W 2018 roku CERT Polska działający w strukturach Naukowej i Akademickiej Sieci Komputerowej NASK przeanalizował 97 przypadków użycia techniki, w której atakujący posługiwali się fałszywymi portalami sprzedaży. Oszuści podszywają się pod znanych sprzedawców, bądź to stawiając witrynę sklepu łudząco podobną do istniejącej już firmy, bądź też mamią klientów szczególnie atrakcyjnymi cenami produktów, nigdzie indziej nie oferowanymi. Czerwona lampka powinna zapalić się nam, gdy strona zawiera błędy językowe, sklep ma siedzibę pod nieistniejącym adresem, brak komentarzy o sprzedawcy czy sprzedawanych produktach lub strona żąda „ponadmiarowych” danych do rejestracji. W przeciwnym wypadku możemy narazić się na bezprawne pozyskanie naszych danych osobowych, dostęp do konta bankowego czy utratę wpłaconej sumy.

Według NASK, technika fałszywych ogłoszeń sprzedaży w sieci na przestrzeni ostatnich miesięcy znacząco ewaluowała. Ma to związek ze zmianą przyzwyczajeń płacowych konsumentów, a także działań po stronie zespołów bezpieczeństwa, które próbują zwalczać szkodliwy proceder. O ile kiedyś oszustwo sprowadzało się wyłącznie do uzyskania korzyści w formie braku wysyłki towaru w ustalonej wcześniej kwocie, teraz przestępcy poszli krok dalej. Fałszywy proces zakupowy jest tylko elementem otwierającym płaszczyznę ataku.

Znikną granice w handlu internetowym
Znikną granice w handlu internetowym

Zobacz również

- Pamiętajmy, że w celu skutecznego zakupu w sieci zazwyczaj wykonujemy kilka powtarzalnych kroków: rejestracja, logowanie, potwierdzanie mailem, logowanie do bankowości, śledzenie przesyłki. W całym procesie istnieje potencjalnie wiele miejsc, gdzie atakujący może spróbować podesłać coś 'złośliwego' ofierze. Celem przestępcy jest uzyskanie dostępu do naszej bankowości internetowej i wytransferowanie środków w zaplanowane przez siebie miejsce – mówi Bartosz Loba dyrektor ds. Komunikacji Zewnętrznej i PR NASK.

W przypadku sklepów internetowych szczególną ostrożność powinny budzić bardzo atrakcyjne, niespotykane gdzie indziej ceny produktów. Jest to pierwsza wskazówka, że coś może być nie tak. W szczególności, jeśli te atrakcyjne promocje dotyczą całego lub większej części asortymentu danego sklepu, a nie wyłącznie wybranych towarów. Paradoksalnie, jeśli cena jest zbyt atrakcyjna, warto danej rzeczy nie kupować. Drugim wyznacznikiem są opinie innych klientów. Jeśli korzystamy np. z porównywarek cenowych takich jak np. Ceneo.pl, widzimy, ile osób korzystało z danego sklepu i jakie ma opinie. Choć i tutaj trzeba być ostrożnym, bo pozytywne komentarze można sobie niekiedy po prostu kupić.

UOKiK dopuścił ryzykowny model e-sprzedaży. Czy inni pójdą śladem Tesco?
UOKiK dopuścił ryzykowny model e-sprzedaży. Czy inni pójdą śladem Tesco?

Zobacz również

- Jeśli mamy do czynienia z miejscem, gdzie zakupy robimy pierwszy raz, warto poszukać bliższych informacji o sprzedawcy za pomocą wyszukiwarki. Jeśli były już jakieś osoby poszkodowane, bardzo prawdopodobne, że podzieliły się informacją o tym na forach internetowych – mówi radca prawny Piotr Grzelczak z Kancelarii Radców Prawnych GFP Legal.

- Warto również sprawdzić, czy istnieje możliwość kontaktu z danym podmiotem, w szczególności, czy odbierane są telefony, czy adres podany na stronie nie znajduje się w jakimś nietypowym miejscu, czy jest telefon stacjonarny, itp. Pomocnym wskaźnikiem jest również analiza oferowanych przez daną witrynę metod płatności – dodaje radca.

  • NASK uczula na co powinniśmy zwrócić szczególną uwagę - w jaki sposób natrafiłeś na stronę sklepu (polecenie, ogłoszenie, fanpage?) - jak strona jest przygotowana, czy profesjonalnie, czy wolna od błędów językowych - czy regulaminy są czytelne i spójne - czy są dostępne opinie na jej temat w sieci - czy dane w KRS są spójne (PKD, data rejestracji) - czy czujesz, że ktoś wywiera na ciebie presję zakupową (tylko dzisiaj, tylko teraz, rabat 99%) - czy dane pozyskiwane w procesie rejestracji nie są nadmiarowe - jakie formy rozliczeń pieniężnych oferuje (czy wiarygodne) - od kiedy działa sklep, jego domena (można zweryfikowac w sieci) - jak dostarcza towar - czy jesteś proszony o doinstalowanie dodatkowych pluginów, aplikacji - dokładnie weryfikuj maile oraz sms otrzymywane od sprzedawcy, czy nie prowadzą one do podejrzanych domen lub pobrania czegokolwiek - czy dokumenty księgowe wystawiane przez sklep są wiarygodne - czy nie jesteś proszony o wykonanie jakiejś nielogiczej z twojego doświadczenia akcji (prośba o przelew 0,01 PLN, dopłata do już ustalonej kwoty) - czy sprzedający nie wykonuje nieprzewidywanych kontaktów, próśb o coś lub dystrybucji na podane przez Ciebie dane - czy w niedalekim odstępie czasu od zakupu nie otrzymałeś podejrzanych wiadomości z innych, niepowiązanych źródeł .
Ważne. Nastawione na oszustwa strony mogą nie oferować płatności za pobraniem czy płatności kartą kredytową, dla której środki są przez pewien czas zamrożone i istnieje możliwość skorzystania z procedury chargeback. Dlatego też brak tych opcji powinien wzmagać czujność.

Co zrobić w razie podejrzeń?

• Pierwsza opcja to wyjaśnienie wątpliwości z oferentem. Można telefonicznie, czy osobiście ale za pomocą maili, czy sms łatwiej będzie uzyskać potem ew. dowody na oszustwo. Jeśli już wtedy obnażyliśmy proceder - najlepiej poinformować CERT Polska oraz przekazać historię wraz udokumentowanymi dowodami w sprawie.

• Drugą możliwością jest rezygnacja z super okazji sprzedażowej i wycofanie się z procesu zakupowego. Czasami lepiej stracić okazję niż pieniądze z rachunku.

Jeżeli doszło już do skutecznej kradzieży środków z rachunku powinniśmy pamiętać, że właściwym organem do zgłoszenia przestępstwa jest policja. Warto też złożone zawiadomienie wraz z dowodami przekazać także do CERT Polska, który równolegle zbada sprawę.

Oczywiście, można również podjąć czynności celem uregulowania sprawy z punktu widzenia prawa cywilnego czyli odstąpić od umowy np. z powodu niedostarczenia towaru i zażądać zwrotu pieniędzy, a jeśli wystąpiła dodatkowa szkoda - również zażądać odszkodowania. Pomocni mogą być tutaj miejscy/powiatowi rzecznicy konsumentów. W praktyce jednak, jeśli strona z góry nastawiona była na działalność przestępczą, może to jednak niewiele przynieść, a jedynym realnym środkiem ochrony może być prowadzone w sprawie postępowanie karne, choć i ze skutecznością tego ostatniego może być różnie.

Sprawa odzyskania utraconych pieniędzy jest dość trudna, choć wiele zależy od sytuacji. Nawet, jeśli Policja szybko namierzy oszustów, pieniędzy może już nie być. W najlepszej sytuacji będą osoby płacące "za pobraniem" (o ile na stronie dostępna będzie w ogóle taka opcja) lub robiące zakupy za pomocą kart kredytowych, gdyż wówczas można skorzystać z procedury chargeback, która jest bardzo skuteczna. W Polsce bardzo popularne są jednak szybkie przelewy (tzw. pay-by-link), a przy nich niestety chargeback nie zadziała.

- Czasem, choć pewnie dość rzadko, jeśli niezwłocznie zorientujemy się, że padliśmy ofiarą oszustwa a płaciliśmy przelewem, może istnieć możliwość zatrzymania/odwołania przelewu w banku, gdyż większość przelewów realizowana jest sesyjnie w dni robocze i może się okazać, że nasze środki nie opuściły jeszcze banku. W większości przypadków będzie to jednak niemożliwe, bo poszkodowani orientują się o tym, że zostali oszukani dopiero jak w terminie nie otrzymują towaru, czy też kiedy wszelki kontakt ze sprzedawcą po prostu się urywa – uczula radca prawny.

Na koniec, co bardzo ważne – nie należy zwlekać niepotrzebnie przykrym obowiązkiem zawiadomienia. Ofiary bardzo często do końca wierzą, że nie zostały oszukane, a umówiony towar niebawem przyjdzie. Co gorsze, niektórzy całkowicie rezygnują ze składania zawiadomień, godząc się z poniesioną stratą.