Jak wygląda oszustwo na Vinted

Wzrost popularności serwisu Vinted nie uszedł uwadze cyberprzestępców. Podobnie, jak użytkownicy OLX, tak i tutaj sprzedający ubrania poprzez wspomnianą platformę są narażeni na ataki phishing. Oszuści w ten sposób wyłudzają dane logowania do bankowości internetowej.

Jak wygląda oszustwo na Vinted

Internauci coraz częściej wybierają serwisy i sklepy internetowe, poprzez które mogą zakupić interesujący przedmiot. Wynika to z szybkości i wygody zakupów online, a także znacznie szerszej oferty niż w sklepach stacjonarnych. Czy jest jednak bezpieczniej? Z tym bywa różnie. Jeśli korzystamy z usług oficjalnych sklepów popularnych marek to jak najbardziej. Ponadto w przypadku zakupów przez Internet jest możliwość zwrotu towaru do 14 dni bez podawania przyczyny.
Jednak cyberprzestępcy wyskorzystują popularność zakupów online i podszywają się pod różne marki i sklepy celem pozyskania poufnych danych. Szczególną ostrożność należy zachować w przypadku, gdy to użytkownik staje się sprzedawcą. Coraz więcej bowiem ataków phishing ukierunkowanych jest w internatów sprzedających w serwisach ogłoszeniowych i aukcyjnych, jak np. OLX, czy Allegro Lokalnie. Wyjątkiem nie jest platforma Vinted, dedykowana do zakupu i sprzedaży ubrań oraz akcesoriów. W tym artykule pokażemy, jak przebiega oszustwo na Vinted oraz jak się przed nim ustrzec.

Oszustwa Vinted Kup Teraz

Serwis Vinted w celu przeprowadzania transakcji zaleca wybieranie opcji "Kup teraz". Dzięki temu uwzględniona zostaje Ochrona Kupującego, która umożliwia bezpieczne zakupy. Usługa jest płatna, jednak za niewielką opłatą zapewnia bezpieczne płatności bez konieczności podawania poufnych danych, jak informacje dotyczące rachunku bankowego. Ponadto kupujący opłaca zakupiony przedmiot w momencie jego otrzymania, jeśli transakcja przebiegła pomyślnie. Dzięki korzyściom wynikającym z polityki zwrotów Vinted można zwrócić towar, jeśli wynikły problemy z przesyłką (uszkodzona paczka, zamówiony przedmiot odbiega od opisu z ogłoszenia itp.) nie płacąc wcześniej za nią.
W tej formie dokonywania transakcji na Vinted sprzedawca nie musi potwierdzać ani tym bardziej odbierać środków za przedmiot na zewnętrznych stronach. Z tego powodu, jeśli użytkownik (sprzedawca) otrzyma wiadomość od potencjalnego kupującego z prośbą o podanie adresu e-mail, numeru telefonu, czy innych poufnych danych to z pewnością może to być próba oszustwa. Szczególnie nowi użytkownicy serwisu powinni zachować ostrożność, bo mogą nie wiedzieć jak powinna wyglądać bezpieczna transakcja w serwisie i tym samym są narażeni na ataki ze strony cyberprzestępców.

Jak rozpoznać oszustwo na Vinted?

Jak wyglądają oszustwa na Vinted? Otóż bardzo podobnie do oszustw na OLX. Warto nadmienić, że cyberprzestępcy głównie atakują nowych użytkowników portalu. Wykorzystują tym samym fakt, że osoby te nie do końca znają zasady obowiązujące na Vinted i nie są w stanie zauważyć odstępstw w przebiegu transakcji.

W większości przypadków po wystawieniu przedmiotu ze sprzedawcą kontaktuje się "kupujący" (jest nim oszust), który prosi o adres e-mail bądź numer telefonu. Najczęściej kontakt odbywa się poprzez wewnętrzny system komunikacji na platformie Vinted. Już po kilku minutach mogą zgłosić się chętni na zakup wystawionego przedmiotu.

Oszuści podszywający się pod kupujących

Poniżej prezentujemy treści wiadomości, jakie wysyłają oszuści, aby pozyskać dane (numer telefonu bądź adres e-mail), na które mogą przesłać linki do fałszywych stron Vinted.
Fałszywa wiadomość na Vinted
Fałszywa wiadomość Vinted

Dodatkowo w drugim przypadku (gdzie jest prośba o adres e-mail) oszust przesyła zrzuty ekranu ukazujące rzekomo komunikaty z przebiegu transakcji. Poniżej prezentujemy jeden z nich.
Fałszywa wiadomość Vinted - potwierdzenie przesłania e-mail

Można z niego dowiedzieć się, że zamówienie zostało złożone i teraz sprzedający musi je zaakceptować. Informacja na ten temat została przekazana poprzez pocztę elektroniczną.

Fałszywy mail od Vinted

Tak też się dzieje. Po kilku minutach na skrzynkę pocztową (na podany oszustowi adres e-mail) trafia wiadomość. E-mail rzekomo ma pochodzić z serwisu Vinted. W większości przypadków oszustwo na Vinted może rozpoczynać się właśnie od fałszywej wiadomości e-mail. Jego treść może wyglądać następująco:

Fałszywa wiadomość email Vinted

Cyberprzestępcy nawet nie przysporzyli sobie trudu, aby ukryć adres nadawcy i podszyć pod oficjalny. Jest on w ogóle niezwiązany z platformą Vinted. Od razu powinno to wzbudzić podejrzenie.
Z treści wiadomości wynika, że jedyne co należy wykonać to zaakceptować zamówienie. W mailu znajduje się przycisk Otrzymanie płatności (w innych schematach fałszywych wiadomości e-mail - ZAAKCEPTOWAĆ ZAMÓWIENIE), jego kliknięcie przekierowuje do przygotowanej przez oszustów strony phishing. Ponadto w wiadomości jest podana instrukcja krok po kroku, co należy wykonać, aby zrealizować zamówienie.

Przebieg oszustwa po przejściu na stronę phishing

Po tym jak sprzedawca serwisu Vinted kliknie link przesłany przez cyberoszusta zostaje przekierowany do docelowej strony phishing. Można spotkać się z kilkoma schematami stron phishing, które są wykorzystywane w omawianym oszustwie. W artykule przedstawimy dwa z nich.

Phishing Vinted schemat 1
Phishing Vinted schemat 2

We wszystkich przypadkach cyberprzestępcy do stworzenia stron phishing wykorzystują zdjęcia oraz teksty zawarte na oryginalnych stronach ogłoszeń przedmiotów, których dotyczy fałszywa transakcja. Dodatkowo zawarte są dane teleadresowe. Na stronach znajduje się informacja, że kupujący (oszust) zapłacił za przedmiot lub, że płatność się powiodło i należy jedynie odebrać środki.

W pierwszym przypadku (pierwszy zrzut ekranu powyżej) strona phishing jest lepiej przygotowana, wygląda na bardziej profesjonalną. Po kliknięciu przycisku "Kontynuuj" następuje przekierowanie do strony, gdzie użytkownik ma możliwość wyboru bankowości, na której rachunek rzekomo zostaną przesłane środki za sprzedany przedmiot w serwisie Vinted.

Phishing Vinted schemat 1 - wybór banku

Po wybraniu banku z listy następuje przekierowanie do docelowej strony phishing danej bankowości internetowej.

Phishing Citi Bank - login

W pierwszym kroku użytkownik proszony jest o podanie loginu do konta bankowego.

Phishing_Citi_Bank_haslo

Następnie należy podać hasło do bankowości internetowej.

Phishing Citi Bank - dane karty płatniczej

W kolejnym kroku rzekomo do dodatkowej weryfikacji dla banku należy podać dane karty płatniczej.

Phishing Citi Bank - przetwarzanie transakcji
Po wprowadzeniu danych i zatwierdzeniu przyciskiem "Potwierdzić" wyświetlony zostaje komunikat, że transakcja jest przetwarzana. W tym momencie cyberprzestępcy mogą wykorzystywać pozyskane dane do swoich celów, w szczególności do kradzieży środków pieniężnych z przejętego konta.

Drugi schemat stron phishing, wykorzystywanych w oszustwach na Vinted jest bardziej uproszczony i składa się z mniejszej liczby etapów. Z fałszywej strony ogłoszenia sprzedawanego przedmiotu następuje przejście na stronę wyboru banku.

Phishing Vinted schemat 2 wybór banku

Po wybraniu bankowości użytkownik jest przekierowywany do docelowej strony phishing, gdzie wyłudzane są dane logowania do bankowości internetowej.

Phishing_SGB_Bank
Phishing_BOS_Bank

Na stronie użytkownik jest proszony o podanie określonych danych (zależnie od wybranej bankowości) m.in. login/identyfikator, hasło, nazwisko rodowe matki, numer PESEL, czy kod PIN do karty płatniczej. Wprowadzenie tych danych i kliknięcie przycisku DALEJ lub ZALOGUJ SIĘ, powoduje wyświetlenie animacji ładowania z komunikatem o weryfikacji transakcji. Także w przytoczonym przykładzie oszuści niekiedy w czasie rzeczywistym mogą wykorzystywać pozyskane dane np. do zakupów online czy realizacji przelewów i wypłat z przechwyconego konta bankowego.

Cyberprzestępcy podszywają się także pod pracowników Vinted lub firmy kurierskie. Rozsyłając fałszywe wiadomości e-mail i SMS sugerują, że w wyniku np. niedopłaty za wysyłkę realizacja zamówienia na omawianym serwisie została zablokowana. W ten sposób przekierowują użytkowników na strony phishing, gdzie wyłudzają dane logowania do bankowości.

BrowserWALL DNS

Podejrzane strony internetowe, gdzie ujawniane są aktywne ataki phishing wykorzystywane w oszustwach Vinted są blokowane w BrowserWall DNS. Jest to skuteczne zabezpieczenie sieci, a także ochrona przed atakami phishing.
Informacje o zagrożeniach ze strony cyberoszustów są dostępne są w CTI Feed. Baza danych o cyberatakach jest aktualizowana na bieżąco.

CTI Feed

Stronę phishing wykorzystaną w Oszustwie na Vinted można zgłosić poprzez formularz ZGŁOŚ INCYDENT.

Czy można zapobiec oszustwom w serwisie Vinted?

Jak nie dać się oszukać na Vinted? Zasada działania jest zbliżona do tego, którego doświadczają użytkownicy serwisu OLX, a które omawialiśmy na łamach naszego bloga. Wskazówki i porady tam zawarte są aktualne także w omawianym artykule. Dla utrwalenia wiadomości przedstawimy najważniejsze z nich.

  • Weryfikuj powiadomienia SMS lub z aplikacji mobilnej ze swojego banku. Szczególną uwagę zwracaj na operację, którą autoryzujesz.
  • Zapoznaj się z zasadami bezpieczeństwa swojego banku i stosuj się do nich podczas korzystania z portali ogłoszeniowych i aukcyjnych. Także wspomniane serwisy publikują informacje na temat bezpiecznego korzystania z ich platformy.
  • Nie należy przenosić konwersacji z kupującym, czy też sprzedającym, a także procesu płatności poza serwis aukcyjny. Należy korzystać ze wbudowanego czatu oraz metod płatności, aby zminimalizować ryzyko potencjalnego oszustwa.
  • Należy mieć ograniczone zaufanie do osób proszących o dodatkowe informacje, jak dane do logowania, adres e-mail, numer telefonu, dane karty płatniczej. Nie należy przekazywać swoich danych innym użytkownikom na platformie, ponieważ serwis Vinted nie prosi o to na żadnym etapie transakcji.
  • Unikać pośrednich transakcji, szczególnie na stronach, do których adresy są przesyłane w wiadomościach SMS, e-mail czy za pomocą komunikatorów, jak WhatsApp. Jak przyznają przedstawiciele portalu, Vinted nie wysyła e-maili lub prywatnych wiadomości prosząc o kliknięcie linku celem wprowadzenia danych płatniczych, lub dokończenia procesu płatności.
  • Należy zwracać uwagę na poprawność językową wiadomości SMS i e-mail. Fałszywe wiadomości mogą zawierać błędy, a także mogą w nich być zawarte nieoficjalne dane na temat serwisu, z którego się korzysta.
  • Należy sprawdzać adres strony, na której przekazywane są poufne dane. Jeśli nie ma się pewności co do oryginalności strony, należy opuścić ją bezzwłocznie.

Warto nadmienić, że użytkownicy serwisu, którzy zdecydują się na transakcję poza Vinted, nie będą objęci oferowaną Ochroną Kupującego. Zapewnienie bezpiecznych transakcji odbywa się poprzez opcję zakupu "Kup teraz".

Jeżeli padłeś ofiarą oszustwa lub ktoś z twoich znajomych warto zawiadomić w tym celu odpowiednie organy ścigania. Zgłoszenie oszustwa Vinted można dokonać, zawiadamiając policję.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.