W ten sposób można stracić majątek. Fałszywe wezwanie do zapłaty, groźby windykacji i naciski na szybkie działanie — tak prezentuje się najnowszy scenariusz oszustwa, w którym przestępcy podszywają się pod aplikację mObywatel. Otrzymałam wiadomość, która do złudzenia przypominała oficjalny komunikat. Oszuści jednak mieli pecha i popełnili jeden istotny błąd.
Przestępcy nieustannie opracowują nowe metody wyłudzania danych i środków finansowych. Jestem na nie szczególnie wyczulona, ponieważ już wielokrotnie próbowano mnie oszukać. Z ostatnią, dość perfidną próbą, miałam (nie)przyjemność obcować dwa tygodnie temu — 29 maja.
Otrzymałam SMS, który na pierwszy rzut oka wydawał się wiarygodny, a jego nadawcą był “【mObywatel】”. Treść wiadomości rozpoczynała się od słów: “Do właściciela pojazdu: Twój pojazd został zarejestrowany jako wykroczenie drogowe przez inteligentny system monitorowania ruchu drogowego miasta. Informacja o mandacie została przekazana do krajowej bazy danych praw jazdy oraz urzędu rejestracji pojazdów”.
Czytaj również: Zadzwonił do mnie oszust, by ogołocić moje konto, a ja go nagrałam. Oto jak próbował mnie oszukać
Tak straszyli mnie oszuści
W dalszej części poinformowano mnie, że ponieważ nie uregulowałam należności ani nie złożyłam sprzeciwu, sprawa zbliża się do etapu naliczania dodatkowych opłat za zwłokę, które mogą sięgnąć nawet 200 proc. pierwotnej kwoty mandatu.
W treści wiadomości wyszczególniono listę konsekwencji, które miały mnie spotkać. “Krok 2: Automatyczne uruchomienie systemu, sprawa uwzględniona w Krajowym Systemie Egzekucyjnym: Sąd ma możliwość potrącenia kwoty mandatu i odzyskania należności za opóźnienie oraz kosztów egzekucyjnych. Krok 3: Zakończenie postępowania egzekucyjnego. Ten wpis zostanie umieszczony w krajowym systemie informacji kredytowej kierowców, co wpłynie na przyszłe transakcje dotyczące Twojego pojazdu”.
W SMS-ie podano również termin, do którego należy opłacić mandat — czas na uregulowanie mijał już o północy, czyli zaledwie za kilka godzin. Widniał tam również link do „portalu reklamacyjnego lub płatniczego”, jednak nie znajdował się on w domenie gov.pl, tak jak ma to miejsce w przypadku wszystkich serwisów rządowych, w tym aplikacji mObywatel. Otrzymany przeze mnie link prowadził do adresu mobywatel-oplata.cc/pl.
Oszuści źle trafili
Taka wiadomość może wywołać niepokój u niemal każdej osoby. Informacja pochodząca rzekomo z państwowej aplikacji, doniesienie o niezapłaconym mandacie, krótki czas na reakcję. Właśnie na takich emocjach bazują oszuści i bardzo często ich działania przynoszą zamierzony efekt.
Tym razem jednak trafili na niewłaściwą osobę. Po pierwsze, nie posiadam samochodu. Po drugie, nie pamiętam, kiedy ostatnio prowadziłam pojazd. Zazwyczaj podróżuję jako pasażer lub korzystam z transportu publicznego. Nie miałam zatem wątpliwości, że jest to kolejna próba oszustwa. Tym razem podszywając się pod mObywatela i, jak się okazuje, stosując coraz popularniejszą metodę w naszym kraju.
Postanowiłam zbadać, w jaki sposób tym razem przestępcy próbują realizować swój plan.
Po kliknięciu w odnośnik z SMS-a zostałam przekierowana na stronę, gdzie teoretycznie można było sprawdzić liczbę posiadanych punktów karnych. Wiedziałam, że mam ich zero (trudno je uzyskać, gdy się nie prowadzi pojazdu), a mimo to pojawił się komunikat o mandacie na kwotę 200 zł. “Opłacenie” go było możliwe poprzez kliknięcie w link prowadzący do serwisu płatniczego, który wymagał podania moich danych oraz danych karty płatniczej.
Gdybym dokonała tej płatności, straciłabym nie tylko 200 zł, ale znacznie więcej. Dokładna kwota zależałaby od ustawionych limitów dziennych (to dobry moment, aby przypomnieć, jak ważne jest ich ustawienie). W najgorszym możliwym scenariuszu mogłoby to oznaczać utratę wszystkich oszczędności.
Uwaga, to jest smishing
Jak później ustaliłam, byłoby to możliwe, ponieważ po wprowadzeniu danych i potwierdzeniu operacji, karta zostałaby dodana do cyfrowego portfela (np. Google/Apple Pay), co umożliwiłoby przestępcom dokonywanie nią płatności bez konieczności każdorazowego potwierdzania transakcji przez właściciela.
Oszustwo, którego nie padłam ofiarą, to smishing, czyli phishing realizowany za pośrednictwem wiadomości SMS. Celem takich komunikatów jest skłonienie odbiorcy do kliknięcia w link, podania danych osobowych, danych logowania lub informacji o karcie płatniczej.
Obecnie jednym z najczęściej występujących wariantów jest „oszustwo na mObywatela”. Jesteśmy przyzwyczajeni do otrzymywania oficjalnych powiadomień poprzez aplikację mObywatel i łatwiej jest nam uwierzyć w taki komunikat niż w standardowe wiadomości od „banku” czy „kuriera”, z czym mieliśmy do czynienia wcześniej.
Po pewnym czasie strona, do której link otrzymałam w SMS-ie, została zablokowana przez mojego dostawcę internetu. Obecnie po wejściu na nią widzimy ostrzeżenie:
„Uwaga, zagrożenie. Link, w który kliknąłeś/aś nie był linkiem od operatora płatności! To oszustwo, które powstrzymała CyberTarcza Orange. SMS lub mail — link, z którego kliknąłeś/aś, został wysłany przez oszustów. Używają oni serwisów łudząco podobnych do faktycznych operatorów płatności, by wykraść ofiarom loginy i hasła do systemów e-bankowości. W kolejnym kroku konto bankowe ofiary zostaje wyczyszczone do zera, często przestępcy zaciągają również szybkie pożyczki”.
Jak nie dać się oszukać?
Internetowi oszuści stają się coraz bardziej pomysłowi i stale opracowują nowe metody pozyskiwania pieniędzy oraz danych osobowych. Często podszywają się pod banki, przedsiębiorstwa, urzędy, a nawet naszych znajomych. Wszystko po to, aby wzbudzić zaufanie i skłonić nas do — zazwyczaj emocjonalnego i szybkiego — działania.
Oto 10 zasad, które pomogą uniknąć oszustw internetowych:
- Nikomu nie udostępniaj danych osobowych, danych do logowania, kodów autoryzacyjnych ani informacji finansowych.
- Zawsze dokładnie weryfikuj nadawcę wiadomości oraz adres strony internetowej.
- Nie klikaj pochopnie w odnośniki i załączniki — zwłaszcza te otrzymane w nieoczekiwanych wiadomościach SMS, e-mailach czy komunikatorach.
- Jeśli wiadomość zawiera linki do stron, dokładnie sprawdź ich adresy — najedź kursorem na link (nie klikaj!) i zobacz, czy wyświetlany adres (w “dymku” lub na dole okna przeglądarki) jest zgodny z adresem w treści wiadomości.
- Analizuj linki w wiadomościach SMS przed ich kliknięciem. (link w SMS-ie od oszustów nie jest poprawnym linkiem usługi rządowej, mimo że zawiera w nazwie „gov” i „pl”, domena nie kończy się na gov.pl).
- Pamiętaj o sztuczkach cyberprzestępców, takich jak: mała litera „l” wyglądająca identycznie jak cyfra „1”, zbitka liter „rn” łudząco przypominająca literę „m”.
- Podczas dokonywania płatności kartą przez internet, zawsze zwracaj uwagę na komunikat w aplikacji bankowej — czy dotyczy płatności, czy może dodania karty do „portfela Google Pay”.
- Nie instaluj aplikacji z niepewnych źródeł — pobieraj oprogramowanie wyłącznie z oficjalnych sklepów i stron producentów.
- Uważaj na presję czasu i emocje — oszuści często próbują zastraszyć, oferują wyjątkowe okazje lub proszą o natychmiastowe działanie, aby uśpić czujność ofiary.
- Stosuj silne zabezpieczenia — używaj unikalnych haseł, włącz uwierzytelnianie dwuskładnikowe oraz regularnie aktualizuj oprogramowanie swoich urządzeń.
Dziękujemy za przeczytanie naszego artykułu do końca. Bądź na bieżąco! Obserwuj nas w Google.