Próby kradzieży pieniędzy sposobem, jak ja to nazywam "na znajomego z Facebooka", znane są w Polsce już od co najmniej kilku lat. Jeden z takich przypadków opisywałem tutaj. O innym pisała parę dni temu Gazeta Wyborcza. Jednak sytuacja, o której chce Wam donieść dzisiaj, to przykład ewolucji tego oszustwa. Metoda jest bardziej wyrafinowana niż proste zhakowanie czyjegoś konta na portalu społecznościowym i prośba rozsyłana do jego znajomych o pożyczkę. Bardziej wyrafinowana a więc ofierze trudniej zorientować się, że coś tu jest nie tak, a jak już wpadnie w sidła złodzieja, może stracić wszystkie pieniądze na koncie, które w mgnieniu oka przepadną bez wieści. Ale po kolei.

Sprawę opisał szczegółowo serwis Zaufana Trzecia Strona. Scenariusz ataku początkowo przypomina wspomniane przeze mnie historie. A więc ni stąd ni zowąd odzywa się do Was dawno niesłyszany znajomy. Odzywa się oczywiście nie w słuchawce telefonu tylko poprzez komunikator Messenger. Czego chce? Trzech, czterech, dziesięciu złotych pożyczki "do pierwszego", bo akurat natrafił w internecie na superokazję i brakuje mu tych pieniędzy, by sfinalizować zakup. Jeżeli tego nie zrobi dziś – okazja przepadnie.

Przeczytajcie także: Prawie im się udało ukraść z konta 1,5 mln zł

Od teraz podobieństwa ze znanymi od dawna atakami się kończą. Jak się domyślacie, w opisywanym scenariuszu to nie Wasz znajomy jest autorem prośby o pożyczkę, tylko osoba, która przejęła kontrolę nad jego profilem na Facebooku. Oszust przesyła Wam następnie link do strony, przez którą należy wykonać płatność typu pay by link. Fakt, że kwota pożyczki jest niewielka oraz że ma się odbyć bezpośrednio na konto sprzedawcy produktu, o jaki zabiega znajomy z Facebooka, dodaje sytuacji wiarygodności i powoduje, że nabrać się na złodziejski chwyt jest łatwiej.

Niestety, klikając w link podesłany przez Messengera nie znajdziecie się na prawdziwej stronie integratora płatności, tylko na spreparowanej przez złodzieja fałszywce. Logując się przez nią do banku faktycznie podajecie swoje dane oszustowi, który w tym momencie wchodzi na Wasz prawdziwy rachunek i definiuje nowego odbiorcę zaufanego. W SMS-ie, który otrzymujecie z banku, znajduje się więc hasło autoryzujące nie przelew na umowne 5 zł, tylko zaufanie nowego odbiorcy. Jeśli podacie to hasło na fałszywej stronie kontrolowanej przez przestępców, ci dodadzą swój rachunek do Waszych stałych odbiorców. Będą więc mogli wykonać dowolną liczbę transakcji z konta całkowicie bez Waszej wiedzy. Pieniądze wyprowadzane są następnie np. do giełd bitcoinowych.

Przeczytajcie także: Padł rekord w zastrzeganiu dowodów osobistych

Jak nie dać się oszukać? Choć obrona przed takim atakiem jest dość łatwa, to mam wrażenie, że nie jeden z użytkowników Facebooka może dać się nabrać. Przypominam więc: zanim wyślecie znajomemu z portalu społecznościowego pieniądze, zadzwońcie do niego z pytaniem, czy to na pewno on prosi o pożyczkę. W ubiegłym roku w ten sposób ustrzegłem paru znajomych swojego kolegi z byłej pracy przed utratą poważnych kwot. Kolega nie wiedział, że jego konto na Facebooku zostało zhakowane i że rozsyła spam, który trafił m.in. do mnie.

I druga rada, jeszcze ważniejsza niż pierwsza. Zanim wpiszecie w internecie hasło autoryzacyjne z SMS-a, sprawdzajcie dokładnie jaką transakcję właśnie potwierdzacie, czy na pewno jest to przelew a nie np. zdefiniowanie nowego odbiorcy zaufanego. A jeżeli już przekonacie się, że autoryzujecie to co chcecie, czyli np. przelew, sprawdźcie czy kwota w SMS-ie jest tą, którą chcecie wysłać, a numer rachunku odbiorcy jest prawidłowy. Przestrzeganie tych zasad powinno Was ochronić przed większością ataków na internetowe konta bankowe.