18

Phishing na przykładzie Allegro i OLX. Jak to działa? Jakie są konsekwencje?

W niniejszym artykule postaram się maksymalnie przybliżyć sposób działania metody phishingu stosowanej na popularnych platformach handlowych Allegro i OLX.

Autorem artykułu jest adwokat Oleg Buczyński, partner zarządzający w kancelarii BUCZYŃSKI ADWOKACKA S.K.A., która się zajmuje obsługą spółek handlowych, doradztwem podatkowym oraz reprezentuje klientów w postępowaniach sądowych.

Tytułem wstępu chciałbym odwołać się do definicji phishingu. W dużym uproszczeniu phishing to mechanizm oszustwa, polegający na podszywaniu się pod istniejące firmy w celu wyłudzenia danych dostępu do rachunków bankowych lub kart płatniczych, a następnie dokonaniu kradzieży pieniędzy. 

Zamieszczony w artykule opis metody phishingu powstał na bazie kilkudziesięciu spraw, które miała możliwość prowadzić lub prowadzi nadal nasza kancelaria adwokacka. 

Metoda phishingowa

Schemat działania jest następujący. Ofiara wystawia przedmiot (np. telefon komórkowy) na platformie handlowej Allegro lub OLX. Następnie z ofiarą kontaktuje się osoba powiązana z grupą przestępczą oraz wyraża zainteresowanie przedmiotem, proponuje jego nabycie oraz wysyłkę pocztą lub inpostem. Kontakt odbywa się najczęściej za pomocą komunikatora WhatsApp. Ofiara zgadza się na zaproponowane warunki, a następnie otrzymuje od członka grupy przestępczej wiadomość zawierającą wskazówki do dalszego działania. 

Poniżej zamieszczam przykładową treść wiadomości:

„Super, wtedy proponuje wybrać inpost, ja dokładnie wytłumaczę jak działa dostawa online. Wchodzę na stronę inpost, wypełniał formularz o dostarczeniu do swojego miasta, informację o nadawcy, opłacam za towar i wszystkie koszty przesyłki. Dostaje osobny link do nadawcy, przekazuję go Państwu, Państwo otrzymujecie pieniądze na swoje konto bankowe i czekacie na kontakt z kurierem, zwykle następuje on w ciągu 24 godzin. Myślę, że nie mam już więcej żadnych szczegółów do dodania. Jeżeli Państwo zgadzają się, to prosiłabym napisać swoje dane: imię, nazwisko, miasto, numer telefonu. Ja wypełnię formularz o dostawie i w ciągu 10 minut wyślę link do nadawcy z otrzymaniem opaty.”

W odpowiedzi na wskazaną wiadomość ofiara przekazuje wymienione wyżej dane osobowe. 

W kolejnej wiadomości członek grupy przestępczej przesyła linka do strony phishingowej udającej stronę internetową służby kurierskiej inpost, np.:

https://inpost.pl-getdeliveries.surf/getpay/521643726

Po wejściu na stronę phishingową pojawia się formularz do wypełnienia zawierający okienka do wpisania danych karty płatniczej. Po wpisaniu danych karty pojawiają się dane dotyczące transakcji (nazwa aukcji, dane aukcji) oraz przycisk „odbierz środki”. 

Kolejną odmianą strony phishingowej jest strona udająca okienko logowania do bankowości elektronicznej w banku ofiary.

Po naciśnięciu przycisku „odbierz środki” skrypt na stronie phishingowej dokonuje płatności przy użyciu karty płatniczej lub kredytowej ofiary. Jednocześnie ofierze wyświetla się komunikat informujący o problemie technicznym oraz prośba o podanie kodu sms w celu kontynuacji transakcji. Następnie z ofiarą kontaktuje się członek grupy przestępczej oraz prosi o podanie kodu sms w celu przekazania go do pomocy technicznej. Ofiara najczęściej przekazuje kod grupie przestępczej, umożliwiając w ten sposób finalizację transakcji oraz spisanie środków z karty płatniczej lub kredytowej. 

W przypadku drugiej odmiany strony phishingowej członek grupy przestępczej otrzymuje dostęp do loginu i hasła ofiary, ofierze zaś wyświetla się komunikat informujący o problemie technicznym oraz prośba o podanie kodu sms w celu kontynuacji transakcji. Następnie z ofiarą kontaktuje się członek grupy przestępczej oraz prosi o podanie kodu sms w celu przekazania go do pomocy technicznej. Ofiara najczęściej przekazuje kod grupie przestępczej, umożliwiając w ten sposób finalizację transakcji oraz dokonanie przelewu na rachunek bankowy.

Wypłata środków

Wypłata wyłudzonych środków następuje na kilka sposobów: 

  1. przelew na rachunek bankowy jednego z członków grupy przestępczej, a następnie wypłata w bankomacie za pomocą BLIK, 
  2. zakup przy użyciu karty płatniczej przedmiotów w internecie (np. na allegro), a następnie ich sprzedaż, 
  3. przekazanie środków przy użyciu bramki płatniczej na rachunki członków grupy przestępczej założonych w instytucjach płatniczych (np. revolut).

W przypadku sposobów opisanych w pkt. 1 i 2 do wypłaty środków są używane podstawione osoby za wschodniej granicy (np. Ukraińcy, Kazachowie, Białorusini etc.), najczęściej zupełnie nieświadome swojego udziału w przestępczym procederze. 

Osoby do wypłaty środków są werbowane przy użyciu komunikatora Telegram, który pozwala na założenie profilu nie powiązanego z numerem telefonu komórkowego, jak również na usuwanie całej historii czatu przez jednego z użytkowników. Członek grupy przestępczej, który dokonuje werbowania, zamieszcza ogłoszenie na rosyjskojęzycznych lokalnych forach, grupach internetowych lub czatach grupowych w Telegramie informujące o ofercie pracy. W przypadku, gdy ktoś się zgłasza na takie ogłoszenie, członek grupy przestępczej informuję o możliwości uzyskania dodatkowego dochodu w zamian za udostępnienie rachunku bankowego lub w zamian za odbiór przesyłki oraz jej dalsze przekazanie. Oferowane kwoty wynagrodzenia są różne, przeważnie są to kwoty rzędu 300 – 500 złotych. 

Jeżeli werbowana osoba się zgadza na warunki, wówczas udostępnia dane swojego rachunku, na które następnie przelewane są środki z rachunku bankowego ofiary. Po dokonaniu przelewu środki są wypłacane przez członków grupy przestępczej za pomocą aplikacji BLIK. Kolejną opcją jest odbiór przesyłki z allegro, jej sprzedaż oraz przekazanie środków ze sprzedaży członkom grupy przestępczej za potrąceniem „wynagrodzenia”.

Po przeprowadzeniu transakcji historia czatu w komunikatorze Telegram jest kasowana przez członków grupy przestępczej w celu minimalizacji ryzyka wykrycia osób wchodzących w skład grupy przestępczej. W mojej praktyce nie zdarzało się, aby organy ścigania występowały do dewelopera komunikatora Telegram w celu udostępnienia danych dotyczących profili założonych przez członków grupy przestępczej. 

Wypłaty za pomocą systemu BLIK również są bardzo bezpieczne dla członków grupy przestępczej, gdyż jedynym sposobem ich realnego namierzenia są kamery w bankomatach. W mojej praktyce również nie zdarzało się, aby organy ścigania występowały podmiotu zarządzającego bankomatami o udostępnienie wizerunku osób wypłacających środki. 

Odpowiedzialność karna

Odpowiedzialności karnej w praktyce podlegają jedynie osoby, które udostępniają swoje rachunki bankowe, dokonują wypłaty środków oraz pomagają w zbyciu towarów zakupionych za wyłudzone od ofiary środki.

Działania takich osób są kwalifikowane przede wszystkim na podstawie art. 286 § 1 Kodeksu karnego, czyli są kwalifikowane jako przestępstwo oszustwa. Przestępstwo oszustwa jest zagrożone karą pozbawienia wolności od 6 miesięcy do lat 8. 

Czasami organy ścigania kwalifikują działania sprawców również na podstawie art. 267 § 1 Kodeksu karnego, przewidującego odpowiedzialność karną za bezprawne uzyskanie informacji nieprzeznaczonej dla danej osoby. Przestępstwo jest zagrożone alternatywnie karą grzywny, karą ograniczenia wolności lub karą pozbawienia wolności do lat 2. 

W przypadku pomocy w zbyciu przedmiotów zakupionych w internecie za pomocą wyłudzonych środków kwalifikacja prawna czynów opiera się na art. 291 § 1 Kodeksu karnego (paserstwo umyślne) oraz art. 292 § 1 Kodeksu karnego (paserstwo nieumyślne). Zagrożenie karą w przypadku paserstwa umyślnego wynosi od 3 miesięcy do 5 lat pozbawienia wolności, a w przypadku paserstwa nieumyślnego – alternatywnie karą grzywny, karą ograniczenia wolności lub karą pozbawienia wolności do lat 2.

Praktyka pokazuje, że przeważnie sprawy karne z udziałem wyżej wymienionych osób kończą się dobrowolnym poddaniem się karze oraz orzeczeniem wobec tych osób kary pozbawienia wolności z warunkowym zawieszeniem jej wykonania. Dodatkowo wobec tych osób orzekany jest obowiązek naprawienia szkody.