Posljednjih dana prevaranti vole hvatati žrtve lažnom prodajom zvučnika (arhivirano ovdje i ovdje) po 2 eura. Radi se o klasičnim prevarama koje imaju za cilj prikupljanje osobnih podataka i podataka o kreditnim karticama korisnika. Faktograf je o takvim prevarama pisao u više navrata, a također smo već pisali i o navodnoj rasprodaji Marshallovih zvučnika u Elipsu i Sancta Domenici.
Nakon lažnog predstavljanja u ime brenda odnosno trgovina Elipso, prevaranti su se poslužili logom i imenima drugih poznatih brendova koji se bave prodajom bijele tehnike, kućanskih aparata, zvučnika i elektroničke opreme.
Imena poznatih trgovina koje prodaju elektroničku opremu koriste se za prevaru
Tako se, primjerice, može pronaći oglas na Facebook stranici Chipoteka Hrvatska, koja nije službena stranica Chipoteke (službena stranica je na ovom linku) u kojem se Marshall zvučnici “povodom 60. rođendana brenda” prodaju uz popust od 99 posto. Od korisnika se traži da ispune anketu, pronađu “kutiju” u kojoj je zvučnik u igri koja podsjeća na Memory te na kraju ispune obrazac s osobnim podacima i podacima o kreditnim karticama.
Gotovo identičnu “rasprodaju” navodno je objavila i Facebook stranica MALL.Hr, a i u ovom slučaju ne radi se o službenoj stranici brenda (službena Facebook stranica ovdje). I ovdje se nudi Marshall zvučnik s 99 posto popusta, a procedura za “kupovinu” tako povoljnog zvučnika ista je kao i na primjeru Chipoteke.
U slučaju Mall.hr-a (isti postupak je i na lažnoj stranici Chipoteke), klik na link u objavi odvodi na sumnjivu stranicu na domeni milliondollarengineer.com na kojoj se od korisnika traži da ispune anketu.
Nakon ispunjavanja ankete otvara se prozor s Marshall kutijama i na tom koraku treba pronaći “kutiju” koja sadrži zvučnik, a potom se od korisnika traži da ispuni obrazac s osobnim podacima.
Prevaranti kod ovakvih prevara pokušavaju što više imitirati službene Facebook stranice brendova, ali jednostavnom provjerom moguće je utvrditi da se ne radi o službenim stranicama brendova. Najčešće stranice sadrže svega nekoliko objava koje su odreda objavljene nekoliko dana prije objave o navodnim rasprodajama, a stranice u svom URL-u nemaju ime brenda već neka nepovezana strana imena što je također jasan znak da se ne radi o službenim stranicama.
Također, u dijelu koji se zove “Transparentnost stranice” (eng. Page Transparency) može se pronaći kad je stranica kreirana te su u većini slučajeva takve stranice kreirane tek mjesec ili dva prije nego što se pojavila obavijest o rasprodaji ili nagradnoj igri. Broj pratitelja stranice također je dobar indikator da se radi o prevari. Službene stranice brendova koji dugo postoje na tržištu obično imaju po više desetaka tisuća pratitelja, a lažne stranice znatno manje.
Kako prepoznati phishing prevare?
Kod ovakvih prevara radi se o takozvanom phisingu odnosno mrežnoj krađi podataka. Kako se navodi na stranicama CARNeta, phishing (varijanta engleske riječi za pecanje, fishing) je vrsta socijalnog inženjeringa koja se odnosi na prijevare, kojima se služe zlonamjerni korisnici šaljući lažne poruke koristeći pritom postojeće internet servise. Riječ je o kriminalnoj aktivnosti. Koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju prikupiti povjerljive podatke (korisnička imena, lozinke, podaci s kreditnih kartica i sl.). Kako ističu, društvene mreže posebno su opasne jer podaci prikupljeni sa njih mogu poslužiti za krađu identiteta, ali i zbog činjenice da poruke dobivene od prijatelja, kojima su kompromitirani (oteti) računi, imaju određeni kredibilitet.
Agencija za zaštitu osobnih podataka (AZOP) na svojim stranicama ima i vodič kako prepoznati i zaštiti se od phishinga.
Građanima tako savjetuju da ne upisuju svoje osobne podatke, podatke o kreditnoj kartici, ne šalju preslike osobnih iskaznica, pinove kartica, CVC kodove s kartica (zadnje tri znamenke na poleđini kartice), kao niti kodove koje generira mobilno bankarstvo. “Institucije poput banaka, tijela javnih vlasti Vas neće tražiti da osobne podatke dostavljate putem e-maila. Također, imajte na umu kako je za uplatu na račun potreban samo IBAN/broj računa te ime i prezime vlasnika računa, a ne podaci s Vaše kartice (broj kartice, datum isteka i CVC kod)!”, ističe AZOP.
Ipak, napominju da je obrazac takvih poruka većinom isti. Napadači koriste sličnu domenu e-mail adrese kao i organizacija kojom se predstavljaju, pozivaju na hitnu/brzu reakciju, poruke često sadrže gramatičke i pravopisne pogreške te od Vas traže određene osobne podatke, a najčešće se traži upisivanje podataka s Vaše kartice.
“Stoga, ukoliko ne želite biti žrtva prijevare provjerite podudara li se e-mail adresa pošiljatelja sa službenom e-mail adresom institucije, ne otvarajte poveznice i privitke sumnjivih pošiljatelja te nikako ne upisujte i ne šaljite svoje osobne podatke (uključujući podatke kartice)!”, napominju iz AZOP-a. Na njihovim internetskim stranicama mogu se pronaći i najčešći primjeri phishing prevara.