Marketplace Vinted
Vinted je litovský marketplace, ktorý poskytuje užívateľom možnosť predaja, nákupu a výmenu tovaru – vo väčšine prípadov sa jedná o oblečenie alebo doplnky. Vinted má v súčasnosti viac ako 75 miliónov registrovaných používateľov v Európe a Severnej Amerike a je prítomný na 18 trhoch.
Od mája tohto roku bolo zaznamenaných niekoľko pokusov o podvodné konanie. Na tieto aktivity súvisiace práve s portálom Vinted.sk už upozornila aj Polícia SR, ktorá zdieľala na svojom Facebooku príspevok.
Ako to celé prebieha
Samotný útok prebieha tak, že si útočník vyberie potenciálnu obeť, ktorá v rámci portálu predáva tovar. Obeťami zvyčajne bývajú noví užívatelia, ktorí práve inzerovali svoju ponuku. Správami priamo na portáli alebo v aplikácii Vinted presvedčí obeť, že si daný produkt chce zakúpiť a v prvom kroku vyžiada emailovú adresu. Dôveryhodnosť nadobúda zaslaním snímky obrazovky, v ktorej sa píše, že predávajúci je povinný poskytnúť emailovú adresu v chate a tiež to, že dostane email, v ktorom môže potvrdiť objednávku. Útočník sa taktiež snaží vyvolať pocit urgencie vetou „Predávajúci musí prijať objednávku e-mailom do 3 hodín„.
Obrázok 1 Ukážka konverzácie z aplikácie Vinted
Následne na danú emailovú adresu útočník zašle správu, ktorej ukážku vidieť nižšie:
Obrázok 2 Ukážka podvrhnutej emailovej správy
Email obsahuje odkaz (tlačidlo „Potvrdiť objednávku“), ktorý po otvorení vyžaduje zadanie údajov o platobnej karte z dôvodu zaslania peňazí za tovar na účet. Po zadaní platobných údajov môžete v krátkej dobe očakávať nechcený prevod peňazí na účet podvodníka.
Pri akýchkoľvek tlačidlách alebo odkazoch v emailových správach si vždy najprv overte, kam daný odkaz naozaj smeruje priložením kurzoru. Legitimitu webovej stránky si môžete overiť napríklad v nástroji https://urlscan.io/, ktorý taktiež poskytuje vytvorenie snímky danej webovej stránky. Už na prvý pohľad email obsahuje syntaktické a gramatické chyby. Tiež si môžeme všimnúť, že text nachádzajúci sa v päte emailovej správy nie je v slovenskom, ale slovinskom jazyku – toto útočníkom celkom nevyšlo :-).
Pri takýchto emailových správach je taktiež dôležité všímať si odkiaľ prichádzajú. To, či je emailová adresa legitímna si vieme overiť na rôznych webových stránkach, napríklad https://verifalia.com/validate-email:
Obrázok 3 Overenie emailovej adresy
Výsledok overenia potvrdzuje, že daná emailová adresa je „nedoručiteľná“, a teda s najväčšou pravdepodobnosťou nelegitímna. V dnešnej dobe je obzvlášť dôležité byť obozretný pri práci s internetom a emailovou schránkou. Nie nadarmo sa vraví, že človek je najslabším článkom bezpečnosti. Nikdy nezadávajte údaje o svojej platobnej karte, pokiaľ naozaj nechcete niečo zaplatiť, nezdieľajte citlivé údaje, sledujte gramatiku a syntax emailových správ, a overujte si odkazy a odosielateľa.
Nečinnosťou takéto praktiky nepriamo podporujeme
Nenechajte podobné pokusy bez odozvy. Aj keď sa vám podarilo prekuknúť zámer podvodníkov, ostatní užívatelia podobné šťastie mať nemusia. Všetky takéto útoky nahláste prevádzkovateľovi portálu a príslušným orgánom. Zo skúsenosti je známe, že podvody do sumy 266€ nie sú klasifikované ako trestný čin.
Z toho dôvodu by bolo možné vec posúdiť “len” ako priestupok podľa ustanovenia § 50 ods. 1 zákona o priestupkoch. Trestné oznámenie, resp. oznámenie o spáchaní priestupku môžete podať na najbližšom obvodnom oddelení Policajného zboru SR. Vo všeobecnosti je však známe, že takéto podvody orgány činné v trestom konaní objasnia vo veľmi malých percentách prípadov.
