W środę już po raz drugi zorganizowaliśmy zakupy na żywo w Orange. Pisała o tym na blogu Ewa. Podczas transmisji na stronie orange.pl razem z Mateuszem i Adrianem prezentowaliśmy Xiaomi 12 Pro i 12 Lite, odpowiadaliśmy na pytania od widzów i zdradzaliśmy szczegóły promocji. Zobaczcie, jak wyglądało to wydarzenie od kuchni.

Przez 30 minut rozmawialiśmy z Adrianem, czyli ekspertem firmy Xiaomi, który pokazywał nam możliwości obu modeli Xiaomi: 12 Pro i 12 Lite. Podczas transmsji widzowie mogli kupić je w sklepie Orange ze zniżką 200 zł wysyłając SMS o treści RABAT na numer 80111 i zwrotnie otrzymując kod obniżający cenę.

Zakupy na żywo to także świetna okazja, żeby zadać pytanie ekspertom z firm produkujących smartfony. Podczas transmisji wyświetla się okienko czatu, a pytania trafiają do nas w czasie rzeczywistym.

Dla mnie transmisja na żywo była nowym doświadczeniem, ale świetnie się bawiłam. W przypadku takich wydarzeń nie ma możliwości powiedzenia sobie „to się wytnie”, więc presja jest spora 🙂 Nie obyło się bez drobnych wpadek, ale całość wyszła naprawdę fajnie. Zobaczcie, jak wyglądały przygotowania i samo wydarzenie od kuchni.

Jeśli przegapiliście transmisję, a chcielibyście się dowiedzieć więcej o Xiaomi 12 Pro i 12 Lite, zobaczcie videorecenzje Bartka.

Dzięki, że byliście z nami podczas transmisji „Kupuj na żywo w Orange”. Mam nadzieję, że wam się podobało. Do zobaczenia następnym razem 🙂 Zapowiedzi szukajcie na orange.pl i naszym blogu.

Węgiel. Mam wrażenie, że gdybym w ostatnich tygodniach za każdą sytuację, gdy trafiłem na to słowo w sieci dostawał złotówkę, mógłbym kupić co najmniej tonę Czarnego Złota. Dla wielu Polaków zapewnić sobie węgiel na zimę, jest kluczową sprawą. I jak zawsze wiedzą o tym też sieciowi oszuści.

Węgiel, a dokładnie strony internetowe oferujące zakup nieistniejącego paliwa, to tylko punkt wyjścia do szerszego spojrzenia na temat. Na to, by w internecie – niczym w samochodzie, tylko znacznie bardziej – stosować zasadę ograniczonego zaufania.

Zakupy bez nerwów, zakupy bez kolejki

„Zobacz Rosiu, temat dla Ciebie!” – Wojtek podrzucił na naszej blogowej grupie link do artykułu o oszustwie, które… cóż, zupełnie mnie nie zaskoczyło. Wręcz zdziwiłem się, że dopiero teraz zaczynają pojawiać się strony, usiłujące przekonać, że mają na sprzedaż węgiel. Bez wirtualnej kolejki, nerwowego przeładowywania witryny i konieczności dzwonienia na infolinię. Jestem sobie w stanie wyobrazić sytuację, gdy potencjalnej ofiary nie trzeba będzie przyciągać wyjątkowo atrakcyjną ceną! Wystarczy fakt, że towar jest.

Co działo się potem – tego niestety cytowany tekst nie zdradza. Mając jednak wiedzę o tego typu oszustwach nie spodziewam się tutaj fałszywej bramki płatności (i wykradzenia loginów i haseł). To domena bardziej wyrafinowanych przestępców. Tutaj widzę toporne konto na „słupa” i po oszukaniu odpowiedniej liczby ofiar – transfer pieniędzy na konta giełd kryptowalut.

Węgiel, czyli oszustwo na czasie

Sieciowi oszuści to ludzie dobrze zorientowani w panujących trendach. W końcu to ich – na swój sposób – „praca”, więc świadomość tego, czym akurat interesują się internauci (czyli de facto my wszyscy) to klucz to dużych pieniędzy. Jasne, przelew nieco ponad tysiąca złotych na konto słupa dla wielu może oznaczać, że nie tylko nie będą mieli się za co ogrzać, ale i z jedzeniem mogą mieć problem. Bardziej wyrafinowani oszuści nie będą się jednak łasić na – w ich rozumieniu – drobne. Oni przygotują socjotechniczną sztuczkę, która sprawi, że bez obaw otworzymy przysłany nam załącznik, czy zalogujemy się na witrynę, która nie będzie ani trochę tym, czym się wydawała. W efekcie np. możemy być zmuszeni do zapłaty kilkutysięcznego okupu za odzyskanie dostępu plików z naszego dysku, które zostały zaszyfrowane w wyniku nieostrożnego kliknięcia w rzekomą fakturę.

Mam nieodparte wrażenie, że ostatnich czasach ataków ransomware na zwykłych użytkowników sieci nie ma już tak wielu. Przestępcy idą tam, gdzie jest wielka kasa. Do firm, które mogą zapłacić, by uchronić się przed publikacją wykradzionych dokumentów. Czy to oznacza, że nic zwykłemu internaucie nie grozi? Odpowiem pytaniem na pytanie – korzystasz z internetu w pracy, odbierasz maile? No właśnie.

Na końcu i tak chodzi o pieniądze

A jeśli nie wiadomo o co chodzi… No dobra, bez żartów. Przecież na końcu i tak chodzi o kasę. Tę dużą od firm albo od kilkuset oszukanych indywidualnych ofiar, co przestępcom zazwyczaj przychodzi łatwiej, niż „zrobienie” jednej firmy. Bo my, korzystając z sieci, nie możemy sobie pozwolić nawet na chwilę opuszczenia gardy. Warto wiedzieć, co akurat dzieje się w kraju, czy na świecie. Gdy zapowiadane jest upublicznienie ważnych dokumentów, jak choćby Raportu Komisji Millera po katastrofie smoleńskiej, szukać ich na oficjalnych stronach, a nie w różnych dziwnych miejscach w sieci. Gdy dzieją się takie potworności jak wojna w Ukrainie, liczyć się z tym, że w sieci mogą pojawić się treści mające wywołać w nas emocje (i oczekiwaną przez oszustów reakcję). Wreszcie czytać choćby stronę CERT Orange Polska, gdzie szybko znajdziecie ostrzeżenia o nowych wektorach ataków na nieświadomych internautów.

I nie wierzyć w cuda. Jeśli coś wydaje Ci się niewiarygodnie atrakcyjne, najlepiej założyć, że to nieprawda. Patrz na adresy stron, na które się logujesz. Nie szermuj swoimi hasłami na lewo i prawo. Bądź niczym przyczajony tygrys, gdy ktoś chce Twojego numeru karty płatniczej.

Bądźcie bezpieczni! I odpoczywajcie. Ja mam właśnie taki plan, więc mój kolejny tekst na blogu zobaczycie 25 sierpnia. Jadę do… no nie, co Wy! Nie napiszę. Zachowanie OPSEC w życiu codziennym to też przydatna sprawa. Jasne, kierunek w którym się udaję, nie jest jakąś wielką tajemnicą. Ale jeśli zaczniemy mimochodem „wyciekać” dane, których nie musi znać nikt inny, taka lekkomyślność może przejść na inne nasze zachowania. A stamtąd już krok do… No sami wiecie, w końcu przeczytaliście ten tekst 🙂

Coraz bliżej święta, coraz bliżej święta… A czasy są jakie są, nic dziwnego więc, że wielu z nas szuka okazji, by ograniczyć budżet, a jednocześnie wesprzeć Świętego Mikołaja na odpowiednim poziomie. Akurat w opisywanej dziś „okazji” nawet jeśli uda nam się dostać nagrodę, i tak nie zdążymy na święta.

Zaczyna się od maila lub SMSa z adresem hxxps://lego-zestaw.online.

Któżby nie chciał odebrać zestawu LEGO dla swojego dziecka? Które dziecko nie lubi LEGO? Kliknijmy zatem:

Adres strony już się zmienia, pojawia się nawet możliwość rodzinnego wyjazdu do Legolandu! Rzekomo do wygrania ma być 10 zestawów co tydzień – zobaczmy co będzie, gdy zdecydujemy się wziąć udział:

Odpowiemy oczywiście na kilka pytań, mających pomóc w jak najdokładniejszym sprofilowaniu nas jako odbiorców treści marketingowych. W następnym kroku czeka nas formularz do wypełnienia:

Co ciekawe, gdy klikniemy „Potwierdzam” dwukrotnie, długa lista zgód na przetwarzanie danych marketingowych „odhaczy” się sama!

I jeszcze prośba o szczegółowe dane osobowe:

No to LEGO, czy… talerze?

Gdy myślimy, że to już wszystko – pojawia się seria dodatkowych pytań, profilujących nas jeszcze dokładniej. Z analizy regulaminu serwisu (o nim będzie dalej) wynika, że dzieje się to pod kątem oczekiwań firm, współpracujących z organizatorem, do których trafiają docelowo nasze dane.

Następnie dostajemy prośbę o sprawdzenie skrzynki mailowej:

A w niej – konieczność potwierdzenia udziału w programie z dziwnym kawałkiem kodu z linkiem „Aliexpress.pl”.

I tyle. Dziękujemy.

Co tak naprawdę się stało?

Właśnie oddaliśmy szereg naszych danych, m.in. osobowych (niektórych wrażliwych) organizatorowi konkursu i kilkunastu firmom, związanych z nim umową. Jakich danych? To wynika bezpośrednio z regulaminu:

Czy ktoś nas oszukał? Nie. Regulamin (link do niego znajdziemy na kilku stronach, małym drukiem, szarą czcionką) szczegółowo precyzuje dane, które oddajemy, to, że na stronie mamy do czynienia z zawodami… zręcznościowymi (kto najszybciej odpowie na pytania, wygrywa), że wszystko dzieje się za naszą zgodą oraz – to w kontekście świąt wydaje się kluczowe – że rozstrzygnięcie konkursu będzie miało miejsce 31.12.2020. Więc nawet jeśli zgadzamy się na sprzedaż naszej prywatności, wymarzony zestaw LEGO dotrze zbyt późno, by wylądować pod choinką.

Zastanówmy się, czy na pewno tego chcemy?

Pandemia nie pandemia, święta być muszą. Myślę, że każdy z Was się ze mną zgodzi. Oczywiście nieco (lub bardziej) kameralne, niż zwykle, ale bez smacznego, „dedykowanego” – jak mawiamy w IT 🙂 – jedzenia, no i prezentów, cały czar grudniowych nocy prysłby jak mydlana bańka.

Z mojego punktu widzenia każdy, kto stanowi „osobowe wsparcie Mikołaja” powinien zdecydować się na zrobienie tego w formie online. Ja na pewno ryzykować nie zamierzam, będę kupował w sieci i stawiam bitcoiny przeciwko orzechom, że zrobi tak znacznie więcej osób, niż w poprzednich latach.

Ale wiecie co? Wiecie to nie tylko Wy (jak przewiduję) i ja. Oszuści też o tym wiedzą. Na co zatem uważać, by nasze zakupy nie wzbogaciły cwaniaków, czyhających na naszą krzywdę (i pieniądze)?

Czas na eksperymenty przyjdzie później

Nie wykluczam rzecz jasna, że w pandemicznych czasach ktoś na ostatnią chwilę umożliwi kupno wyjątkowych dzieł swoich rąk w internecie, sprzedając je wyjątkowo tanio, ze znanych sobie powodów. Na pewno jednak do wszelkich marek, o których słyszymy pierwszy raz, musimy przykładać zasadę ograniczonego zaufania.

Jeśli jednak chcecie sprawdzić nowy sklep, z którego do tej pory nie korzystaliście, warto zrobić przynajmniej dwie rzeczy:

• Sprawdzić rekord Whois dla domeny (adresu sklepu). W przypadku stron .pl zrobicie to na stronie https://dns.pl/whois, dla domeny .eu – https://whois.eurid.eu/pl/. Na co zwracać uwagę?
  • Data utworzenia domeny. Zasadniczo im starsza tym lepsza, bo z większym prawdopodobieństwem korzystająca z niej firma faktycznie istnieje od dawna. To jednak nie musi być wiążące – zdarza się, że przestępcy „podbierają” wyłączone stare domeny, na których faktycznie były sklepy z dobrą reputacją.
  • sprawdzamy nazwę abonenta (jeśli w tym polu pojawi się „Anonimowy”/”GDPR redacted”, czy cokolwiek w tym stylu, ryzyko oszustwa wzrasta. Uczciwa firma, czy rzemieślnik, rejestrują domenę na siebie lub np. wspierającą ich agencję marketingową)

• Warto też sprawdzić witrynę w serwisie https://urlscan.io
  • Tam zobaczymy m.in. informację o jej reputacji (jeśli będzie niska, na pewno to zobaczycie; będzie czerwoooonoooo); jej głównym adresie (zdarzają się przekierowania, nawet w seriach); sieci, w której jest utrzymywana witryna (dokładnie o tzw. systemie autonomicznym, ASN); no i – last but not least – o certyfikacie szyfrującym połączenie (u oszustów są to zazwyczaj darmowe/bardzo tanie certyfikaty Let’s Encrypt, wystawiane na 3 miesiące)
• Nie zaszkodzi też zajrzeć, czy sklep nie jest notowany na https://www.legalniewsieci.pl/. Jeśli jest tam oznaczony jako podejrzany – uciekaj.
• Pojawiła Ci się reklama sklepu w serwisie społecznościowym? I tu znów wraca Zasada Ograniczonego Zaufania. Podpromowanie „shady” sklepu w mediach społecznościowych to nie są drogie rzeczy, a można – dzięki profilowaniu w social mediach – trafić idealnie w oczekiwania „klienta”. Pojawia mi się akurat to, co chciałbym kupić? Niewyobrażalnie tanio? Przecież żal nie skorzystać. Na pewno?

„Ale ja chcę tu kupić, MUSZĘ!”

Załóżmy jednak, że się uparliście. No musicie i już, już Jerzy Stuhr daaawno temu śpiewał, ze czasami człowiek musi, inaczej się udusi. Ale jeszcze gdzieś tam w tyle głowy majaczy czerwony ostrzegawczy kolor. Co powinno go wzmocnić i pokręcić tą lampką tak, byśmy ją na pewno zauważyli?

• Ceny. Jeśli są wyjątkowo niskie, zawsze powinny wzbudzić naszą czujność. Taniej o 10-20% – to się może zdarzyć, szczególnie przed świętami. Jeśli są jednak mniejsze o połowę (i więcej) od standardowych, bądźmy bardzo ostrożni. Oczywiście nie wykluczamy, że – tak jak w przypadku „świeżego” sklepu – to ma się prawo zdarzyć. Ale raczej rzadko.
• Regulamin. Jeśli go nie ma – uciekajcie. Jeśli jest – przyjrzyjcie się mu dokładnie, tak jak polityce prywatności. Czy są tam dane firmy i zapisy, zgodne z RODO. A może tylko blebling mający robić wrażenie bardzo poważnych treści?
• Płatności. Są uczciwe sklepy oferujące wyłącznie płatność z góry przelewem. Ciężko w to uwierzyć, ale są. Mimo wszystko ja się lepiej czuję się z wieloma możliwościami. Na pewno z , z płatnością kartą kredytową (wtedy w razie problemów uruchamiamy w banku procedurę cashback). Do tego mój ukochany BLIK, no i płatności za pobraniem.
• Termin dostarczenia przesyłki. Kto nie czekał kilku miesięcy na przesyłkę z Aliexpress, niech… rzuci, czym chce. Sprawdźcie (albo dowiedzcie się u źródła) o planowany termin dostarczenia przesyłki. Wielkie Przedświąteczne Zapchanie Paczkomatów to jedno. Cwani sklepikarze kupujący na Aliexpress i odsprzedający po kilkukrotnie większej cenie w sumie też nie są problemem (skoro chcecie od nich kupić, to co Wam będę bronił). Ale to po prostu może potrwać. I święta, na które dotrze przesyłka, mogą okazać się… wielkanocnymi.

Ryzyko? Może jednak po świętach?

Może niektórych z Was kusi przetestowanie nowych pomysłów na zakupy, ale… może zróbcie to na kolejne Boże Narodzenie? Albo obdarujcie bliskich prezentami na urodziny, czy imieniny,dając sobie trochę więcej czasu. Nie kuście licha, no i zawczasu dokładnie prześwietlcie sprzedającego. Powiecie: „Przecież to może być nawet kilkanaście minut na jeden sklep!”. Zgoda, może. A ile czasu i nerwów stracicie, jeśli coś/wszystko pójdzie nie tak?

Bądźcie zdrowi. #zostańciewdomu