Black Friday to żniwa dla oszustów. Skala wyłudzeń największa od lat

27 listopada, czyli Black Friday to najlepszy dzień na okazyjne zakupy w roku na całym świecie. Ceny są rekordowo niskie, a superofert, by coś kupić tysiące. Paradoksalnie, podczas pandemii może to być rekordowy Black Friday, bo wyprzedaże zaczęły się na długo przed tą datą. I nawet zamknięcie galerii handlowych nie powstrzyma szału zakupów – w domu, na wygodnej kanapie przed komputerem, możemy kupić znacznie więcej niż wędrując między sklepami.

Z badań wynika, że co trzeci z nas planuje w tym czasie zakupy, a liczba paczek wysłanych podczas Black Friday rośnie nawet o połowę – jak ujawniła w rozmowie z Business Insider m.in. firma kurierska DPD.

Tyle, że kiedy my polujemy na okazję, oszuści polują na nas, a zakupowy szał w takie dni jak Black Friday im to ułatwia. Przykład? Jak ujawniła firma jubilerska Pandora na początku listopada 2020 roku hakerzy rozesłali kampanię phishingową, która udawała ofertę duńskiej firmy. Potencjalni klienci z USA, Wielkiej Brytanii oraz Bułgarii otrzymali fałszywe wiadomości mailowe. Po wejściu w hiperłącze, użytkownik był przenoszony na fałszywą stronę internetową, wyglądającą niemal identycznie jak oficjalny sklep firmy. Cel był jeden – przechwycić dane płatnicze internautów i zdobyć ich pieniądze.

Podczas Black Friday mejli z podobnymi okazjami możemy otrzymać setki – niezależnie od tego czy robimy zakupy w sieci czy nie. Wystarczy kliknąć w link, pochopnie wypełnić formularz, by „skorzystać z promocji” czy ściągnąć załącznik. I tyle.

Co dzieje się chwilę później, gdy złodzieje zdobędą dane naszej karty płatniczej? Wiadomo.

A gdy zdobędą nasze dane: Imię i Nazwisko, PESEL czy numer dowodu osobistego?

Wyłudzą na skradzione dane pieniądze z banku, SKOK-u czy innej instytucji pożyczkowej albo kupią coś na raty.

Kredyt nie jest spłacany, a z kredytobiorcą nie można się skontaktować (bo złodziej podał fałszywy adres i telefon), więc sprawa trafia do firmy windykacyjnej. Ta – skoro nie może się skontaktować z dłużnikiem – przekazuje sprawę do sądu. Tego typu sprawy rozpatrywane są przez e-sądy, które działają w trybie uproszczonym.

E-sąd weryfikuje pozwanego na podstawie numeru PESEL, nie wnikając, czy osoba posługująca się tymi danymi rzeczywiście cokolwiek pożyczała. Poszkodowany o wyroku dowiaduje się, gdy jego konta zajmuje komornik.

Ależ skąd! Prawie 5 miliardów złotych – to wartość kredytów, których złodziejom nie udało się wyłudzić w ciągu ostatnich 12 lat. Z danych Związku Banków Polskich wynika, że rok 2020 jest rekordowy pod względem prób wyłudzeń – tylko w III kwartale odnotowano 1888 prób na kwotę ponad 61 mln zł, jest to najwyższy wynik od czterech lat. Drugi kwartał zakończył się udaremnieniem 1680 prób na kwotę ponad 63 mln zł – to były najgorsze trzy miesiące od 5 lat. To są tylko informacje o przestępstwach udaremnionych. Tych, których nie udało się wykryć, jest oczywiście więcej.

Przestępcy nie próżnują. Wystarczy chwila naszej nieuwagi.

Dziś przez sieć można załatwić większość spraw urzędowych, bankowych, zrobić zakupy na raty, ale też pożyczyć pieniądze. Swoją tożsamość potwierdzamy SMS-em, Profilem Zaufanym czy podpisem elektronicznym. Czasem, by skorzystać z jakiejś usługi, musimy podać numer PESEL oraz numer dowodu osobistego. A te dwie informacje, wraz z imieniem i nazwiskiem właściciela dokumentu wystarczą, żeby zaciągnąć na nasze konto kredyt czy dokonać zakupu na raty. W większości przypadków wystarczy nawet sam PESEL.

– To może wydawać się nieprawdopodobne, ale tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Poza tym nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania. Tak ofiarą przestępców padł pan Adam – pisały o tym media. A o całej sprawie dowiedział się dopiero, gdy komornik wszedł na jego konto i zablokował środki – mówi Aleksandra Stankiewicz – Billewicz, ekspert Biura Informacji Kredytowej.

- To tylko jeden z dziesiątków przykładów działania oszustów. Ale to, co je łączy to element zaskoczenia. Najczęściej osoba poszkodowana dowiaduje się o wyłudzeniu po długim czasie – dodaje ekspert BIK.

Oszuści celowo używają fałszywego adresu, by upomnienia nie przychodziły do właściciela skradzionych danych, który długo nic nie wie o wyłudzeniu. Jednak komornik bez problemu znajdzie właściwą osobę i upomni się o dług z odsetkami.

W realnym świecie przestępcy po prostu kradną fizyczne dokumenty lub ich kopie. Czasem bardzo im to ułatwiamy, zostawiając np. w zastaw za wypożyczenie jakiejś rzeczy dowód osobisty. Źródłem pozyskania naszych danych jest też kserowanie dokumentów – pod pozorem konieczności dołączenia kopii do jakiejś umowy. A nawet – wizyta w aptece.

– Mając świadomość sprytu złodziei danych osobowych, warto uważać choćby w aptece, realizując e-receptę – zauważa ekspert BIK.

– Nie powinno się dyktować numeru PESEL na głos, przy innych osobach. Zalecałabym, jego okazywanie np. w notatce na smartfonie lub zapisać dyskretnie na karteczce i pokazać farmaceucie.

W Internecie – możliwości zdobycia naszych danych jest zdecydowanie więcej. Cyberprzestępcy nie tylko wysyłają fałszywe e-maile, ale włamują się na nasze skrzynki pocztowe, tworzą strony czy sklepy internetowe z atrakcyjną ofertą tylko po to, by zdobyć informacje o nas. Albo doprowadzają do zainfekowania komputera złośliwym oprogramowaniem, które kradnie hasła lub pozwala śledzić każdy ruch użytkownika – włącznie z wpisywanymi hasłami i loginami.

Nigdy nie wiemy kiedy i gdzie ktoś pozyskał nasze dane. Dowiadujemy się o tym za późno, kiedy te zostały już wykorzystane. Dlatego w sieci nie można ujawniać informacji o sobie, jeśli nie mamy absolutnej pewności, że jest to konieczne i że osoba po drugiej stronie ekranu ma prawo takie wiadomości zbierać.

– PESEL można podawać tylko instytucjom zaufanym, np. w swoim banku. Należy jednak zawsze zachowywać ostrożność i zdrowy rozsądek. Zwłaszcza w Internecie podczas transakcji zakupowych, np. przestrzegam przed klikaniem w linki, które wymagają podania danych do logowania i zatwierdzania ich smsem. Banki nigdy o to nie proszą, a wręcz alarmują, by nie ulegać tym i podobnym socjotechnikom. Takie bezrefleksyjne kliknięcie skutkować może, np. „wyczyszczeniem” zgromadzonych oszczędności z konta czy zaciągnięciem kredytu na nasze dane – ostrzega ekspert BIK.

Należy zastanowić się, komu udostępniamy swoje dane. Czy sprzedawca nawet bardzo atrakcyjnego produktu faktycznie potrzebuje takich danych do zawarcia transakcji?

Szczególnie podejrzane będą prośby o przesłanie skanu czy zdjęcia dowodu osobistego, np. podczas rekrutacji do pracy. Pracodawca nie ma prawa żądać takiego dokumentu.

Nie należy również trzymać wysłanych e-maili ze skanami swoich wrażliwych dokumentów w skrzynce mailowej, na którą może ktoś się włamać.

Najprostszą formą ochrony, która działa niezależnie od nas są natomiast Alerty BIK. Większość instytucji udzielających kredytów sprawdza bowiem klientów w Biurze Informacji Kredytowej – to najprostszy sposób, by poznać naszą wiarygodność finansową.

W BIK-u można więc włączyć wspomniane Alerty BIK, czyli powiadomienia SMS lub e-mail z informacją, że dana instytucja finansowa analizuje nasz wniosek kredytowy. Jeśli dostaniemy taką wiadomość, a nie wnioskowaliśmy o pożyczkę, kredyt czy raty, jest to sygnał, że ktoś próbuje wyłudzić pieniądze na nasze dane.

Alert BIK ostrzega o próbie wyłudzenia na nasze dane. Jeśli klient sam nie składał żadnych wniosków o kredyt, nie kupował nic na raty ani nie poręczał kredytu, to pojawienie się Alertu może oznaczać, że ktoś próbuje wziąć kredyt na jego dane. Zatem powinien wzbudzić jego czujność i podjęcie szybkiej reakcji – tłumaczy ekspert BIK.

- W wiadomości podana jest data zdarzenia, nazwa instytucji, która pyta o dane klienta oraz numer infolinii BIK - na wypadek, gdyby potrzebne było wsparcie w wyjaśnieniu sprawy. Jeśli faktycznie doszło do wyłudzenia, konsultant BIK pomoże w przekazaniu informacji do instytucji, w której posłużono się danymi klienta – wyjaśnia Aleksandra Stankiewicz – Billewicz.

Warto dodać, że Alerty BIK zadziałają również w sytuacji, kiedy zostanie złożone zapytanie o nasze dane w Rejestrze Dłużników BIG InfoMonitor. Dzięki temu dowiemy się, np. że ktoś chce wyłudzić abonament komórkowy lub w naszym imieniu zawiera umowę na dostawę gazu czy prądu.

To bardzo proste. Wystarczy wejść na stronę BIK i założyć tam konto. Następnie można wybrać usługę Alerty BIK na rok (za 24 zł) lub Alerty BIK połączone z możliwością sprawdzenia Raportu BIK, czyli swojej historii kredytowej, oceny punktowej (tzw. scoring), a także informacji, kto i kiedy wysłał do BIK-u zapytanie. Ta rozszerzona usługa to koszt 99 zł rocznie.

Po upływie roku usługa nie odnawia się automatycznie, nie są pobierane żadne opłaty. Alert BIK można wykupić ponownie.

Kiedy dojdzie do próby wyłudzenia na nasze dane, a my orientujemy się przy okazji, że straciliśmy dokumenty – wówczas trzeba je jak najszybciej zastrzec.

W BIK jest to usługa bezpłatna i wymaga jednego kliknięcia. Wystarczy, że mamy założone darmowe konto BIK.
Informacja z BIK trafi do systemu Dokumenty Zastrzeżone, z którego korzystają banki, firmy pożyczkowe czy telekomunikacyjne. Można w ten sposób zastrzec nie tylko dowód osobisty, ale także paszport czy prawo jazdy.

Dopiero po zgłoszeniu utraty dokumentu możemy wnioskować o wydanie duplikatu.

A co, jeśli już do drzwi puka firma windykacyjna lub nieświadomy niczego kredytobiorca otrzyma wezwanie do zapłaty?

W takiej sytuacji trzeba natychmiast ustalić, o jakim kredycie dokładnie jest mowa, kiedy został zaciągnięty i zebrać wszystkie informacje na jego temat. Potem trzeba zgłosić sprawę na policję i odebrać zaświadczenie o zgłoszeniu podejrzenia przestępstwa. To zaświadczenie trzeba przedłożyć w instytucji udzielającej kredytu oraz w firmie windykacyjnej. To wszystko jest konieczne, bo instytucje pożyczkowe i banki wstrzymują działania windykacyjne do czasu wyjaśnienia sprawy. Niestety wszystkie te formalności kosztują sporo czasu i nerwów. Dużo więcej niż wspominane Alerty BIK.