Nota redakcyjna: Sergey Dolya, autor tego tekstu, jest jednym z najbardziej popularnych rosyjskich blogerów. Historia, którą poniżej opisał, przydarzyła się ostatnio jednej z jego znajomych. Ofiarą była Katja Turtseva, wysokiej rangi pracownik międzynarodowej firmy działającej w branży IT. Wspominamy o tym, aby wyjaśnić, że akurat w tym konkretnym przypadku ofiara posiadała większą wiedzę i świadomość na temat zabezpieczeń.
Ostatnio mojej dobrej znajomej zhakowano konto na Skypie. Oszuści postanowili skorzystać z okazji i podstępną sztuczką wyciągali pieniądze od ludzi znajdujących się na jej liście kontaktów. W ciągu zaledwie jednej godziny zebrali ponad 100 tysięcy rubli (około 1 500 dolarów).
Ku wielkiej uciesze złodziei, lista była bogata: znajdowało się na niej około 300 osób. Oszuści postanowili, że będą się zwracać do nich z prośbą o pożyczkę niewielkiej sumy pieniędzy, około 15 000 rubli (250 dolarów) „do jutra”. W istocie jest to maksymalna kwota, którą można błyskawicznie przesłać za pomocą Yandex Money (popularny rosyjski system płatności).
Plan był dość prosty: Katja chciała kupić coś w internecie, jednak chwilowo nie miała pieniędzy na swoim koncie w Yandex Money. Przyjęcie takiego scenariusza pozwoliło uwiarygodnić sytuację i sprawić, aby ludzie uwierzyli, że faktycznie rozmawiają z ofiarą. Niektórzy rozmówcy postanowili przelać pieniądze bez kontaktowania się telefonicznie ze swoją znajomą, a inni przelali pieniądze nawet dwa razy.
Poniżej prezentuję Wam jeden z dialogów pomiędzy oszustami (O) a znajomym ofiary (Z):
O: Słuchaj, przejdę od razu do rzeczy. Potrzebuję Twojej pomocy.
Z: Co się stało? Pisz. I prześlij mi zdjęcie.
O: Chciałabym pożyczyć pieniądze do jutra.
Z: Ile konkretnie? Mogę Ci je przesłać, jeżeli mam wystarczającą sumę na koncie.
O: 15 tysięcy (rubli).
Z: Nie ma problemu. Gdzie mam je wysłać?
O: Dziękuję.
Z: Jak mam je przelać?
O: Muszę zapłacić kartą kredytową, ale niestety moje konto jest puste. Czy mógłbyś zapłacić za mnie?
Z: Jasne.
O: http.yandex … (link do strony płatności).
Z: Potrzebuję numer konta odbiorcy.
O: Hej! Gdzie jesteś?
Z: Zmieniałam pieluszkę
O: Acha. Tutaj masz: (numer konta oszusta)
Z: Wyślę Ci potwierdzenie, muszę położyć Vanyę. Strasznie płacze.
O: OK, jakby co, to jestem online.
Z: OK
O: Och, Lena, wiesz co – przemyślałam to. Czy masz może jeszcze dodatkowe 15 tysięcy? Jeżeli nie, to się nie przejmuj. I tak mi dużo już pomogłaś! Ale jakbyś miała tyle, to bym Ci jutro odesłała całą kwotę 30 tysięcy + rekompensatę za fatygę.
Gdy sprawa wyszła na jaw, trudno było cokolwiek zrobić, aby rozwiązać ten problem.
Omówienie problemu z pomocą techniczną Skype’a zajęło kilka dni: pracownicy potrzebowali ponad 24 godziny, aby zrozumieć, co się stało. Kiedy w końcu zorientowali się, że konto Katji faktycznie zostało zhakowane, wysłali jej link do formularza zmiany hasła, całkowicie ignorując tę część wiadomości, w której Katja tłumaczyła, że oszuści zdążyli już zmienić adres e-mail do kontaktu.
Następnie pomoc techniczna poprosiła, aby Katja wypełniła formularz weryfikacyjny … dwa razy. Mijał już 3. dzień, od kiedy oszuści przejęli jej konto i rozsyłali podobne prośby (jak opisana powyżej) do kontaktów z jej listy. Pomoc techniczna odmówiła zablokowania konta Katji, dopóki „nie wyjaśnią sytuacji w każdym calu”.
Ostatecznie Katja poprawnie odpowiedziała na wszystkie pytania w formularzu z wyjątkiem jednego: kiedy założyła konto na Skypie. Pomoc techniczna zadecydowała, że cała sytuacja jest zbyt skomplikowana i zalecili jej stworzenie nowego konta! W tym czasie oszuści zdążyli już wyłudzić około 5 000 dolarów.
Tymczasem jedna ze znajomych Katji próbowała otrzymać zwrot pieniędzy. W tym celu zablokowała swoją kartę i zwróciła się do banku z żądaniem anulowania płatności. Jej prośba została formalnie zaakceptowana. Bank potwierdził, że znajoma nigdy wcześniej nie miała historii z tym sklepem i zasugerował, aby złożyła doniesienie na miejscowym posterunku. Dodatkowo poprosił o kopię doniesienia, aby mógł wszcząć swoją procedurę śledczą.
Policja skierowała ją z powrotem do banku, ponieważ wśród całej sterty rożnych dokumentów znajdowało się również potwierdzenie rozpoczęcia procedury śledczej. Na tym etapie należało zrobić wiele kroków wprzód i w tył, bowiem lokalna policja nie miała doświadczenia w podobnych sytuacjach i wiele decyzji było podejmowanych ad hoc. Ostatecznie znajoma Katji została poinformowana, że powinna przesłać swoje zgłoszenie do komendy głównej policji w Moskwie.
Znajoma Katji zadzwoniła do swojego banku po raz kolejny. Jej karta oraz przelewy zostały zablokowane, jednak cała sprawa jest aktualna do czasu, gdy sklep upomni się o wypłatę. Po wszczęciu dochodzenia bank znajomej zażąda zwrotu pieniędzy z banku sklepu. Wizja pozytywnego zakończenia tego problemu wydaje się odległa niczym marzenie senne.
W międzyczasie inni użytkownicy próbowali pisać bezpośrednio do oszustów. Złodzieje nie wierzyli, że policja zrobi cokolwiek istotnego w ich sprawie. Oczywiście byli w pełni świadomi tego, jak funkcjonuje rosyjski system prawny w połączeniu z polityką bezpieczeństwa Skype’a:
- ***, ludzie, udzielcie nam wywiadu chociaż na czacie.
- ***, od**** się, nie zawracaj mi d****.
- Tak się zastanawiamy … Katja powiedziała, że zebraliście już 10 0000 rubli.
- Podobno poszła na policję. I niech ją tam Bóg błogosławi …. Ja jestem błogosławiony moją anonimowością.
- Przecież przez czat nie odkryję, kim jesteś.
- Przeszkadzasz mi.
Wygląda na to, że jedyną rzeczą, którą w tym przypadku można zrobić, jest po prostu zadbanie o solidne zabezpieczenia konta. Poniżej przedstawiam kilka wskazówek:
- Najlepszą i najbardziej oczywistą metodą, która jest zarazem najbardziej ignorowania, jest konfiguracja niezawodnego hasła! Wszyscy o tym wiedzą, ale lekkomyślność jest nadal w modzie.
- Nie używaj tego samego hasła do różnych kont. Gdy jedna z Twoich internetowych usług zostanie zhakowana, to prawdopodobnie stracisz dostęp do całej reszty.
- Aby lepiej chronić swoje konta, używaj dwuetapowego uwierzytelniania. Wtedy będziesz otrzymywał dodatkowe hasło za pomocą SMS-a lub e-maila, które będzie spełniało rolę drugiego członu hasła.
- Nigdy nie klikaj podejrzanych linków: istnieje wiele stron internetowych, które kradną dane. To się nazywa phishing. Ponadto nie odpowiadaj na wiadomości od nieznanych kontaktów.