Zarobił 100.000 w tydzień! Sprawdź jak!

Ile razy zobaczyłeś taki nagłówek w Internecie? Czy to nie jest piękna wizja szybkiego zarobku?

Czytając ten wpis już wiecie, że taka inwestycja śmierdzi na kilometr, a stare przysłowie, że „za darmo to i w mordę nie chcą dać” sprawdza się w dzisiejszych czasach nader często. W takim razie dlaczego w dalszym ciągu możemy usłyszeć w mediach o kolejnych ofiarach na inwestycję w kryptowaluty/forex/akcje i inne wymyślne triki oszustów?

Myślę, że dobrym pomysłem jest zacząć od tego w jaki sposób ofiara jest wyselekcjonowana do przeprowadzenia całej akcji. Oczywiście warto nadmienić, iż lwia część osób poszkodowanych w takim procederze bywa losowa.

Wracając do meritum – załóżmy, że masz 30 lat, a 5 lat temu zacząłeś interesować się kryptowalutami. Niestety, jak to w życiu nastąpił natłok obowiązków – w pracy szef męczy projektami, żona od roku marzy o nowej kuchni… i jakoś tak wyszło, że Twoje myśli o kryptowalutach zboczyły na dalszy plan. Ale w owym czasie jak każdy nowy pasjonat wirtualnej waluty zakładałeś konta na forach o tejże tematyce, zarejestrowałeś się na giełdzie aby zobaczyć jak to wszystko działa, a może nawet kupiłeś sobie trochę 'krypto' i już o tym zapomniałeś?

Jeśli choćby na jedno z wyżej postawionych pytań odpowiedziałeś twierdząco – to w 99% jestem pewien, że nie raz otrzymałeś na maila wiadomość o możliwości szybkiego zarobku albo (jeśli jesteś 'szczęściarzem') dzwonił do Ciebie pracownik giełdowy z propozycją wypłaty środków z (podobno) Twojego pięcioletniego konta.

Skąd miał mój numer? Skąd mail?


Jeśli chodzi o adres mailowy czy numer telefonu, mógł to być czysty przypadek i Twój adres/numer został sprzedany jako baza reklamowa lub wyciekł z jakiegoś serwisu, a Ty możesz nie mieć nawet o tym bladego pojęcia (2 miliony danych użytkowników z Morele).

I tu warto pochylić się nad tymi nic nieznaczącymi dla zwykłego Kowalskiego wyciekami danych z jakiegoś tam serwisu na którym rejestrował się w przeszłości.
Otóż, weźmy na ruszt wyciek, który niedawno dość mocno odbił się na użytkownikach fizycznych portfeli do BTC firmy Ledger. Przestępcy upublicznili 270.000 rekordów z danymi klientów ww. firmy.
Jak ten atak ma się do tego wpisu? Wyjaśniam – osoba wchodząca w posiadanie danych z tylko i wyłącznie tego wycieku jest w stanie dowiedzieć się o drugiej osobie w przeciągu sekundy:
– jak ma na imię i nazwisko,
– ile ma lat,
– czy jest zamożny,
– numer telefonu,
– adres poczty e-mail.
Czyli brakuje numeru buta i szerokości obwodu bebecha 🙂 .

Symulacja rozmowy

Wróćmy teraz do naszego (tym momencie) 30 letniego Kowalskiego. Podczas picia drugiej kawy w pracy wytrąca go wibracja telefonu. Niestety, nie wie czy to coś ważnego bo numer jest zastrzeżony, więc podejmuje decyzję o odebraniu połączenia.
W słuchawce rozbrzmiewa mężczyzna z lekko wschodnim akcentem przedstawiającym się za jego opiekuna na giełdzie ABC-BTC-XYZ. Mężczyzna oznajmia naszemu
30-latkowi, że na jego koncie kryptowalutowym jest 10 BTC (na kurs z dnia 22.03.21 – 2.106.678,07 PLN). Oczywiście w tym samym momencie kawa upada na blat, nasz bohater doznaje flashbacków sprzed pięciu lat i już przypomina sobie, że na 99% na tej właśnie giełdzie rejestrował się i nawet wpłacił parę groszy. Szybka kalkulacja i wydawanie w głowie olbrzymiego majątku rozpoczęta.

Opiekun konta słysząc po drugiej stronie słuchawki rozochocenie, podejmuje próbę 'pomocy' swojemu klientowi przy wypłacie środków. Mówi, że warunkiem wypłaty całej ilości zgromadzonych środków jest instalacja programu do pomocy zdalnej oraz wykonanie przelewu weryfikacyjnego – wiadomo – bezpieczeństwo to podstawa. Co do programów to nie problem, bo ma aż dwa do wyboru: AnyDesk oraz TeamViewer. Kowalski bez chwili zastanowienia wybiera pierwszą opcję i rozpoczyna instalację na swoim PC.

Źródło: https://anydesk.com/_static/img/screenshots/anydesk-mac-os-main-42db90.png

Do połączenia zdalnego na linii Kowalski – Opiekun konta, niezbędne jest podanie ID urządzenia oraz hasła wyświetlonego w jednym z ww. programów.

Jak można się domyśleć, nasz 30-latek bez chwili zastanowienia wysłał wszystkie niezbędne dane do połączenia w ramach pomocy zdalnej udostępniając przy tym swój cały komputer. 🙂

W tym momencie wariantów jest wiele od zainstalowania prostego keyloggera, który będzie wysyłał do 'Opiekuna' wszystko to co nasz bohater wystuka na klawiaturze (możemy dodać zrzuty z ekranu, nagrywanie ekranu itd.) po kradzież środków w białych rękawiczkach.

Załóżmy, że wybieramy najczarniejszy scenariusz – ograbienie Kowalskiego z całych oszczędności.

Gdzie są moje pieniądze?

Po pomyślnym podłączeniu się do komputera ofiary oszust prosi o utworzenie nowego konta na giełdzie z kryptowalutami, celem przelania środków ze starego konta ponieważ traci ono ważność za 5 dni. Po tym terminie środki (10 BTC!) przepadną. Złodziej przesyła link do rejestracji do PRAWDZIWEJ giełdy. Ofiara podaje tam prawdziwe dane, odbywa prawdziwą weryfikacją za pomocą swoich dokumentów (dowód osobisty, paszport). Do zakończenia weryfikacji wystarczy jeszcze przelew na małą sumę np. 1 PLN. Co potwierdzi, że nasze konto na giełdzie będzie zasilane z naszego konta bankowego.

Nasz Opiekun Konta we wszystkim pomoże. Prosi o zalogowanie się do witryny bankowej aby wykonać przelew.

Kowalski czym prędzej wchodzi na stronę swojego banku, loguje się do konta, tworzy zlecenie przelewu na kwotę 1 PLN opłaty weryfikacyjnej i klika – Przelej. Na chwilę stracił z oka pulpit, ponieważ pojawiły się problemy techniczne z połączeniem. Po 30 sekundach wszystko wraca do poprzedniego stanu. Podaje jeszcze kod SMS do płatności i… kurczę pierwszy kod nie działa. Bywa. Generuje kod po raz kolejny. Przyszedł prawidłowy – środki trafiają na giełdę po paru godzinach. Nasz Szczęśliwiec otrzymał maila o poprawności weryfikacji jego osoby. Czas zaczynać wypłatę BITKOJNÓW.

Ale zaraz… Po chwili orientuje się, że z jego konta zaczynają znikać pieniądze w zastraszającym tempie. Wszystkie transakcje odbywają się na jedno konto. Na konto giełdy kryptowalut, na którą pare godzin temu przelał 1 (jedną) złotówkę.

Wróćmy do akapitu wyżej, oszust mając podgląd w stan konta, był w stanie oszacować zamożność ofiary i przekalkulować ryzyko i opłacalność jej „urabiania”.
Podczas gdy Kowalski wpisywał dane do logowania w tle działał cały czas keylogger, który nasz złodziejaszek zainstalował pod czujnym okiem właściciela konta bankowego.

Gdzie hasło SMS? Żadne hasło SMS. To co przyszło w pierwszej wiadomości na telefon ofiary był to kod, który zezwala na dodanie kolejnego numeru telefonu/urządzenia w celach potwierdzeń płatności online. Tak! Kowalski sam podał kod przestępcy wpisując go w miejscu, które było potwierdzeniem przelewu. Miejsce się zgadzało, jednakże kod już nie – a keylogger ciągle był aktywny…

Źródło: https://niebezpiecznik.pl/post/przestepcy-przekierowali-mu-telefon-i-okradli-konto-w-banku/

Dzięki temu zabiegowi, przestępca mógł wypłacać środki z konta wpisując potwierdzający kod SMS do przelewów online. Wyczyszczenia konta zajęło mu 5 minut. Środki na giełdzie (na koncie Kowalskiego – do którego oszust miał podgląd podczas jego zakładania) pojawiły się w przeciągu kolejnego kwadransu, skąd już całość przelał na swoje konto krypto w innym serwisie.

Tak, zakończyły się piękne marzenia o fortunie naszego bohatera. A co więcej został z mniejszą ilością pieniędzy, niż przed spotkaniem na swojej drodze swojego Opiekuna.


Pamiętaj!

  • Nigdy nie ufaj osobie po drugiej stronie słuchawki – mimo, że może się zdarzyć, iż numer który do Ciebie dzwoni jest Ci znany. To może być spoofing!
  • Nie pozwalaj nikomu niezaufanemu łączyć się zdalnie z Twoim urządzeniem (mobilnym również!).
  • Nie ufaj możliwościom szybkiego zarobku w bardzo krótkim czasie!
  • Miej dystans do tego co czytasz w Internecie.
  • Nawet gdy zakładasz konto samodzielnie używaj 2FA (dwuetapowa weryfikacja podczas logowania).
  • Czytaj każdą wiadomość SMS i e-mail – spokojnie i ze zrozumieniem!


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *