Słowem wstępu
Jakieś 2 lata temu znajoma podjęła decyzję o kupieniu sobie dwóch foteli ogrodowych. Takiej hybrydy pomiędzy fotelem, jajkiem a huśtawką. Trafiła na świetną promocję – jeden kosztował około 400 zł, czyli oszczędzała 50-60 zł na sztuce w stosunku do cen, za jakie można było wówczas te fotele kupić w innych sklepach. Znajoma uznała, że takiej okazji nie można przepuścić, bo pewnie już nigdy więcej się nie trafi! Nim promocja wygasła (licznik na stronie pokazywał, że do końca promocji zostało tylko kilkadziesiąt minut), złożyła zamówienie. Nie czytając oczywiście regulaminu, warunków zwrotów i reklamacji, nie sprawdzając także, czy ta firma w ogóle istnieje.
Nie było na to czasu, przecież nim przebrnie przez ścianę tekstu, promocja na pewno już się skończyć. Poza tym trudno zresztą się temu dziwić, mało kto tak robi, chyba tylko jakieś czubki z security. Podejrzeń jednak nie wzbudziło też to, że jedyną dostępną formą płatności był tradycyjny przelew – żadnego pay-by-link, BLIKa czy czegokolwiek w tym rodzaju. Nie muszę chyba dodawać, że w regulaminie nie było podanych żadnych danych kontaktowych firmy (no bo i jakiej?).
W tym krótkim wstępie mamy więc już 3 czerwone flagi – brak wyboru metody płatności (już prawie każdy sklep ma podpisane umowy z operatorami płatniczymi), wymuszenie działania pod presją czasu (chociaż to niestety coraz częściej jest standardem nawet w prawdziwych sklepach) i wadliwy regulamin. Jednak nie zniechęciły one naszej bohaterki – zamówienie złożone, pieniądze wysłane. I co? I nic, temat zamknięty, sprzedawcy zapadli się pod ziemię. Nie można było się z nimi skontaktować ani przez maila podanego na stronie, ani żadnym innym kanałem.
Trochę technicznego bełkotu (ale postaram się streszczać)
Po kilku miesiącach nieskutecznej przepychanki ze służbami (o czym za chwilę) podjąłem decyzję o tym, że skoro biedna policja nie radzi sobie z poszukiwaniami, to wesprę ich w tym dziele. Posłużyłem się dwiema usługami – Spiderfoot HX (niestety to narzędzie na razie wydaje się nie działać). Zasiliłem tę pajęczą nogę danymi, do których wówczas miałem dostęp (adres strony w domenie .pl i adres sklepu na platformie, na której można sobie stworzyć sklep). Drugą usługą było Whois, w której sprawdziłem obecnych i historycznych właścicieli obu domen. I to wystarczyło!
Po niespełna godzinie pracy i wydaniu kilku dolarów miałem zmapowane niezbędne (dostępne publicznie) zależności. W tym wszystkie domeny, które wskazał mi Spiderfoot. Na nasze szczęście przestępcy byli niezbyt ostrożni, ponieważ proste zapytania do Whois wskazały, że za słabo uważali przy kupowaniu domen. Niemal wszystkie były kupowane na “słupy”, czyli osoby prywatne. A po wejściu w życie RODO dane osobowe w rekordach DNS są domyślnie ukrywane i nie można ich podejrzeć. Ale jedna z nich w przeszłości zarejestrowana była na te same dane, na które zarejestrowano sklep na wspomnianej platformie. Były to dane przedsiębiorstwa, a więc były jawne. Wówczas byłem już niemal pewien, że znam dane przestępców.
Jak się potem okazało, miałem rację. Domeny, które wcześniej były powiązane z platformą sklepową (a było ich kilka), służyły do tego samego, czyli wyłudzania pieniędzy za nieistniejące towary. Modus operandi, jak się w międzyczasie dowiedzieliśmy, również pozostawał niezmienny. Ale to potwierdziliśmy dopiero wówczas, gdy znaleźliśmy na Facebooku grupę zrzeszającą osoby poszkodowane przez tych oszustów.
Modus operandi i „współpraca” z organami ścigania
Po kilku monitach i prośbach o wysyłkę towaru lub zwrot pieniędzy, sprawa w końcu trafiła na policję. Policja, delikatnie mówiąc, nie spieszyła się z wyjaśnieniem sprawy ze względu na niską kwotę wyłudzenia. Nieomal nawet zamknęła śledztwo z powodu niewykrycia sprawcy.
Dodałem dwa do dwóch, zrzuciłem zebrane dane w miłego dla oka JSONa i przekazałem go mojej oszukanej znajomej. Policjantka prowadząca sprawę nie chciała z oczywistych względów przyjąć danych (zewnętrzny nośnik, na pewno dajecie mi na nim jakieś wirusy!), ale ostatecznie się przełamała i wzięła pendrive’a do weryfikacji. Na szczęście dane ostatecznie okazały się przydatne. 😉
Po kilku tygodniach okazało się, że “właściciele sklepu” poszukiwani są za oszustwa na terenie całego kraju i że toczy się w ich sprawie śledztwo na drugim końcu Polski. Nie będę Was zanudzał historiami o tym, jak opieszały jest wymiar sprawiedliwości w naszym kraju, ale dość powiedzieć, że sąd musiał wysyłać pisma do prokuratury, w których domagał się przyspieszenia prac, a “pracowity” prokurator wydał pismo ze wsteczną datą… 26 grudnia.
Koniec, ale czy szczęśliwy?
Ostatecznie, po niemal 2 latach batalii z różnymi organami wymiaru sprawiedliwości, udało się uzyskać wyrok skazujący delikwentów, chociaż należy powiedzieć, że kara była nieadekwatnie niska do skali wyłudzeń. Poza tym wydanie wyroku a jego egzekucja to dwie różne historie. Sąd w ogóle się nie przejmuje, że państwo oszukaństwo dalej nie wyroku nie wykonało, nie zapłaciło i jest na wolności.
No więc dlaczego lepiej kupować w znanych sklepach?
Jaka jest puenta tej historii? Według mnie są dwie. Pierwsza to taka, że jeżeli zamierzacie zostać oszustami, to zadbajcie o opsec (bezpieczeństwo operacyjne) – tych przestępców zgubiła zbytnia pewność siebie i to, że nie zadbali o szczegóły. Posługiwali się własnymi danymi przy rejestracji domen. A druga, taka już na serio, to nauczka dla nas wszystkich, aby kupować w zaufanych sklepach. Jeśli korzystacie z jakiejś strony po raz pierwszy, zweryfikujcie jego wiarygodność. Sprawdźcie w rejestrach, czy taka firma istnieje, przeczytajcie regulamin sklepu, w tym regulamin zwrotów. Sprawdźcie, jakie są dostępne metody płatności. poczytajcie w internecie opinie na temat tego sklepu. A jeśli cokolwiek wzbudzi Wasze wątpliwości, lepiej zamknijcie tę stronę i zróbcie zakupy na stronie, którą znacie. 😉
Odkryj więcej z Bezpieczny Blog
Zapisz się, aby otrzymywać najnowsze wpisy na swój adres e-mail.