Ostatnio dostałem maila z ofertą od pewnej firmy, która zajmuje się zwiększaniem zasięgów na Instagramie. Spoiler w pierwszym akapicie – tak, to był scam.
Mail przygotowany był bardzo dobrze – był spersonalizowany i odwoływał się do tego, co rzeczywiście mam napisane w biogramie na moim profilu. Dostałem też spersonalizowany link do oferty. Czyli ktoś się przyłożył do stworzenia bota, który rozsyła takie wiadomości.
Spotkało się to z moim zainteresowaniem, więc zacząłem drążyć. Ostatecznie obiecywali dość rozsądne zasięgi w stosunku do ceny – od tysiąca obserwujących miesięcznie wzwyż za 100 dolarów (też miesięcznie). Nie jakoś super tanio, ale wydawać by się mogło, że adekwatnie do usługi. Szczególnie, że miały to być konta prawdziwych ludzi, a nie botów.
Modus operandi
Po otwarciu owego spersonalizowanego linka (a najpierw sprawdzeniu go na virustotal.com pod kątem malware) niestety przekonałem się, że tylko odnośnik był spersonalizowany. Przenosił on po prostu do strony z darmowym okresem próbnym. No trudno, mały minus, patrzymy dalej. Drugim minusem było to, że link gramjoy[.]com przenosił na stronę upgram[.]com. To nic, takie przekierowania się zdarzają czasami z różnych powodów, nie wszystkie mają złośliwe podłoże. Na razie zapaliło się tylko żółte, a nie czerwone światło.
Strona miała przyzwoitą politykę prywatności i warunki korzystania z usługi. (A jak, oczywiście, że to sprawdziłem! Nie byłbym sobą, gdybym był kimś innym.) Wciąż nic nie wskazuje na scam.
Brakowało tylko jednego – danych firmy, która tę usługę świadczy. Ale ja się na prawie stanu Floryda nie znam, może nie ma takiego obowiązku. Stwierdziłem więc, że poszukam sam.
Jak się pewnie domyślacie, nie ma takiej firmy jak Gramjoy czy Upgram (to znaczy są, ale to nie te i robią coś innego). Szperając dalej ustaliłem, jak wygląda model biznesowy tego przedsięwzięcia.
- Zamawiasz bezpłatny okres próbny, który trwa 7 dni. Musisz oczywiście podać dane karty z góry. Ale teraz każdy, kto sprzedaje usługi w modelu subskrypcyjnym, tak robi. Więc nie budzi to niczyjego podejrzenia.
- Okazuje się, że magiczne algorytmy, które mają generować ruch na Twoim fanpage, nie istnieją. Szokujące, wiem. Sam nie mogłem uwierzyć.
- Ponieważ algorytmy nie istnieją i nie zyskujesz nowych obserwujących, chcesz zrezygnować z usługi. No i tu kończy się miękka gra i działanie „jeszcze w granicach prawa”. Od tego momentu firma staje się niezbyt responsywna. Czytaj – w ogóle nie reagują na Twoje wiadomości i próby anulowania subskrypcji.
- Kasa dalej leci, ponieważ aby skorzystać z darmowego okresu próbnego, podałeś przecież dane swojej karty kredytowej.
Zapytacie pewnie „ale jak to, przecież w banku tamta strona musiała podać jakieś dane, gdzie trafiają te pieniądze?”. Otóż firma, która zgłasza się po pieniądze, oficjalnie zajmuje się… wynajmem i sprzedażą łodzi. W sumie ma to sens, w końcu jesteśmy na Florydzie. Mamy więc kolejny element „legalności” – środki trafiały do faktycznie działającego podmiotu gospodarczego. Nie, żeby to coś zmieniało dla oszukanych osób (a jest ich sporo).
Co robić w takiej sytuacji?
Nieważne, jak wysublimowany jest scam, nic nie zwalnia nas z zachowania ostrożności. W tym przypadku co prawda łańcuszek został zapleciony bardzo misternie i z zewnątrz oraz dla operatorów płatniczych wszystko wyglądało jak legalnie działający biznes.
Jak na pewno zauważyliście, po drodze pojawiło się jednak kilka ostrzeżeń. Żadne jednak nie było na tyle poważne, żeby samo w sobie mówić STOP. Jednak jeśli zbierzemy je do kupy – brak danych rejestrowych czy nieoczywiste przekierowania z adresu na adres, to powinno nam się zapalić czerwone światło.
A jeśli czerwone światło zapaliło się zbyt późno i podaliśmy już dane karty? Cóż, w tym przypadku nie tracimy zbyt wiele na raz, raptem 100 dolarów miesięcznie. Mówię „raptem”, bo często taki scam może skończyć się znacznie gorzej. Na przykład wyczyszczeniem konta ze wszystkich pieniędzy. W takiej sytuacji, aby zminimalizować straty, należy niezwłocznie skontaktować się z bankiem i zablokować kartę. Pamiętajcie, że w przypadku takich subskrypcji warto korzystać właśnie z karty kredytowej, a nie debetowej. Ta pierwsza umożliwia nam bowiem skorzystanie z procedury chargeback.
Odkryj więcej z Bezpieczny Blog
Zapisz się, aby otrzymywać najnowsze wpisy na swój adres e-mail.