Fałszywe sklepy internetowe wyrastają jak grzyby po deszczu. A te, które istnieją, działają miesiącami, dopóki sprawą nie zajmie się prokuratura. Podpowiadamy, jak nie stać się ofiarą oszustów.

1000 zł za zmywarkę w stacjonarnym sklepie? Zdzierstwo. W internecie na pewno taniej. Niech nie myślą, że trafili na głupka! Obejrzałem, widzę, że fajna, zamówię w sieci. Przecież każdy tak robi - ogląda w sklepie, a potem oszczędza. O, proszę, o tym mówię - 876 zł w internecie, nawet pięciu minut nie szukałem. Okazja! Kupuję od razu. Co, wysyłka kurierem gratis? I to jest firma! No właśnie, tylko co to za firma? W radiu żadnej piosenki nie mają, a zawsze te reklamowe hity wpadają mi w ucho, w galerii też ich nie widziałem. A, to pewnie dlatego tak tanio - nie płacą czynszu, gwiazdorów nie opłacają, więc nie zdzierają, bo nie muszą sobie odbić za reklamę. Logiczne. Jeszcze tylko zapłacić - jaka okazja, aż nie wierzę! - i naczynia zaraz będą lśnić. I znowu wygoda. Od razu numer konta podają. Nie trzeba na jakieś dodatkowe strony wchodzić, zastanawiać się, którą opcję wybrać, a bo ja pamiętam, jak logo mojego banku wygląda. Kopiuję rachunek, robię przelew i czekam na paczkę. Ciekawe, czy już pojutrze będzie zmywanie…

Podobna historia mogła zdarzyć się naprawdę. Jest nawet niemal pewne, że się zdarzyła - ktoś wpisał nazwę upatrzonej zmywarki, znalazł reklamę w sieci, wszedł na stronę sklepu, zachwycił się niską ceną. Zapłacił i… stracił pieniądze. Jak pisał niedawno serwis Zaufana Trzecia Strona, od czerwca działają w sieci fałszywe sklepy AGD. Nie da się z nimi nic zrobić, przynajmniej dopóki nie zbierze się znacząca liczba oszukanych. Nie ma miesiąca, by w internecie nie pojawiały się ostrzeżenia przed kolejnymi udawanymi sprzedawcami albo sklepami, które podszywają się pod istniejące marki.

O problemie najlepiej świadczy fakt, jak łatwo natknąć się na fikcyjny sklep. Po wpisaniu w wyszukiwarkę nazwy zmywarki, Google wyświetliło mi dziś reklamę sklepu, który sprzedaje ją tanio. To dokładnie ten sam sklep, przed którym ostrzega Zaufana Trzecia Strona. Reklama była sponsorowana. Oszustów zapewne stać na inwestycję, bo przekręty na fałszywy sklep to intratny biznes.

300 tys. zł w mniej niż miesiąc

Z informacji Prokuratury Okręgowej w Bydgoszczy, o których pisał serwis legalniewsieci.pl, wynika, że fałszywy sprzedawca, który działał zaledwie przez miesiąc, oszukał 148 osób. Łączna kwota wyłudzenia to 115.838,87 zł - tyle ofiary zdążyły wpłacić, wierząc, że opłacają zamówienie. Łączna kwota zamówień, które zostały złożone, ale nie zostały opłacone, wynosi 195.415,38 zł. Przez niecały miesiąc oszust mógłby zgarnąć ponad 300 tys. zł!

Już ponad połowa, bo aż 56 proc. wszystkich internautów, robi zakupy w sieci. A z badań firmy Gemius wynika, że co piąty internauta planuje w internecie wydawać więcej, odkąd sklepy w niedziele są zamknięte. Zagrożony jest niemal każdy. Przestępcy wiedzą, że łatwym celem są ci, którzy nie chcą wydać za dużo. Ich łapie się na niskie ceny, czasem aż do przesady. Serwis Niebezpiecznik, opisując jedną z fałszywych witryn, zwracał uwagę na to, że zegarek w podstawionym sklepie sprzedawano z aż 82 proc. obniżką - z 60 zł na niecałe 10 zł. Podejrzane? Już wiemy, że tak. Ale w dobie ciągłych wyprzedaży, czyszczenia magazynów i innych reklamowych chwytów kolejna duża promocja może aż tak nie dziwić.

Oszuści polują na bogatych

Z drugiej strony przestępcy wiedzą, że atrakcyjnym celem są ci z zasobniejszym portfelem - w końcu można na nich zarobić więcej.

- Pod koniec 2018 r. nasi badacze zaobserwowali, że cyberprzestępcy coraz aktywniej interesują się osobami, które kupują online towary ekskluzywnych marek o dobrze ugruntowanej pozycji, związanych głównie z modą, obuwiem, biżuterią, upominkami, zabawkami, elektroniką użytkową oraz rozrywką/grami - mówi w rozmowie z WP Tech Piotr Kupczyk z Kaspersky Lab Polska.

Żeby jednak przekręt się udał, ofiara musi wpaść w pułapkę. Przestępcy mają dwie metody. Potrafią podszyć się pod istniejący sklep, aby kupujący myślał, że znajduje się w serwisie, który zna.

Zielona kłódka nie gwarantuje bezpieczeństwa

- Przede wszystkim nie powinniśmy wchodzić na stronę sklepu klikając w link, który otrzymaliśmy np. w wiadomości e-mail, a zamiast tego samodzielnie wpisywać adres w przeglądarce lub korzystać z własnoręcznie przygotowanej zakładki. Adresy sfałszowanych sklepów często posiadają literówki w adresie - tak, by na pierwszy rzut oka wyglądał jak ten oryginalny. Nie należy się także kierować jedynie obecnością "zielonej kłódki" przy adresie URL sklepu oraz przedrostkiem HTTPS. Przestępcy coraz częściej wykorzystują skradzione certyfikaty i podpisują nimi swoje sfałszowane witryny. Dlatego zamiast jedynie patrzeć, czy kłódka i HTTPS są obecne, należy kliknąć tę kłódkę i sprawdzić, dla kogo został wydany certyfikat - tłumaczy Kupczyk.

Inna opcja to tworzenie zupełnie nowych sklepów. Teoretycznie to trudna metoda, bo ludzie są nieufni. Z badania przeprowadzonego przez Grupę AdRetail i Hiper-com Poland wynika, że 74 proc. ankietowanych sprawdza informację o sklepie internetowym przed zakupem. Ale tylko 18 proc. badanych szuka opinii wśród znajomych. Zdecydowana większość - 80 proc. - korzysta z recenzji w sieci. Przestępcy są na to przygotowani.

Bardzo często przestępcy tworzą nie tylko fikcyjny sklep, ale też fałszywą stronę z opiniami. Tak było w przypadku przekrętu z 2017 roku. Wpisując nazwę w sklepu w Google, mogliśmy natknąć się na podrobione strony, przypominające takie portale jak Opineo czy Wykop.pl. Sęk w tym, że choć wygląd był niemalże identyczny, to adresy były już inne - np. OPLNEO czy wykop-fora.pl. Na podrobionych portalach komentarze były w zdecydowanej większości pozytywne. Nie zabrakło jednak jednego negatywnego, by uwiarygodnić przekręt.

Bój się przelewu

Kiedy widzimy, że jedyną opcją płatności w sklepie internetowym jest przelew, już powinna zapalić nam się lampka ostrzegawcza. Najczęściej numer konta albo należy do "słupa", albo to rachunek rozliczeniowy kantoru kryptowalut. Właśnie dlatego policji trudno dotrzeć do przestępcy.

- Kiedyś za takie oszustwa brali się mało ogarnięci przestępcy. Zakładali stronę, naciągali i myśleli, że rozpłyną się w powietrzu. Znajdowaliśmy ich po pewnym czasie. Dziś? Konta bankowe założone są na na tzw. słupy - mówił serwisowi money.pl jeden z policjantów.

Dobrym przykładem jest oszustwo opisywane na początku artykułu. Chociaż wiele wskazuje na to, że oskarżony Tomasz P. - wyłudził przeszło 300 tys. zł - nie działał sam, to prokuratura nie była w stanie wskazać wspólników.

Produktu nie dostaniesz, wyczyszczą konto

Przestępcy zakładają fikcyjne sklepy nie tylko dlatego, aby zgarnąć sumę za fałszywy produkt. Po co okradać kogoś na 800 zł, skoro można wyczyścić całe jego konto?

- Najczęściej cyberprzestępcy zabiegają o zdobycie informacji o kartach płatniczych oraz danych logowania do usług online, które następnie można spieniężyć na czarnym rynku. W ubiegłym roku nasi badacze zidentyfikowali ponad trzy miliony zestawów danych uwierzytelniających dostęp do stron związanych z handlem elektronicznym, które zostały wystawione na sprzedaż w miejscach łatwo dostępnych z wyszukiwarki Google. Obserwowane wzrosty w zakresie nowych trojanów kradnących dane logowania i kart płatniczych pokazują, że ta forma cyberataków jest ciągle bardzo skuteczna i nie należy spodziewać się zmniejszenia intensywności działań cyberprzestępców na tym polu - wyjaśnia Piotr Kupczyk.

Wystarczy 10 tys. zł. "Inwestycja" zwraca się szybko

Do takich ataków przestępcy wykorzystują fałszywe strony udające serwisy płatnościowe, takie jak DotPay, PayU czy Przelewy24. Gotowy szablon wykorzystywany w oszustwach kosztuje 10 tys. zł. Wydaje się dużo, ale skoro można ukraść wszystkie oszczędności, gra jest warta świeczki.

Podstawiona witryna pozwala wybrać nasz bank i zalogować się na swoje konto. Serwis bankowy również przypomina prawdziwy, chociaż nazwa wciąż sugeruje stronę oszustów. Jeśli jednak ktoś tego nie zauważy i wpisze swoje dane do logowania, poda je przestępcom. Złodzieje od razu korzystają z takiej okazji i logują się na otrzymane przed chwilą dane. Będąc zalogowanym albo dodadzą swoje konto do zaufanych odbiorców i po cichu będą wykradać pieniądze niewielkimi garściami, albo zlecą przelew i od razu wyczyszczą konto. Potrzebują jeszcze tylko kodu SMS od prawdziwego właściciela konta. To jednak nie problem - ofiara myśli przecież, że potwierdza przelew za zakupy.

Jedyną szansą jest to, że ktoś dokładnie przeczyta SMS z banku i zauważy, że różni się suma albo nazwa operacji. Niestety, problem mogą mieć osoby, które nie zwracają uwagi na takie szczegóły. Na to właśnie liczą przestępcy.

Umiesz liczyć, licz na siebie - wydawać by się mogło, że to jedyna porada na tego typu internetowe oszustwa. Będąc ofiarą, trudno liczyć na zwrot środków, jeżeli policja nie znajdzie sprawcy. A to ciągnie się miesiącami. Na szczęście nie oznacza to jednak, że jesteśmy bezbronni. Jak pisał serwis Zaufana Trzecia Strona, gdy w miarę szybko zorientujemy się, że padliśmy ofiarą oszustwa, postarajmy się zatrzymać przelew. Należy zadzwonić do banku i zażądać anulowania transakcji. Przelew wypuszczony w piątkowy wieczór można zablokować niemal przez cały weekend. A jeśli płaci się kartą kredytową, wystarczy chargeback. Jeżeli jednak pieniądze stracimy, pozostaje zgłosić sprawę prosto do prokuratury.

Zbyt piękne, czyli nieprawdziwe

- Rada uniwersalna - patrzmy krytycznie na ofertę danego sklepu, ponieważ jeżeli coś jest zbyt piękne, by było prawdziwe, to najprawdopodobniej prawdziwe nie jest - podsumowuje Kupczyk.