Jak żonę naszego czytelnika wredni złodzieje na 5507,01 PLN okradli

dodał 10 grudnia 2020 o 17:54 w kategorii Info, Wpadki  z tagami:
Jak żonę naszego czytelnika wredni złodzieje na 5507,01 PLN okradli

Jak jednym kodem z SMS-a zatwierdzić sześć różnych transakcji złodzieja na kilka tysięcy złotych, a następnie dowiedzieć się, że bank nie uznaje reklamacji? Niestety przekonała się o tym boleśnie żona naszego czytelnika. Posłuchajcie jej historii.

Kilka dni temu opisaliśmy nowy, bardzo aktywny schemat oszustwa w serwisach aukcyjnych i ogłoszeniowych. Przestępcy, pod pretekstem płatności za towar, wyłudzają w nich dane karty płatniczej i kod umożliwiający przypisanie jej do wirtualnego portfela (np. Apple Pay). Po artykule odezwało się do nas kilkadziesiąt osób, które próbowano w ten sposób oszukać oraz kilka, które niestety oszukano. Oto opowieść jednej z nich. Prześledzimy po kolei:

  • jak przebiega rozmowa ze złodziejem,
  • jak złodziej kradnie pieniądze,
  • dlaczego ofiara dała się oszukać oraz
  • jak na kradzież reaguje bank.

Jak przebiega rozmowa ze złodziejem

Żona naszego czytelnika wystawiła na sprzedaż na OLX kurtkę. Odezwał się do niej klient chętny na zakup towaru. Niestety namówił ją także na podanie danych jej karty debetowej na specjalnie spreparowanej stronie (rzekomo w celu otrzymania na nią płatności) oraz przepisanie kodu z SMS-a, autoryzującego dodanie karty do usługi Apple Pay. Zobaczcie, jak krok po kroku przebiegała konwersacja ze złodziejem i proces oszustwa.

Jak widzicie w galerii powyżej (obrazki po kliknięciu można powiększyć i przewijać strzałkami), złodziej zaczął rozmowę z ofiarą 20 listopada, lecz gdy operacja kradzieży się nie powiodła (ofiara nie otrzymała SMS-a autoryzacyjnego), wrócił dzień później i kontynuował aż do skutku, którym było przepisanie przez ofiarę kodu z SMS-a na stronie złodzieja, tym samym autoryzowanie dodania karty do Apple Pay, co następnie umożliwiło złodziejowi dokonanie nieautoryzowanych transakcji.

Jak przebiega kradzież pieniędzy

Celem złodzieja jest podpięcie karty ofiary do usługi typu Apple Pay. Fachowo nazywa się to tokenizacją karty – karta dalej działa, ale już w postaci wirtualnej. Aby tego dokonać, złodziej potrzebuje danych karty oraz jednorazowego kodu SMS, przesyłanego przez bank. Te informacje wyłudza od ofiary – opis procesu znajdziecie w naszym wcześniejszym artykule.

W analizowanym przypadku złodziej do wyprowadzenia środków użył serwisu Paysend, umożliwiającego międzynarodowe przelewy za pomocą różnych kanałów nadawania i odbierania środków.

Transakcje można także opłacać kartą, o czym boleśnie przekonała się ofiara. Oto wyciąg z jej rachunku już po zaksięgowaniu transakcji kartowych.

Dlaczego ofiara dała się oszukać?

Złodziej próbował wykonać jeszcze jedną transakcję, ale została na jakimś etapie zablokowana lub odrzucona. Ofiara straciła 5507,01 PLN – i ma problemy, by je odzyskać.

Złodzieje szukają swoich ofiar w popularnych serwisach aukcyjnych lub ogłoszeniowych, licząc na to, że trafią na osoby, które nie rozpoznają oszustwa. Dlaczego ofiara dała się podejść? Oddajmy głos czytelnikowi:

Źle to wygląda jak patrzy się na to post factum :( Co ciekawe, w trakcie rozmowy żona nie zwróciła uwagi na łamaną polszczyznę (z translatora) i zamienne używanie form osobowych pan/pani. Zrzuciła to na literówki podczas pisania i w trakcie się tym nie przejmowała.

Nie wiedziała w ogóle też co to jest Apple Pay i o co dokładnie chodzi z tą przesyłką za 1pln na OLX. Podejrzewam, że dała się oszukać właśnie dlatego, że była świadoma swojej niewiedzy o procesie i dała się „przeprowadzić” przez proces oszustowi. Nie zapytała. Też jestem ze środowiska IT, boli mnie to bardzo że nie zapytała – ukróciłbym :P

Kwestia domen i tego, ze to nie były domeny olx to w ogóle była dla niej czarna magia.

Zaraz pewnie podniosą się głosy „jak ktoś może korzystać z internetu, nie wiedząc, jak sprawdzić domenę” i temu podobne. No może, tak samo jak można jeździć samochodem z automatyczną skrzynią, nie wiedząc, jak ona działa. Pamiętajcie, że czytając regularnie z3s, należycie do 0,1% populacji Polski, a pozostałe 99,9% nie ma aż tak dobrego pojęcia o tym, jak działają oszuści w internecie.

Jak na kradzież zareagował bank

Tu robi się ciekawie – choć dla osób świadomych procesów bankowych niespodzianek pewnie nie będzie.

Czytelnik oszustwo wykrył po ok. 40 minutach od jego rozpoczęcia. Od razu skontaktował się z bankiem i zablokował kartę. Złodzieje zdążyli jednak wykonać za jej pomocą 6 transakcji. Czytelnik próbował je wycofać, ponieważ nie były jeszcze rozliczone – ale okazało się to niemożliwe.

Zapewne osoby bardziej zorientowane w procesach organizacji płatniczych lepiej wyjaśnią ten problem, ale „wiszących” transakcji kartowych nie da się anulować, wycofać ani reklamować. Nie pierwszy raz spotykamy się z sytuacją, gdzie ofiara oszustwa już wie, że jest oszukana, ale musi trzy dni czekać i patrzeć, jak jej środki trafiają w ręce oszusta i dopiero potem składać reklamację. Tak to po prostu działa (jeśli znacie sposób, by taką transakcję wycofać, dajcie znać – pomoże wielu ofiarom).

Drugim problemem jest odrzucenie przez bank żądania klienta o zastosowanie mechanizmu chargeback. Cytując czytelnika:

Bank odmówił bezpośredniej prośbie o chargeback. Powiedział, cytuję, że „chargeback jest jednym z narzędzi, z których może skorzystać bank, ale jest to w kwestii rozpatrujących sprawę osób po stronie banku a nie moje widzimisię”.

Tu kolejne pytanie do naszych lepiej zorientowanych czytelniczek i czytelników – czy bank faktycznie może odmówić rozpoczęcia procedury obciążenia zwrotnego w przypadku, gdy doszło do nadużycia w transakcji kartowej?

Trzecim problem są słuszne naszym zdaniem pretensje klienta dotyczące działań banku w zakresie wykrywania anomalii i zwalczania nadużyć. Ponownie oddajmy głos czytelnikowi:

Ciężko mi zrozumieć, jak na koncie bankowym, które ma dosłownie zerową historię transakcji większych niż kilkaset złotych nagle bez problemu bank pozwolił na dokonanie 6 transakcji (bo tyle ich finalnie było) po 1000 / 1500 złotych. Wiem, że monitorują dziwne ruchy na karcie/koncie i weryfikują niektóre transakcje telefonicznie (spotkało mnie juz coś takiego 2x – co prawda to były „legalne” operacje, ale rzeczywiście odbiegające od normy). Tym bardziej, że te transakcje odbywały się poprzez serwis w Wielkiej Brytanii.

Nas też to mocno dziwi – seria zdarzeń: dodanie karty do Apple Pay i w ciągu kilkunastu minut 6 zdalnych transakcji w serwisie umożliwiającym przelewy do innych osób, gdy klient nigdy z tego typu usług nie korzystał ani transakcji na takie kwoty nie wykonywał, powinno skutkować natychmiastową interwencją banku. Dlaczego do niej nie doszło? Czy oszustwo, toczące się od kilku tygodni, jeszcze nie doczekało się odpowiednich reguł w systemie antyfraudowym? Tego niestety nie wiemy.

Ostatecznie bank reklamację klienta odrzucił, uznając, że transakcje były prawidłowo autoryzowane. Klient planuje dalej walczyć – i w tej sytuacji trzymamy kciuki za sukces.

Jeśli macie doświadczenie i wiedzę, mogące pomóc innym poszkodowanym, czekamy na wasze porady i opinie zarówno w komentarzach, jak i na redakcyjnej skrzynce.