Michał Rosiak 
Motyw na "kupon z Biedronki" lub innego sklepu to jeden z klasycznych schematów stosowanych w sieci. O ile nie zawsze wiąże się on z oszustwem - w przypadku, na który trafiliśmy ostatnio w CERT Orange Polska właśnie tak się dzieje.
Scam kuponowy do tej pory niemal zawsze wiązał się z wyciąganiem z internautów przy użyciu socjotechniki ich danych kontaktowych i teletransmisyjnych. Pisałem o tym niemal 5 lat temu, ale motyw w zasadzie się nie zmienił. Dlatego zdziwiłem się, gdy rutynowo analizując kolejny przypadek zobaczyłem, że to zupełnie inny kupon z Biedronki.
Niby nic nie kradną
W skrócie: w wersji wykorzystywanej do tej pory ofiara przekazywała atakującym imię, nazwisko, nr telefonu, e-mail + wszelkie informacje sieciowe o połączeniu, wykorzystywanym urządzeniu, itd. Dlatego w sumie można się zastanowić, czy użycie zwrotów "atakujący" i "ofiara" jest na miejscu? W sumie wszystko dzieje zgodnie z prawem... tzn. na granicy prawa. Używane serwisy mają szczegółowe regulaminy, a na dole równie drobnym druczkiem piszą, że tak naprawdę to nie mają nic wspólnego z firmą, którą niby reklamują.
My mamy złapać się na socjotechnikę, odpowiedzieć na wszystkie pytania, podać o sobie informacje niewrażliwe, no i dać się sprofilować pod kątem późniejszych reklam i telefonów (nie nie - nie do wygrania, od telemarketerów). Coś tracimy? Trochę nerwów, trochę czasu. I energii na zastanowienie się, skąd oni mieli Wasz telefon? No właśnie stąd, że chcieliście kupon do Biedronki, Rossmanna, czy innego Lidla. No ale to tyle. Nikt nie włamuje się nam do banku, nie instaluje złośliwego oprogramowania. Jeśli będziemy odpowiednio asertywni w rozmowach z telemarketerami, to nie stracimy na tym ani grosza.
No chyba, że trafi się przypadek taki jak poniżej.
Kupon z Biedronki? Damy 1500 zł, ale zapłać 9
Jeśli mieliście już do czynienia z cyberzagrożeniami, te 9 zł powinno uruchomić już dzwonek w Waszej głowie. Coś kojarzycie?
- przesyłka została zatrzymana, zapłać 9 zł cła
- kurier Cię nie zastał, zapłać 9 zł, by ponowić dostawę
- wygrałeś iPhone'a, ponosisz tylko 9 zł kosztów wysyłki
Zastanawiam się, czemu oszuści akurat wybierają kwotę 9 zł? Stawiam, że to też socjotechniczna sztuczka. Że z jednej strony nie jest za tanio, ale z drugiej - no to wciąż jednocyfrowa kwota, prawda?
Tym bardziej, że tak naprawdę wcale nie wiadomo, ile trzeba będzie zapłacić. Jedno jest pewne - na początku będzie to relatywnie mała kwota, która po kilku dniach znacząco urośnie i - do momentu aż się nie zorientujemy - będzie regularnie ściągana z naszej karty. Z mojego doświadczenia dostawcami subskrypcji, które na nieświadomego internautę wykupował oszust, były legalnie działające firmy, mniej lub bardziej świadomie korzystające z tak specyficznej "sieci partnerskiej". Może się jednak równie okazać, że docelowa firma to wspólnik oszustów. Jeśli trafią do nich danej naszej karty płatniczej, to nasz kupon do Biedronki może okazać się wyjątkowo kosztowny.
Jak wygląda oszustwo krok po kroku
No to pora zajrzeć do środka. Zrobiłem to dla Was, abyście nie musieli próbować.
Zaczyna się od linka, przychodzącego SMS-em, mailem, czy w formie reklamy w sieci, bądź na telefonie. W kolejnym kroku przechodzimy na stronę, klikamy w koperty, pierwsza okazuje się pusta, ale w drugiej - szok i niedowierzanie! - mamy voucher!
Musimy tylko zapłacić podatek. No to próbujemy!
To w końcu 1500? Czy 2000? I w końcu podatek? Czy cena sprzedaży? No ale wpiszmy dane:
I tu zatrzymajmy się na chwilę. Do tej pory w tym typie przekrętu już w tym momencie było widać, że nie płacimy żadnego podatku, ani nie jest to kupon z Biedronki. Tutaj informacja o tym, za co tak naprawdę zapłaciliśmy pojawia się dopiero PO transakcji. O dziwo, system zadziałał na testowy numer karty:
To jak, gdzie nasz kupon z Biedronki? Bo nie dość, że okazuje się, że zapłaciliśmy 21,48 zł (a miało być 9!) to na dodatek wydaliśmy to na dostęp do serwisu... onlymymakeup[.]com. A co jeśli nie zauważymy, co się stało? Po 3 dniach z naszej karty ściągnie się już 45 euro. I tak co 14 dni, aż zorientujemy się, że coś jest jednak nie tak.
Tak więc zastanów się, zanim skusisz się na nieistniejący kupon z Biedronki, Lidla, Rossmanna, czy innego tego typu sklepu. No i na pewno patrz, gdzie wpisujesz dane karty płatniczej.
Beata Giska 
