3 sierpnia 2021
Kupujesz w Amazonie? Uważaj na te rodzaje oszustw.
Każdego dnia miliony klientów na całym świecie dokonują zakupów za pomocą platformy Amazon. Łatwość i szybkość zakupów wykorzystują nie tylko kupujący, ale także cyberprzestępcy. – Skala operacji, w tym niezliczonych transakcji czy przesyłania danych sprzedających i kupujących, przy braku zachowania podstawowych środków ostrożności, to ogromny potencjał do wyłudzania danych czy kradzieży pieniędzy – ostrzegają eksperci ESET. Phising, fałszywe karty podarunkowe czy wyłudzanie danych w rozmowach telefonicznych - to sposoby, którymi najczęściej posługują się przestępcy.
Amazon to największy internetowy rynek handlu detalicznego na świecie. W 2020 roku jego dochody przekroczyły 386 miliardów dolarów. Z samej usługi Amazon Prime, tylko w Stanach Zjednoczonych korzysta 126 milionów subskrybentów, a na całym świecie blisko 200 milionów. Między innymi sukces tej platformy w wielu krajach pozwolił jej twórcy – Jeffowi Bezosowi stać się w 2018 roku najbogatszym, według magazynu Bloomberg, człowiekiem na świecie. W Polsce miesięcznie platformę odwiedza blisko 3 miliony użytkowników. Ogromna popularność Amazon i związana z nią pula klientów, którzy każdego dnia korzystają z jej usług, przyciągają cyberprzestępców. Ich celem są niczego niepodejrzewające ofiary, które dokonują zakupów online.
Oto lista najczęstszych sposobów i oszustw, z których korzystają przestępcy.
Phishing mailowy z fałszywym zamówieniem
Podobnie jak w przypadku wielu innych dostawców usług, cyberprzestępcy podszywają się także pod platformę Amazon. Ich celem jest wyłudzanie danych osobowych klientów lub uzyskanie dostępu do kont ofiar. Wiadomości e-mail, które otrzymują nieświadomi klienci Amazona, mogą przybierać różne formy. Najczęstszą praktyką jest podszywanie się pod zwyczajową wiadomość z platformy, z którą na co dzień spotykają się jej klienci.
W praktyce klient otrzymuje e-mail z informacją o potwierdzeniu zakupu, którego nie dokonał. Treść wiadomości jest tak skonstruowana, by nakłonić ofiarę do kliknięcia w link, który ma rzekomo prowadzić do działu obsługi klienta Amazon. W rzeczywistości link przekierowuje do serwisu internetowego do złudzenia przypominającego oficjalną stronę logowania Amazon. Przy próbie zalogowania, dane które zostają wpisane, wpadają w ręce oszusta. Inny typ ataku polega na tym, że po kliknięciu przez ofiarę łącza lub załącznika w wiadomości e-mail, na jej urządzenie zostaje pobrane złośliwe oprogramowanie. Po jego zainstalowaniu malware będzie próbować przechwycić dane uwierzytelniające do dowolnych usług, z których korzysta użytkownik.
– Aby obronić się przed tego typu atakami, powinniśmy być wyczuleni na kilka sygnałów ostrzegawczych, które wskazują na próby wyłudzenia. Są to przede wszystkim literówki w adresie e-mail, z którego przyszła do nas wiadomość czy błędy gramatyczne w tekście wiadomości. Także wszelkiego rodzaju załączniki mogą wskazywać na próbę oszustwa. Wątpliwości powinny pojawić się również w momencie sprawdzania linku podanego w wiadomości. Poprzez najechanie na niego kursorem możemy sprawdzić, czy kieruje do oficjalnego adresu amazon.com lub jego oficjalnych domen, takich jak na przykład pay.amazon.com. W przypadku zauważenia jakichkolwiek odstępstw wiadomość najlepiej od razu usunąć, a w razie wątpliwości skontaktować się bezpośrednio z obsługą klienta w Amazon, używając do tego celu danych kontaktowych znajdujących się na oficjalnej stronie platformy. Adres strony sklepu Amazon najbezpieczniej zapisać w zakładce w przeglądarce i za pomocą tej zakładki każdorazowo wchodzić na stronę sklepu.
Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa ESET
Oszustwa wykorzystujące karty podarunkowe
Jednym z najczęściej spotykanych sposobów oszustw związanych z zakupami na Amazonie są te wykorzystujące karty podarunkowe. Popularna taktyka zazwyczaj związana jest z presją czasu, która ma być dodatkowym czynnikiem mającym na celu nakłonienie ofiary do szybkiego działania. Na przykład natychmiastowej pomocy dla członka jej rodziny, który wpadł w kłopoty i potrzebuje pomocy finansowej. Oszuści podszywają się także pod osoby z kierownictwa firmy czy zakładu pracy ofiary i korzystając z autorytetu pracodawcy próbują nakłonić do kupna i przekazania im kart podarunkowych. Alternatywnie poprzez wiadomości e-mail lub w rozmowach telefonicznych zaatakowane osoby są informowane na przykład o nałożonej przez wybrany urząd karze, która może być zapłacona z wykorzystaniem kart podarunkowych. Coraz bardziej przemyślane sposoby przestępców mają jeden cel – nakłonienie ofiary do zakupu i wysłania kart podarunkowych Amazon.
– Warto mieć na uwadze, że większość tych oszustw nie dojdzie do skutku, jeśli zachowamy zimną krew. Przestępcy wykorzystują socjotechnikę, by skłonić ofiarę do określonego zachowania. Presja czasu czy wprowadzenie poczucia strachu o bliską osobę są jednymi z nich. W takim przypadku najlepiej skontaktować się bezpośrednio ze wskazanym członkiem rodziny telefonicznie i zweryfikować, czy rzeczywiście potrzebuje pomocy. Pamiętajmy także, że żadne instytucje czy urzędnicy państwowi nigdy nie poproszą nas o uregulowanie rzekomej kary czy grzywny za pomocą kart podarunkowych. Możemy być pewni, że takie działanie to zawsze oszustwo.
Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa ESET
Oszustwa związane z płatnościami
Cyberprzestępstwa związane z procesem płatności przybierają różne formy, jednak ich wspólnym mianownikiem jest chęć zawładnięcia zawartością konta bankowego ofiary. Jednym z głównych sposobów oszustów jest próba przekonania użytkownika do dokonania płatności poza bezpieczną platformą Amazona. Oszuści próbują nakłonić do takiego zachowania na przykład poprzez ofertę obniżonej ceny danego produktu. Jeśli ofiara im ulegnie, straci zarówno pieniądze, jak i nie otrzyma pożądanej rzeczy. Co więcej nie będzie mogła złożyć skargi do Amazona, ponieważ dokonała płatności poza ich narzędziem płatności. Aby nie paść ofiarą tego typu oszustwa w trakcie zakupów, należy korzystać jedynie z bezpiecznej platformy zakupowej Amazon.
Innym rodzajem oszustwa związanego z płatnościami jest konieczność dokonania płatności w celu odebrania nagrody, którą rzekomo wygrała osoba kupująca za pośrednictwem Amazona. W takim przypadku czujność powinien wzbudzić zarówno sam fakt rzekomego wygrania nagrody, jak i niemożność weryfikacji sprzedawcy.
Wyłudzenia danych w rozmowach telefonicznych
Cyberprzestępcy wykorzystują także rozmowy telefoniczne związane z rzekomym wsparciem klienta. Treść połączeń, w których przestępca podszywa się pod pracownika Amazona, może dotyczyć między innymi problemów z kontem, w tym zarejestrowaniem podejrzanego zakupu, zagubionej paczki czy ostrzeżeń wydanych przez urzędy państwowe. Zaangażowanie w rozmowę może prowadzić do wyłudzenia danych osobowych lub danych dotyczących płatności. W takim przypadku najlepszą obroną jest kontakt z działem obsługi klienta Amazon poprzez bezpośrednie kanały kontaktowe. Platforma przyznaje, że w niektórych przypadkach może wykonywać połączenia wychodzące do swoich klientów, ale nigdy nie prosi ich o ujawnienie jakichkolwiek poufnych danych osobowych w celu zweryfikowania ich tożsamości.
– Bezpieczeństwo zakupów online opiera się na najważniejszej zasadzie „ufaj, ale weryfikuj”. Większości oszustw można uniknąć, jeśli zachowamy czujność i zdrowy rozsądek. Najgorszym doradcą są emocje i presja czasu. Jeśli otrzymamy nietypowe, inne niż standardowe, wiadomości e-mail, rzekomo pochodzące z Amazona, zawsze musimy zachować szczególną ostrożność i zweryfikować ich pochodzenie, zanim otworzymy jakikolwiek link lub załącznik. Nigdy też nie powinniśmy podawać i udostępniać danych osobowych podczas przychodzących do nas rozmów telefonicznych od przedstawiciela obsługi klienta którejkolwiek z platform sprzedażowych.
Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa ESET
Bartosz Różalski
senior product manager ESET
Masz pytania?
Skontaktuj się ze mną:
rozalski.b@dagma.pl
32 259 11 37
Polecane wpisy:
Podobne wpisy:
Polecane wydarzenia: