dysk przekazał policji”. Na forum zaczęli się również zgłaszać inni oszukani — i to już z kwietnia. Sprawcą jest ponoć młody chłopak (II klasa liceum) z Łukowa o imieniu Konrad. Oszust logował się na konto z IP należącego do miejscowości Łuków…

Jak rozwiązać problem przelewów aktywujących konta?

Być może firmy oferujące aktywację konta poprzez przelew bankowy powinny zawsze żądać wpisania w tytule: “AKTYWACJA KONTO NA SERWISIE XYZ“, aby do internetowych altruistów dotarło, że pomagając komuś w wykonaniu przelewu szkodzą sobie.

Patrząc na daty – wygląda na to, że atakujący mógł zainspirować się niedawną historią, której ofiarą padł inny użytkownik wykopu, który myślał, że potwierdza swoje dane przed pracodawcą, a tak naprawdę aktywował oszustowi rachunek bankowy w banku BOŚ.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

39 komentarzy

Dodaj komentarz
  1. Faktycznie było coś w komentarzach o takiej formie ataku ostatnio…

  2. Co za problem iść tropem pieniędzy? Płatnością bit-coinami raczej się nie domagał, więc jest “jego” konto albo też i adres łatwo dostępny od tych co mu kasę wysłali (i towaru nie otrzymali).

    • a słyszałeś o czymś takim, jak zakładanie konta na “słupa” ?
      No i w dobie kont internetowych spokojnie mógł założyć ich kilka, w kilku bankach i przelewać między nimi pieniądze.
      More ?
      PayPal itp. firmy – wpłacasz kasę z banku i przelewasz dalej. Po kilkunastu przelewach, między różnymi bankami, PayPal’em itd. ciężko to będzie wytropić. Zwłaszcza, że w każdym przypadku policja będzie musiała nowy wniosek pisać z prośbą o udostępnienie danych.

      A ostatecznie mógł kupić jeszcze jakieś wirtualne pierdoły, które sprzedawał dalej.
      Sprawa może ciągnąć się latami ;)

    • Oszust założył konto na dane użytkownika allegro. Gdzie chcesz iść tropem pieniędzy? Do tego allegrowicza, który nieświadomie wysłał przelew, tym samym aktywując konto, czy do bankomatu, w którym oszust pewnie wypłacił kasę?

    • Kasę w bankomacie skądś musiał wypłacić, i raczej nie było to konto oszukanego bo karty nie miał ani innego dostępu. A jeśli faktycznie jest ip komputera a nie proxy/tora/kawiarenki internetowej etc to raczej jakiś amator i konta “na słupa” nie ma. No chyba że się okaże że to Wi-fi, ale wtedy by raczej duże miasto wybrał ze względu na większą anonimowość.

    • Ale żeby skorzystać z proxy/czegokolwiek to już nie wpadł. Debil.

    • nie debil a licealista, chociaż ja w tym wieku już wiedziałem że bagietogenne akcje należy robić przez tora

  3. “Ponieważ konto na Allegro zostało aktywowane poprzez twój rachunek bankowy — jest założone na Twoje dane — to do Ciebie przychodzi policja wyjaśniać sprawę…” – czy to nie kolejny majstersztyk działania tego kraju?

    • A do kogo maja przyjsc?

    • przyjść nie znaczy wsadzić a (mam nadzieje) zacząć dochodzenie

    • Czy to znaczy, że wykonanie przelewu jest wystarczającym potwierdzeniem tożsamości do zawarcia wiążącej umowy, np. na prowadzenie konta bankowego? Czy jakiekolwiek prawo (np. bankowe) nie reguluje kwestii dokumentów, które mogą/muszą służyć jako potwierdzenie tożsamości, np. dowód, paszport, prawo jazdy lub inny dokument ze zdjęciem?

  4. Ciekawe co mu za to grozi?

  5. Koleś nie jest słupem. W taki sposób od jakiegoś czasu oszukał i naciągnął kilka innych osób, niezwiązanych z tym forum.

  6. Jakim cudem udało mu się potwierdzić konto Allegro, skoro Allegro weryfikuje dane konta Allegro z danymi nadawcy przelewu, a w notce brak informacji o wyłudzeniu danych osobowych?

    • @ziom, przeczytaj ze zrozumieniem dwa pierwsze zdania tego artykułu.

  7. 2 przelewy, jeden na “prawdziwe” konto zeby dostac dane osobowe, a drugi na allegrowe zeby potwierdzic..

  8. Ciekawa sprawa ale dla mnie dziwna – jak to jest, ze przesłanie pieniędzy aktywuje konto – czy ktoś może wie jak to możliwe – chyba ludzie nie są tak naiwni i wysyłając pieniądze na dodatek zakładają komuś konto?!

    • Są.

  9. Wszystkiemu winne jest to, że w naszym kraju tak kosztowny i mało popularny jest podpis cyfrowy. Rynek e-usług bardzo ale to NA PRAWDĘ BARDZO potrzebuje jakiś skutecznych narzędzi do potwierdzania tożsamości na odległość. W tej desperacji firmy a nawet banki są gotów chwytać się różnych prowizorycznych sposobów, żeby tylko “załatać dziurę”. Przelew jako taki służy do przesyłania pieniędzy i jakiekolwiek inne zastosowanie jest co najmniej dziwne. Czy wysyłanie “grosza aktywacyjnego” nie wygląda trochę zabawnie?

    • Potwierdzanie danych przelewem jest narażone na liczne nadużycia. Po pierwsze, potwierdzić można tylko imię, nazwisko i adres. To ostatnie można w niektórych bankach swobodnie edytować w portalu transakcyjnym. A gdzie PESEL, nr dowodu i inne dane? Po drugie, czasowe przejęcie kontroli nad czyimś kontem może włamywaczowi dać swobodę w zawieranie lewych umów. Klient może nie zorientować się, że z konta zniknął grosz ale o tym, że ktoś na niego otworzył konto w innym banku klient dowie się jak przyjdzie np. wezwanie do zapłaty. Po trzecie, niektóre banki mają dziurawe procedury weryfikacji i nie odróżniają przelewów od przekazów pocztowych. Tak było w przypadku lokat internetowych Getin Banku. Po czwarte, jest możliwość nakłonienia innej osoby aby wykonał przelew, o czym właśnie tutaj mowa.

  10. Chwila; aby zatwierdzić dane konta przelewem _najpierw_ muszę wpisać te dane, które mają być takie same jak dane z przelewu aktywującego. Tak więc nie piszczcie, że sam przelew aktywował konto; najpierw te dane musiał zdobyć; a to już jest wina “klienta”, że ja podał.

    • Jak napisałem w komentarzu powyżej, jedyne dane jakie się da potwierdzić przelewem to imię, nazwisko i adres. Akurat te dane stosunkowo łatwo zdobyć. Reszta może być fikcyjna.

  11. Dokładne działanie oszusta nie jest dobrze przedstawione w artykule. Jako że sam zostałem tak oszukany to przybliżę Wam to “od kulis”. Oszust zakładał wątek na forum o treści mnie więcej, że potrzebuje DWA przelewy opiewające na 1.01zł (w sumie 2.02zł) z mBanku w zamian za wstawienie bannera na stronę. Tutaj zaczyna się jazda, ponieważ on też posiada konto w mBanku co pozwala mu na niemal błyskawiczne pozyskanie danych. Czyli wysłany został pierwszy przelew do mBanku razem z kompletem naszych danych. Oszust zakłada migiem konto na Allegro na nasze dane, które pozyskał i daje aktywację konta przelewem, która wynosi 1.01zł. Podsyła nam dane do drugiego przelewu, czyli odbiorca PayU, tytuł przelewu to token transakcji. Tłumaczy to przelaniem pieniędzy na PayPal’a bo tyle mu do czegoś brakuje (tak mi tłumaczył). Ten drugi przelew weryfikuje konto założone na nasze dane (takie same dane nadawcy). Wszystko w mniej niż 10 minut (według rozmowy na gg, mogę przesłać screeny redakcji). Wiem, było masę ostrzeżeń żeby tego nie robić. Chociażby odbiorca płatności jako PayU czy nieznany tytuł przelewu sugerujący jakąś automatyczną transakcję niekoniecznie z PayPal’a. Zostałem uśpiony również prośbą o przesłanie PDF z potwierdzeniem transakcji, aby mógł wysłać go dla kumpla któremu wisi tą kasę. Mądry Polak po szkodzie. Na “moim koncie” zostały wystawione 3 aukcje. Od Allegro dowiedziałem się, że konto zablokowano zanim ktokolwiek zdążył złożyć ofertę.

    • Dales sie zrobic. Ja bym w zyciu tokena nie przepisal chyba, ze brzmialby on jakos po ludzku. Nie dosc, ze z podejrzenia to z lenistwa :-)
      2 rozne konta to tez juz osobna kwestia ja bym wyslal wsio na 1 i niech se gosciu sam dalej do PayPala robi :-)

    • Dzieki za sprostowanie.Artykul faktycznie dramatyczny lecz nie do konca opisujacy algorytmu postepowania oszusta.

  12. Nie czaje, skoro jest rachunek innej osoby to jak on kradnie kasę? Jak zmieni rachunek na swój to i tak do niego wpadną…

  13. Ej chwila, jak mogą w jakikolwiek sposób ścigać osobę, która zrobiła tylko PRZELEW!? Przecież przelew na konto X może zrobić każdy, komu się numer konta X poda. Poza tym robiąc przelew nie podpisuje się żadnej umowy, nie wyraża zgodny na żadne warunki, ani nic. To jakach upośledzona sytuacja. Ja bym z żadnym Srajlegro w takiej sytuacji nie dyskutował. Macie dziury w autoryzacji? Wasz problem. Ja opłacałem reklamę na WWW, przelew na takie konto, jakie mi kontrahent podał. Żadnych umów ani warunków nie podpisywałem, na nic się nie godziłem, nara.

  14. Można zrobić jeszcze lepszy myk. Załóżmy ,że oszust ma jedno lewe konto na allegro. Wystawia na nim cokolwiek za te 1.01 PLN. I bez przesyłki (np. jakieś środki w grze online). Słup kupuje te rzeczy. Oszust dostaje od allegro dane kontrahenta i zakłada mu drugie konto. Następnie daje “słupowi” dane potrzebne do puszczenia przelewu aktywującego konto.
    Całkiem prawdopodobny scenariusz transakcji, a co gorsze bardzo łatwo kogoś w niego złapać.

    • Nie zadziała, bo numer bankowy jest już do konta ofiary przypisany, nie wątpię że allegro nie pozwala mieć 2 kont z tym samym numerem

    • wg. regulaminu allegro możesz mieć ile chcesz kont. Jedynym ograniczeniem jest to, że nie możesz sam sobie licytować w aukcjach.

      Sam mam dwa-jedno do kupowania, drugie do sprzedawania i oba na ten sam nr konta bankowego.

  15. Zadziała, wystarczy szybko wysłać wiadomość, że może pan opłacić na rachunek taki i taki za mniejszą kwotę bądź konto allegro. Np. przedmiot za 5pln, Ty proponujesz zapłate za te 1,01 czy też 0,01. Jako, że sporo jest w kraju dusigroszy kilka osób wpadłoby na 100%.

  16. Zastanawiałem się, dlaczego są dwa przelewy (po 1,01 zł), a nie jeden. Otóż pierwszy pewnie jest n a rachunek kontrolowany przez oszusta i dzięki temu dowie się on danych wysyłającego (pierwszy) przelew. Wtedy może założyć rachunek a banku na te dane – drugi – aktywujący to konto – przelew pójdzie właśnie na to nowe konto. A potem to już z górki… ;)

  17. Przecież pierwszy nr konta musi być sprawcy aby odczytał nasze dane a to policja może łatwo ustalić. Więc gdzie jest haczyk ? Ktoś zaraz napisze, że to konto słupa kontrolowane przez oszusta, ale przecież gdzieś był początek.

  18. Problemem jest znalezienie tego początku

  19. Konrad Lendzion z miejscowości Łuków oszukał mnie niedawno na forum pclab.pl, gdzie zarejestrował się jako “Izzy”. Sprawę już na Policję zgłosiłem, mam szczerą nadzieję, że mu się do tyłka ostro dobiorą.

    • Przede wszystkim trzeba po pełnej linii pozywać banki/Allegro/itp., które biorą współudział w tym oszustwie narażając nieświadome niczego osoby na straty finansowe, ogromne nerwy, stratę czasu i rozstrój nerwowy. Może od razu niech zaczną udzielać kredytów na ustnie zadeklarowane dane osobowe – też będą całkiem niewinne?

  20. Hmm, dostałam właśnie wezwanie na Policję w sprawie aukcji Allegro prowadzoną przez Sąd w Łukowie. Czyżby to jeszcze sprawka tego Konrada?

  21. Początek? Wystarczy założyć konto na dowód żulika spod sklepu albo ukraść dowód osobisty

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: