Strona główna Bezpieczeństwo biznesu Uwaga na wakacyjne oszustwa

Uwaga na wakacyjne oszustwa

UDOSTĘPNIJ

Michał Czuma


Zbliża się czas urlopów, podczas których pracujący ciężko przez cały rok wreszcie oddadzą się błogiemu lenistwu. Wyjazdy na zasłużony wypoczynek otwierają też gorący sezon oszustom. Czyhają oni na nieostrożnych, działających w pośpiechu, łaknących odpoczynku bądź atrakcji turystów.

Brytyjskie organizacje ABTA – The Travel Association, Action Fraud i Get Safe Online – łączą siły, aby ostrzegać społeczeństwo przed niebezpieczeństwami związanymi z oszustwami wakacyjnymi, i udzielają licznych porad, jak uniknąć oszustw podczas podróży. Pomysł ten jest wart naśladowania przez polskie organizacje turystyczne.

W 2018 r. ponad 5 tys. osób zgłosiło Action Fraud stratę ponad 7 mln funtów w wyniku oszustw związanych z podróżami i urlopami. Liczba ta jest nieco większa niżw roku 2017, kiedy to 4382 osoby zgłosiły kradzież 6,7 mln funtów, co stanowiło średnią 1380 funtów na osobę. Rzeczywiste dane mogą być jeszcze wyższe, gdyż wiele osób pokrzywdzonych nie zgłasza tego policji.
Ponad połowa – 53 proc. – zgłoszonych przestępstw dotyczyła sprzedaży biletów lotniczych. Największa indywidualna strata, wynosząca ponad 425 tys. funtów, miała miejsce w sierpniu 2018 r. Kolejne najczęstsze oszustwo (25% poszkodowanych) dotyczyło sprzedaży zakwaterowania, a szczytowe straty odnotowano w październiku (wiele osób zgłasza straty dopiero po powrocie z wakacji). Warto podkreślić, że raporty były sporządzane konsekwentnie przez cały rok.

Otrzymujesz wiadomość e-mail zawierającą fantastyczną ofertę odpoczynku w wyjątkowym, zazwyczaj egzotycznym miejscu, która niebawem się kończy, nie możesz więc przegapić takiej okazji! Jeśli brzmi to zbyt pięknie, żeby mogło być prawdziwe, zwykle jest to tzw. oszustwo podróżnicze.

Problem polega na tym, że niektóre z tych ofert zawierają wymóg wniesienia zaliczki. Inni oszuści nie bawią się w zawoalowanie swoich działań, inkasują twoje pieniądze, nigdzie cię nie wysyłając. W takich przypadkach warto opanować emocje i dokładnie zapoznać się z ofertą podróży, jednocześnie zabawić się w detektywa i szukać ukrytych kosztów, takich jak podatki lotniskowe, inne opłaty za transfer między lotniskiem a hotelem lub marże hotelowe za pośrednictwo w ofercie atrakcji, bilety, za które trzeba dodatkowo zapłacić, by uzyskać dostęp do lokalnych atrakcji, sprawdzić, czy posiłki są wliczone w cenę itp. Powinna nam przyświecać myśl, że nie ma nic za darmo. Nie podpisujmy też umów, zanim ich ze zrozumiemy i spokojnie nie przeczytamy. Warto korzystać z ofert godnych zaufania i dobrze znanych biur podróży. Na szczęście nie są już oferowane przez naciągaczy propozycje przystąpienia do klubów globtroterów, by po wnoszeniu stałej opłaty móc korzystać z atrakcyjnych pobytów w klubowych pensjonatach. Policja na całym świecie wypowiedziała wojnę tego rodzaju oszustwom i miejmy nadzieję, że zwycięską.

Ostatnie badania przeprowadzone w Wielkiej Brytanii, która oprócz Niemiec jest jednym z największych krajów wakacyjnych turystów i globtroterów, ujawniły, że co roku Brytyjczycy tracą miliony funtów w wyniku oszustw związanych z urlopami. Tylko w 2018 r. oszuści ukradli ponad 7 mln funtów niczego niepodejrzewającym 5 tysiącom turystów i podróżnych. Ofiary skarżyły się również na emocjonalny dyskomfort z tym związany.
Raport opracowany przez Action Fraud, krajowe centrum sprawozdawcze ds. oszustw i cyberprzestępczości, zawiera szczegółowe informacje na temat najczęściej wybieranych obszarów podróży oraz metod stosowanych przez pozbawionych skrupułów przestępców w celu oszukania podróżnych.
W Polsce nikt nie prowadzi podobnych badań, ale sposoby oszustw dotykających krajowych turystów są takie same. Więcej oszustw dotyczy lokalnych ofert wynajmu pokoi czy domków w atrakcyjnych lokalizacjach. Dużej wagi nabiera więc wiedza dotycząca metod stosowanych przez oszustów i tego, w jaki sposób przed nimi się bronić.

  1. Zachowaj bezpieczeństwo online. Sprawdź, czy adres internetowy jest legalny, występuje na stronie autentycznego dostawcy usług turystycznych, jest reklamowany na stronach poświęconych turystyce i nie został zmieniony przez niewielkie zmiany w nazwie domeny (np. przejście z .pl na org.pl czy waw.pl). To pozwoli się ustrzec przed wieloma wpadkami.
  2. Zbadaj dokładnie stronę dostawcy usług i opinię o nim. Nie polegaj tylko na jednej recenzji – przeszukaj dokładnie zasoby sieci, aby sprawdzić wiarygodność firmy. Jest duża szansa, że konsumenci opublikują szczegóły swoich doświadczeń i znajdziesz ostrzeżenia o oszustach.
  3. Szukaj logo. Sprawdź, czy firma jest członkiem uznanej organizacji handlowej, czy jest gdzieś stowarzyszona i wpisana do rejestru organizatorów turystyki oraz przedsiębiorców ułatwiających nabywanie powiązanych usług turystycznych. Jeśli masz jakiekolwiek wątpliwości, spróbuj zweryfikować operatora w Centralnej Ewidencji Organizatorów Turystyki i Pośredników Turystycznych na stronie https://www.turystyka.gov.pl. Warto też sprawdzić opinie o firmie w sieci, zaglądając na giełdy wierzytelności, do KRD czy BIG.
  4. Zapłać bezpiecznie. Powinno się płacić kartą kredytową i uważać, aby nie wpłacać bezpośrednio na konto bankowe osoby prywatnej. Najbezpieczniej jest wpłacać na konta firmowe. Jeśli wynajmujesz mieszkanie lub dom od osoby prywatnej, musisz mieć pewność, że wpłacasz pieniądze tej osobie, która wynajmuje nieruchomość. W Polsce plagą są oszuści podszywający się pod działające pensjonaty i gospodarstwa agroturystyczne. Wpłata nawet małej zaliczki może być dla oszusta łakomym kąskiem. Dopóki nie upewnisz się, że rozmawiasz z właścicielem pensjonatu, dokonujesz płatności na własne ryzyko.
  5. Sprawdź dokumenty. Należy zapoznać się z pokwitowaniami, fakturami i warunkami umowy. Bądź ostrożny w odniesieniu do firm, które w ogóle ich nie proponują. W przypadku rezerwacji poprzez pośredników przed podpisaniem umowy powinien ją sprawdzić prawnik.
  6. Wykorzystaj swój instynkt. Jeśli coś brzmi zbyt dobrze, prawdopodobnie nie jest prawdziwe.
  7. Zgłoś to. Jeśli trafisz na oszustów i nie dasz się oszukać, zgłoś sprawę policji. Ostrzegaj innych.
  8. Poradź się znajomych. Może ktoś już był tam, gdzie zamierzasz jechać, a może ma tam znajomych, którzy mogą sprawdzić, czy oferta jest prawdziwa. W tym przypadku media społecznościowe są kopalnią wiadomości.

Osoba okradziona nie tylko ponosi koszty finansowe, ale także odnosi poważne straty emocjonalne. Często dowiaduje się tuż przed podróżą lub nawet w jej trakcie, że została oszukana, a wtedy uzyskanie rezerwacji zastępczej może być trudne i kosztowne. Przed zarezerwowaniem wakacyjnej oferty warto poświęcić trochę czasu, aby poznać wskazówki dotyczące zagrożeń. Dzięki nim istnieje duża szansa na uniknięcie potencjalnych ataków cyberprzestępców czy innych oszustów. Na co należy zwracać uwagę?

Oszustwa związane z zakwaterowaniem
Oszuści stosują coraz bardziej wyrafinowane metody, prowadzą profesjonalne i przekonujące strony internetowe oferujące ekskluzywne wille czy domy do wynajęcia. Niektóre z nich są fikcyjne, wiele z nich rzeczywiście istnieje, ale są oferowane przez oszustów bez wiedzy prawowitego właściciela. Hiszpania i Francja są najczęściej wybieranymi miejscami docelowymi – tam też nasilenie fałszywych ofert jest największe. W Polsce plagą są oferty udostępniane na stronach tzw. darmowych hostingów. Niestety wielu właścicieli nieruchomości umieszcza swoje strony na takich serwerach. Oszuści w prosty sposób kopiują ich strony, podmieniają dane dotyczące konta i danych kontaktowych i spokojnie czekają na „łup”. Najczęściej oszukańcze oferty znajdują się w wyjątkowo atrakcyjnych lokalizacjach (latem nad morzem czy jeziorem, zimą w górach), w zurbanizowanych lokalizacjach, dzięki czemu powierzchowne sprawdzenie może nie przynieść oczekiwanych efektów.

Oszustwa lotnicze
Jeśli lubisz podróżować, możesz paść ofiarą przekrętów ze strony pseudopośredników lotniczych, np. szukając darmowych biletów lotniczych. Czy to brzmi alarmistycznie? Tak, i niestety to prawda, co widać po liczbie fałszywych ofert na Facebooku, WhatsAppie czy trafiających na nasz numer telefonu (np. z „biura turystycznego”, które dziwnym trafem posiada nasze dane). Cyberprzestępcy poszukują przeróżnych sposobów kradzieży danych, ponieważ w ten sposób mogą ukraść także pieniądze (i resztę naszych danych). A trzeba pamiętać, że wykazują się kreatywnością w tym zakresie. W świecie cyberprzestępców darmowe bilety lotnicze mają znaczący udział w liczbie przestępstw. Tutaj powinna się nam zapalić czerwona lampka, gdyż NIE MA DARMOWYCH BILETÓW LOTNICZYCH! Jeśli nie podróżujesz często w celach służbowych i nie otrzymujesz mil premiowych, to oferowanie darmowych biletów lotniczych oznacza, że jesteś świadkiem najnowszych oszustw lotniczych. Cyberprzestępcy obiecują to na każdym kroku, w każdej aplikacji w mediach społecznościowych, a nawet dzwoniąc do ciebie. Pomagają im w tym wasi przyjaciele. Bezpłatne bilety lotnicze dowolnej firmy, na dowolnej platformie są oszustwem.

Ogólnie rzecz biorąc, jest to oparte na przekonaniu, iż linie lotnicze obchodzą rocznicę, lokalne święto i np. dla reklamy rozdają bilety. Nakłaniają do wypełnienia licznych ankiet, a następnie podzielenia się nimi z przyjaciółmi. Twoją „nagrodą” są albo darmowe bilety lotnicze, albo nagrody w postaci znacznych rabatów. A jak wyglądają realia? W najbardziej szczęśliwym scenariuszu fałszywe darmowe bilety lotnicze trafiły po to, by dokonać innego oszustwa, zwykle jednak bywa znacznie gorzej. Cyberprzestępcy uzyskują dostęp do cennych danych: twojego nazwiska, adresu, ulubionych zajęć, a może nawet hasła. Jeśli jak typowy użytkownik Internetu masz to samo hasło na wielu kontach (czego nie wolno robić!), stałeś się teraz podatny na inżynierię społeczną. Narażasz również inne swoje konta online na duże ryzyko. Do twoich znajomych mogą być z nich wysłane e-maile – od delikatnej prośby o pożyczkę czy przesłanie kodu blik, po przekierowanie twoich znajomych na fałszywe strony bankowe czy inne utworzone tylko po to, by okradać innych.

Oferowanie darmowych biletów lotniczych (i inne oszustwa opierające się na prezentach) wchodzą w zakres pojęcia likejacking. Cyberprzestępca, oszust dostaje zapłatę od innych cyberprzestępców za sprzedaż wypełnionej ankiety. Ci uzyskują dostęp do twoich danych i listy znajomych na Facebooku. Stamtąd mogą wykonywać wiele szkodliwych czynności, np. rozpowszechniać złośliwe oprogramowanie czy dokonywać wyłudzeń.

Jak uniknąć oszustw związanych z darmowymi biletami lotniczymi? Jeśli takie firmy, jak American Airlines, Rayanair, British Air, Wizz Air lub Qantas Airline (jej nazwa to Qantas Airways, trzeba więc zwracać uwagę i na takie drobne szczegóły!) są w mediach społecznościowych i proszą o polubienie, podzielenie się, przekierowanie lub subskrypcję – jest to oszustwo lotnicze. Przyjrzyj się też bliżej nazwie strony, na którą cię kierują. Zwróć też uwagę na znak kontrolny w nazwie strony na Facebooku. Jeśli nie ma on niebieskiego znaku legalności (profile uwierzytelniające FB i Twittera), nie jest to oficjalna strona legalnej linii lotniczej. Oszustwo z biletami lotniczymi nosi nazwę twitter free, gdyż są oznakowane z użyciem tego terminu.
Jeśli ktoś oferuje możliwość wygrania darmowych biletów lotniczych, ale w zamian musisz wypełnić ankietę, wiedz, że jest to oszustwo, a także phishing, czyli sposób, w jaki cyberprzestępcy mogą zdobyć twoje dane, by je sprzedać lub użyć do rozpowszechniania złośliwego oprogramowania. Jednym z najczęstszych oszustw jest ankieta promująca Ryanair anniversary free tickets. Z okazji rocznicy Ryanair ma obiecywać dwa bilety, jeśli wypełni się ankietę – ale nie ma jej ani na Facebooku, ani na oficjalnych stronach internetowych tego przewoźnika. Znajduje się na stronie internetowej wypełnionej po brzegi zagrożeniami cybernetycznymi. Jeśli oferta trafia na WhatsApp i obiecuje darmowe bilety lotnicze Emirates Airlines, zdecydowanie jest to oszustwo.

Nigdy nie wypełniaj ankiet dotyczących promocji, chyba że ufasz w 100 proc. źródłu – ma bezpieczny adres URL zaczynający się od https://, rozpoznajesz domenę itd.
Oto jak to działa na WhatsAppie. Jeśli wypełnisz ankietę, (oszuści) poproszą cię o rozprzestrzenienie (oszustwa) poprzez rozreklamowanie ich oferty i przekazanie jej 10 innym osobom w celu odblokowania „darmowych” biletów. Po udostępnieniu ankiety skrypt przekierowuje na nową stronę, która prosi o zapisanie się i podanie numeru telefonu, dzięki czemu SMS-em otrzymasz inny „miły” prezent na podany numer. Ten numer jest faktycznie numerem premium. I rzeczywiście pojawi się on na twoim rachunku telefonicznym pod koniec miesiąca, powodując palpitacje serca! Na pewno stracisz dane osobowe i pieniądze.

Bezczelność oszustów polega na tym, że po wszystkim zostaniesz przekierowany na inną stronę, która poinformuje cię, że „nic nie wygrałeś”. Wtedy dopiero zrozumiesz, że złapałeś się na typowy socjotechniczny numer – nie zagwarantowano ci się wygranej, lecz MOŻLIWOŚĆ wygrania. Zapłaciłeś więc za „możliwość”, w zamian nie dostałeś nic. Pociesz się, że nikt inny też nie wygrywa. Wygranymi są tylko cyberprzestępcy, którzy uzyskali dostęp do twoich danych poprzez phishing, wystawili ciebie i twoich przyjaciół na działanie złośliwego oprogramowania, a nawet zapisali na usługę, która winduje rachunek telefoniczny pod koniec miesiąca.

Kierując się powyższymi wskazówkami, powinieneś być bezpieczny, ale nie do końca. Jeszcze nie. Każdego dnia bowiem pojawia się coraz więcej stron internetowych oferujących obniżone stawki lub premie, np. darmowy dodatkowy nadbagaż, jeśli kupisz właśnie na tej stronie bilety lotnicze. Linie lotnicze ostrzegają, że liczba pasażerów z fałszywymi biletami sukcesywnie rośnie. Oszukani klienci wannabe często potrafią utknąć na lotnisku, by kupić legalny bilet, a na ten dodatkowy wydatek nie mają już pieniędzy. To najświeższy oszukańczy numer, który może stać się przebojem obecnego lata. Kilka tygodni temu na lotnisku w Katowicach pojawiły się dwadzieścia dwie osoby, które planowały wylot na Teneryfę. Jak udało się nieoficjalnie ustalić dziennikarzom „Dziennika Zachodniego”, poszkodowani pasażerowie prawdopodobnie padli ofiarą oszusta, który w Krakowie miał im sprzedać fałszywe bilety w jednym z biur podróży. Mieli lecieć na Wyspy Kanaryjskie liniami Wizz Air. Na lotnisku okazało się, że ich nazwisk nie było na liście podróżnych.

Jak to było możliwe? Wykorzystano prosty scenariusz, gdy zakupu biletów lotniczych dokonuje się na stronach ogłoszeń drobnych (za granicą dotyczy to np. serwisu Craigslist lub mniejszych, w Polsce serwisów z ogłoszeniami drobnymi) lub mniej znanych stronach rezerwacyjnych. Atrakcyjność rabatu jest kusząca, ale przed sięgnięciem po kartę kredytową wykonaj kilka czynności:
Skorzystaj z renomowanej strony rezerwacyjnej lub, jeśli musisz użyć innej, upewnij się, że przeczytałeś jej recenzje online! Warto też sprawdzić, ile kosztowałby taki bilet kupiony w renomowanym biurze. To ważna informacja, gdyż pozwala ocenić, czy oferta okazyjna nie jest zbyt „okazyjna”. A to pomaga szybko ocenić przekręt.

Po zakupie biletu musisz uważać, na jakie linki klikasz, gdy otrzymujesz potwierdzenie transakcji lub dalsze oferty.
Uważaj na oferty sprzedaży biletów bezpośrednio w biurach. Szczególnie ostrożnie należy postępować z nadzwyczajnymi okazjami – gdy ktoś oferuje bilety do danego portu lotniczego i jeszcze jest w stanie zmienić rezerwację, ale nie może przekazać biletu. Delta Airlines i wielu innych przewoźników już ostrzegło o tym procederze swoich klientów.

Nie należy wierzyć we wszystkie otrzymane wiadomości e-mail. Moją skrzynkę zasypało niedawno kilkanaście potwierdzeń rezerwacji biletu z prośbą o ich potwierdzenie i kliknięcie odpowiedniego linku. Nie kupowałem żadnego biletu, mało tego – nie mam żadnej karty kredytowej! A jednak dostałem potwierdzenia, że kupiłem bilety na linie katarskie. Jeśli nie kupiłeś biletu, a otrzymałeś e-mail potwierdzający taki zakup, dokładnie zbadaj jego źródło. Następnie przejdź do oficjalnej strony internetowej danej linii (jeśli masz tam konto), nie klikając na link, ale zapisując go w nowej zakładce przeglądarki. Zmień hasło, aby upewnić się, że twoje konto jest bezpieczne. Jeśli nie kupowałeś niczego, nie masz potwierdzenia, że ktoś dokonywał zakupu na twoje konto, usuń taki e-mail. Zawarty w nim link przekierowałby cię na stronę cyberprzestępców, by „wstrzyknąć” wrogie oprogramowanie w celu kradzieży lub zaszyfrowania dysku z żądaniem okupu za jego odszyfrowanie. Albo będzie to coś innego, równie groźnego. Większość linków zawartych w wiadomościach e-mail będzie wysyłała cię na strony internetowe zawierające złośliwe oprogramowanie. Hakerzy, złodzieje i cyberprzestępcy szukają sposobów kradzieży danych, od informacji e-mail począwszy, na informacjach o aplikacji, danych VPN lub bankowych skończywszy.

Warto też wiedzieć, że zazwyczaj fałszywe wiadomości e-mail wysyłane rzekomo przez linie lotnicze mają błędy ortograficzne lub interpunkcyjne, błędy ortograficzne w adresie URL (deltaa zamiast delta) lub gorszej jakości grafiki. Gdy masz wątpliwości, nigdy nie klikaj linków lub załączników. Przejdź bezpośrednio do legalnej strony internetowej (jeśli masz tam konto) i sprawdź bezpieczeństwo na swoim koncie. W innych przypadkach kasuj i nie przejmuj się – i tak nigdzie nie polecisz!

Choć czujesz się już bezpieczniej, to nadal bądź ostrożny! W taktyce cyberprzestępców technologia to tylko połowa historii. Drugą jest inżynieria społeczna. W przypadku oszustw z liniami lotniczymi cyberprzestępcy celują w najłatwiejszą ofiarę – oszczędnych w zakupach biletów lotniczych i klientów często korzystających poprzez zdalne kanały w zakupie i realizacji usług. Ale jej ofiarą mogą paść wszyscy, nawet świadomi klienci. Jedną z ważniejszych konsekwencji inżynierii społecznej jest uprzedzenie informacyjne. Łatwo jest dać się złapać na skomplikowanie szczegółów, które zapamiętujemy w celu wzmocnienia poczucia bezpieczeństwa w sieci. Łatwiej jest również zapomnieć o komponencie offline, zwłaszcza w przypadku regularnej staromodnej rozmowy przez telefon.

Vishing, odpowiednik phishingu online
Technika zwana vishing to offline’owy odpowiednik phishingu. Podczas tego atakucyberprzestępcy, mając już twoje imię i nazwisko, adres, numer telefonu i inne szczegóły, starają się skłonić cię do przekazania im swoich pieniędzy. Korzystając z tych informacji, mogą przekonać cię do kolejnych zakupów, dzwoniąc i podszywając się pod przedstawiciela np. linii lotniczych, banku czy sklepu.

Nie dokonuj żadnych transakcji bankowych, jeśli ktoś złoży ci taką propozycję przez telefon! Przyjmij to jako zasadę. Nie kupuję niczego, nie podaję danych transakcyjnych, jeśli ktoś do mnie dzwoni. Linie lotnicze rzadko, jeśli w ogóle, dzwonią z informacją lub proszą o dalszą płatność przez telefon. Gdyby jednak tak się stało, nalegaj na wymianę wiadomości e-mail w celu ustalenia historii rozmów i płatności. W ten sposób możesz się upewnić, czy komunikujesz się oficjalnie z linią lotniczą. W przypadku gdy ten kanał okaże się również niepewny, masz przynajmniej odpowiednią dokumentację, aby chronić swoje fundusze lub zażądać zwrotu opłaty.

Jak możesz uniknąć oszustw lotniczych? Cyberprzestępcy są sprytni i potrafią zaskoczyć. Są jednak narzędzia, które pozwalają chronić się przed oszustwami lotniczymi.

Zapamiętaj:

  • Nie wierz w loterie, darmowe bilety lotnicze i inne promocje rozpowszechniane w mediach społecznościowych.
  • Dowiedz się, jak weryfikować linki.
  • Zgłoś e-mail przesłany ci przez biuro czy linię lotniczą, a budzi wątpliwości. Zgłaszanie wiadomości e-mail jako phishingu lub oszustwa przynosi pozytywne efekty, szczególnie na platformach Gmail lub Outlook Web.
  • Sprawdź, jak można zapobiec phishingowi, korzystając z licznych podręczników i rad zawartych w sieci. Dowiedz się, jak rozpoznać spoofing (techniki używane przez cyberprzestępców, aby ukryć swoje faktyczne zamiary). Wykorzystaj tę wiedzę, gdy masz obawy, że ktoś zamierza cię oszukać.
  • Pomóż rodzinie i przyjaciołom w unikaniu oszusta. Ostrzegaj ich, gdy jesteś celem oszustwa. Nie wszyscy są świadomi środków bezpieczeństwa cybernetycznego. Dzieląc się informacjami, możesz mieć pewność, że inni nie padną ofiarą cyberprzestępców.

 
Lektura odpowiednich tekstów dotyczących zagrożeń i sposobów unikania ich przyczyni się do spędzania wakacji w miłej atmosferze, bez obaw o ewentualne wakacyjne oszustwa.

Michał Czuma
Niezależny ekspert, prowadzący obecnie własną działalność doradczą. Stworzył i zarządzał pierwszymi w kraju Biurami Antyfraudowymi w spółkach grupy PKO Banku Polskiego. Były wieloletni z-ca dyrektora Departamentu Bezpieczeństwa PKO Banku Polskiego.