Tak można stracić dorobek życia. Sfałszowany mandat, groźby wszczęcia postępowania egzekucyjnego i nacisk na błyskawiczne działania – to metody najnowszej intrygi, w której złodzieje podszywają się pod aplikację mObywatel. Dotarł do mnie komunikat, który niemal idealnie imitował oficjalną wiadomość. Na szczęście oszustów spotkał pech, ponieważ popełnili jeden znaczący błąd.
Oszuści stale opracowują nowe sposoby na pozyskiwanie danych i środków finansowych. Jestem na nie szczególnie wyczulona, ponieważ już nieraz próbowano mnie oszukać. Z ostatnią, dość podstępną próbą, miałam (nie)przyjemność zetknąć się dwa tygodnie temu, dokładnie 29 maja.
Otrzymałam SMS, który na pierwszy rzut oka wydawał się autentyczny, a nadawcą widniało oznaczenie „【mObywatel】”. Treść komunikatu rozpoczynała się od słów: „Do właściciela pojazdu: Państwa pojazd został zarejestrowany jako naruszenie przepisów ruchu drogowego przez zaawansowany system nadzoru nad ruchem miejskim. Informacja o nałożonej karze została przekazana do krajowego repozytorium praw jazdy oraz urzędu zajmującego się rejestracją pojazdów”.
Przeczytaj również: Oszust zadzwonił, by wyczyścić moje konto, a ja go nagrałam. Oto jak próbował mnie oszukać
Tak mnie straszyli sprawcy wyłudzenia
Dalej w wiadomości znajdowała się informacja, że z uwagi na brak uregulowania należności lub złożenia sprzeciwu, sprawa zbliża się do momentu naliczenia dodatkowych opłat za zwłokę, które mogą sięgnąć nawet 200 proc. pierwotnej kwoty kary.
W treści komunikatu wymieniono konsekwencje, które miały mnie spotkać. „Krok 2: Automatyczne uruchomienie procedury, sprawa wpisana do Krajowego Systemu Postępowań Egzekucyjnych: Sąd posiada uprawnienia do potrącenia kwoty kary oraz odzyskania należności z tytułu zwłoki i kosztów postępowania egzekucyjnego. Krok 3: Zamknięcie postępowania egzekucyjnego. Ten wpis zostanie zarejestrowany w krajowym rejestrze informacji kredytowej kierowców, co będzie miało wpływ na przyszłe operacje związane z Państwa pojazdem”.
W SMS-ie wskazano również termin, do którego należało uregulować karę – upływał on już o północy, czyli za zaledwie kilka godzin. Znajdował się tam również odnośnik do „portalu reklamacyjnego lub płatniczego”, jednak nie znajdował się on w domenie gov.pl, jak ma to miejsce w przypadku wszystkich oficjalnych serwisów państwowych, w tym aplikacji mObywatel. Otrzymany przeze mnie link miał natomiast adres mobywatel-oplata.cc/pl.
Oszuści trafili na niewłaściwą osobę
Taka informacja może wywołać niepokój u niemal każdego odbiorcy. Wiadomość pochodząca rzekomo z państwowej aplikacji, doniesienie o prawdopodobnie nieuregulowanej karze, krótki czas na reakcję. Właśnie na takich emocjach bazują przestępcy i bardzo często ich działania przynoszą zamierzone efekty.
Tym razem jednak ich próba okazała się nieudana. Po pierwsze, nie posiadam samochodu. Po drugie, nie przypominam sobie, kiedy ostatnio prowadziłam pojazd. Zazwyczaj podróżuję jako pasażer lub korzystam z transportu publicznego. W związku z tym nie miałam żadnych wątpliwości, że jest to kolejna próba oszustwa. Tym razem podszywająca się pod mObywatela, co okazuje się coraz powszechniejszym zjawiskiem w naszym kraju.
Postanowiłam zbadać, w jaki sposób tym razem przestępcy próbują działać.
Po kliknięciu w link zawarty w SMS-ie zostałam przekierowana na witrynę, na której teoretycznie można było sprawdzić liczbę posiadanych punktów karnych. Wiedziałam, że mam ich zero (trudno je zdobyć, gdy się nie prowadzi pojazdu), a mimo to pojawił się komunikat o mandacie w wysokości 200 zł. Istniała możliwość „uregulowania” go poprzez kliknięcie w odnośnik prowadzący do serwisu płatniczego, który wymagał podania moich danych oraz danych karty płatniczej.
Gdybym to zrobiła, straciłabym nie tylko 200 zł, ale znacznie więcej. Dokładna kwota zależałaby od ustalonych limitów dziennych (to dobry moment, aby przypomnieć o ich konieczności ustawienia). W najgorszym możliwym scenariuszu mogłyby to być wszystkie moje oszczędności.
Uwaga, to jest smishing
Jak się później dowiedziałam, byłoby to możliwe, ponieważ po wprowadzeniu danych i zatwierdzeniu transakcji, karta zostałaby dodana do cyfrowego portfela (np. Google/Apple Pay), co umożliwiłoby oszustom dokonywanie płatności bez konieczności każdorazowego potwierdzania transakcji przez właściciela.
Oszustwo, którego nie padłam ofiarą, to smishing, czyli forma phishingu realizowana za pośrednictwem wiadomości SMS. Celem takich komunikatów jest nakłonienie odbiorcy do kliknięcia w link, podania danych osobowych, danych logowania lub informacji dotyczących karty płatniczej.
Obecnie jedną z najczęściej spotykanych odmian jest „oszustwo na mObywatela”. Jesteśmy przyzwyczajeni do otrzymywania oficjalnych powiadomień poprzez aplikację mObywatel i łatwiej jest nam uwierzyć w taki komunikat niż w klasyczne wiadomości od „banku” czy „kuriera”, z którymi mieliśmy do czynienia wcześniej.
Po pewnym czasie strona, do której link otrzymałam w SMS-ie, została zablokowana przez mojego dostawcę usług internetowych. Obecnie po wejściu na nią wyświetla się ostrzeżenie:
„Uwaga, zagrożenie. Link, w który kliknąłeś/aś nie był linkiem od operatora płatności! To oszustwo, które powstrzymała CyberTarcza Orange. SMS lub e-mail – link, który kliknąłeś/aś, został wysłany przez oszustów. Wykorzystują oni serwisy łudząco podobne do prawdziwych operatorów płatności, aby wykradać loginy i hasła do systemów bankowości elektronicznej. W kolejnym kroku konto bankowe ofiary jest opróżniane do zera, często przestępcy zaciągają również szybkie pożyczki”.
Jak uniknąć stania się ofiarą?
Oszuści internetowi wykazują się coraz większą pomysłowością i nieustannie opracowują nowe metody wyłudzania pieniędzy oraz danych osobowych. Często podszywają się pod instytucje bankowe, firmy, urzędy, a nawet naszych znajomych. Wszystko po to, aby wzbudzić zaufanie i skłonić nas do – zazwyczaj pod wpływem emocji i pośpiechu – podjęcia określonych działań.
Oto 10 zasad, które pomogą Ci uniknąć oszustw w internecie:
- Nie udostępniaj nikomu danych osobowych, danych logowania, kodów autoryzacyjnych ani informacji finansowych.
- Zawsze weryfikuj nadawcę wiadomości oraz adresy stron internetowych.
- Nie klikaj bezrefleksyjnie w linki i załączniki – zwłaszcza te otrzymane w nieoczekiwanych wiadomościach SMS, e-mailach lub za pośrednictwem komunikatorów.
- Jeśli wiadomość zawiera linki do stron, dokładnie sprawdź ich adresy – najeżdżając kursorem na link (bez klikania!) zobacz, czy wyświetlany adres (w dymku lub na dole okna) jest zgodny z adresem zawartym w treści wiadomości.
- Analizuj adresy URL w wiadomościach SMS przed kliknięciem. (adres w SMS-ie od oszustów nie jest poprawnym adresem usługi rządowej, mimo że zawiera w nazwie „gov” i „pl”, to domena nie kończy się na gov.pl).
- Pamiętaj o sztuczkach stosowanych przez cyberprzestępców, takich jak: mała litera „l” wyglądająca identycznie jak cyfra „1”, zbitka liter „rn” łudząco przypominająca literę „m”.
- Podczas dokonywania płatności kartą online, zawsze zwracaj uwagę na komunikat w aplikacji bankowej – czy dotyczy to płatności, czy też dodania karty do „Portfela Google Pay”.
- Nie instaluj aplikacji pochodzących z nieznanych źródeł – pobieraj oprogramowanie wyłącznie z oficjalnych sklepów i witryn producentów.
- Uważaj na presję czasu i manipulację emocjonalną – oszuści często stosują groźby, obiecują wyjątkowe okazje lub domagają się natychmiastowego działania, aby uśpić czujność ofiary.
- Korzystaj z solidnych zabezpieczeń – stosuj unikalne hasła, włącz uwierzytelnianie dwuskładnikowe oraz regularnie aktualizuj oprogramowanie swoich urządzeń.
Dziękujemy za przeczytanie naszego artykułu do końca. Bądź na bieżąco! Obserwuj nas w Google.