Pozor: Če vam bo pisala "Anja", morajo zazvoniti vsi alarmi

Korak za korakom: kako so naplahtali našega bralca

Bralec Siol.net je z nami delil dogodek, ki se mu je pripetil v začetku februarja. Čeprav se ima za tehnološko precej pismenega ter opravlja delo, ki zahteva napredno poznavanje računalništva in sodobnih tehnologij, v ključnem trenutku ni bil dovolj pozoren, to pa ga je stalo več sto evrov.

Bralec je prek slovenskega portala za male oglase Bolha.com za 20 evrov prodajal izdelek, za katerega je zanimanje izkazala oseba, ki je stik z njim vzpostavila prek aplikacije WhatsApp in se mu predstavila kot Anja iz Murske Sobote. Ker je bila njena navedena mobilna telefonska številka slovenska, naš bralec ni takoj posumil, da bi lahko bilo kaj narobe.

Foto: Bralec

"Anja" je nato predlagala nekaj, ob čemer bi morali zazvoniti vsi alarmi, saj gre za eno najpogostejših taktik spletnih goljufov, ki prežijo na prodajalce in občasno tudi na kupce rabljenih izdelkov na platformah, kot sta Bolha.com ali Facebookova tržnica.

Izdelka naj ne bi mogla prevzeti osebno, zato je ponudila, da uredi prevzem izdelka prek znane dostavne službe GLS. Bralec se je s tem strinjal, "Anja" pa ga je pozvala, naj ji posreduje svoj e-poštni naslov, kamor bo prejel povezavo za prejem plačila.

E-poštno sporočilo, ki ga je prejel naš bralec, je bilo poslano z naključnega e-poštnega naslova Applove storitve iCloud, kjer si lahko uporabniški račun ustvari vsak, in ne z uradnega naslova družbe GLS. Naš bralec tega ni opazil, ker je bil po lastnih besedah preveč obseden z idejo, da se bo končno znebil izdelka, ki ga je neuspešno prodajal že več mesecev. 

Foto: Bralec

Priložena spletna povezava je vodila do spletne strani z obrazcem za vnos podatkov o plačilni kartici na spletni strani z imenom Swapped. Naš bralec je to kljub temu, da so se mu na tej točki že porajali dvomi, saj ob kliku na povezavo ni pristal na spletišču družbe GLS, tudi storil.

Po njegovih navedbah je menil, da gre za sistem za potrjevanje istovetnosti kreditne kartice, ki je podoben tistemu, ki ga uporablja ponudnik plačilnih storitev PayPal. Ta namreč vsakič, ko uporabnik svojemu računu doda novo kreditno kartico, to bremeni z zneskom v višini enega dolarja, ki ga uporabniku nato vrne (vir). 

Kot opozarjajo na portalu Varni na internetu, goljufi povezavo do obrazca za vnos podatkov o plačilni kartici pošiljajo tudi prek sporočil SMS. Kot posebno nevarnost navajajo dejstvo, da uporabniki in uporabnice dejstva, da jih nekdo poskuša prevarati, pogosto ne prepoznajo tudi zato, ker spletna platforma Bolha.com prek storitve, imenovane Brez skrbi, dejansko omogoča neposredna plačila s kreditno kartico. Kdor ni pozoren na naslov spletne strani, kamor je bil preusmerjen, bo zato skoraj zagotovo oškodovan. 

Le nekaj minut po tem, ko je "Anja" našega bralca vprašala, ali je dobil plačilo za izdelek, je ugotovil, da je bila njegova kreditna kartica bremenjena za več sto evrov. Na tej točki je ravnal pravilno: komunikacijo z goljufi je prekinil, dogodek pa takoj prijavil svoji banki in kasneje tudi policiji. 

Slovenska uporabnica Facebooka je pred časom opisala, kako je podlegla lažni ponudbi za nakup izdelka na platformi Facebook Marketplace oziroma na Facebookovi tržnici. Goljufi se takrat niso izdajali za GLS, temveč za Pošto Slovenije. Foto: Posnetek zaslona

Pogosti glavni opozorilni znaki, da vam nekdo poskuša z zvijačo ukrasti denar

- Goljufi bodo komunikacijo s potencialno žrtvijo s platforme, kjer so z njo sprva navezali stik, najsi gre za družbeno omrežje ali platformo za male oglase, poskusili preusmeriti v eno od komunikacijskih aplikacij, kot sta WhatsApp ali Viber.

- Goljufi bodo v primeru prodaje oziroma nakupovanja fizičnih izdelkov vselej zavračali stik v živo, saj za to v resnici nimajo nobenega interesa in zelo pogosto niso v isti državi ali na isti celini.

- Potencialno žrtev bodo goljufi skoraj zagotovo poskusili preusmeriti na spletno stran z obrazcem za vnos podatkov o plačilni kartici ali celo obrazcem za dostop do spletne oziroma mobilne banke. 

- Povezavo do omenjene spletne strani bodo goljufi posredovali prek sporočila SMS ali prek e-pošte. V obeh primerih je potrebna izredna pozornost pri naslovu spletne strani, ki nikoli ni resnična izpostava dostavnih služb ali drugih storitev, temveč gre za naključne neznane naslove ali kombinacije črk in številk. Občasno so naslovi tudi skrajšani z uporabo orodij oziroma storitev, kot je TinyURL. 

Primer goljufivega sporočila s spletno povezavo, zamaskirano s storitvijo TinyURL. Foto: Posnetek zaslona

- Goljufi bodo s potencialnimi žrtvami komunicirali v slovenskem jeziku, in sicer vse bolj prepričljivo, saj si pri tem pomagajo s prevajalniki, kot je Google Translate, in v zadnjem obdobju tudi z umetnointeligenčnimi pomočniki, kot so ChatGPT, Copilot in DeepSeek. Telefonskim klicem se bodo načeloma sicer izogibali. Pozorno oko bo v zapisih morda vseeno lahko opazilo določene napake in nekonsistence, ki jih nekdo, ki pogovorno govori in piše slovenščino, praviloma ne bi naredil. 

Lažna spletna stran dostavne službe UPS. Izdaja jo URL oziroma naslov spletne strani. Foto: Posnetek zaslona

Le eden od mnogih Slovencev in Slovenk, ki so jih naplahtale različne "Anje" in "Jolande"

Slovenski nacionalni odzivni center za kibernetsko varnost (SI-CERT) je v letnem poročilu o kibernetski varnosti v številkah za leto 2023 razkril, da je med drugim obravnaval več tisoč z goljufijami povezanih incidentov, ki so vključevali goljufije na področju spletnega nakupovanja, goljufije z lažnim predstavljanjem za krajo osebnih podatkov in goljufije z vnaprejšnjim plačilom, kakršni je podlegel naš bralec.

Resnična številka tovrstnih dogodkov je najverjetneje sicer višja, saj vsi oškodovanci tega, da so bili žrtev prevare, ne prijavijo.

Pregled goljufij, ki jih je v letu 2023 obravnaval SI-CERT. Poročila o kibernetski varnosti v številkah za leto 2024 še niso izdali. Foto: SI-CERT

Kakšna je v primeru prijav spletnih prevar vloga SI-CERT?

"Na SI-CERT ob prejetju tovrstnih prijav sprožimo ustrezne postopke za odstranitev oziroma blokado zlonamernih (phishing) spletnih strani, ki so namenjene kraji podatkov kreditnih kartic. Prav tako obvestimo banke, če pridobimo podatke o transakcijskih računih, ki jih uporabljajo spletni prevaranti – gre za račune tako imenovanih denarnih mul," so sporočili za Siol.net. 

Kaj storiti, če postanemo žrtev takšne prevare?

V več slovenskih bankah – nasvete, kako naj ravna žrtev zgoraj opisane goljufije, so za Siol.net posredovali v NLB, Deželni banki, Sparkasse in Delavski hranilnici – svetujejo naslednje korake:

- Nemudoma obvestite svojo banko ali hranilnico, ki bo blokirala vse ogrožene digitalne in plačilne kanale.

- Dogodek prijavite policiji, saj je kazenska prijava ključna za možnost preiskave in pregona storilcev.

- Če sumite, da ste postali žrtev prevare, izbrišite vse morebitne aplikacije ali programe za oddaljeni dostop do svojega računalnika ali mobilnega telefona.

- V primeru kompromitacije osebnih podatkov sta zelo priporočljiva menjava gesel in dodatno preverjanje drugih digitalnih kanalov, ki bi lahko bili ogroženi.

- Če ste trenutno še vedno v komunikaciji z osebami, za katere sumite, da bi lahko bile udeležene v prevari, komunikacijo takoj prekinite.

Uporabniki in uporabnice mobilnega bančništva, ki želijo ukrepati takoj, lahko v večini primerov plačilno kartico, za katero sumijo, da je bila zlorabljena oziroma je bila zagotovo zlorabljena, blokirajo tudi sami v aplikacijah za dostop do spletne oziroma mobilne banke oziroma tam prijavijo morebitno zlorabo:

Možnosti za začasno blokado kartice oziroma prijavo zlorabe v aplikaciji mBank@Net. Foto: Posnetek zaslona

Preiskanost spletnih goljufij je razmeroma nizka

Policija skladno z zakonodajo v vsakem primeru obravnava kaznivo dejanje, v tovrstnih primerih gre za kaznivo dejanje goljufije (211. člen KZ-1), in izvede vse, kar je potrebno, da se zavarujejo odtujena sredstva ter identificira storilca, so za Siol.net sporočili na policiji. 

Ocenili so, da je preiskanost spletnih goljufij v zadnjih letih na letni ravni od 15- do 25-odstotna. Vse oškodovance v spletnih prevarah sicer opozarjajo, da naj čim prej podajo prijavo na najbližji policijski postaji – to je storil tudi naš bralec – ali na spletnem mestu, ki omogoča elektronsko naznanilo kaznivega dejanja policiji (povezava).

Slovenski nacionalni odzivni center za kibernetsko varnost (SI-CERT) opozarja, da je kazenski pregon združb ali posameznikov, ki so vpleteni v spletne prevare, izjemno težak in zahteven, saj gre pogosto za skupine, ki so zunaj jurisdikcije EU. Foto: Inštitut za strateške rešitve

Pa se prijavljanje takšnih dogodkov sploh izplača, če je njihova preiskanost relativno nizka?

Pri Delavski hranilnici so za Siol.net pojasnili, da so redni policijski pregoni tovrstnih kriminalnih dejanj v večini primerov z vidika posameznikov sicer neuspešni, saj so storilci pogosto organizirani v mednarodne kriminalne združbe in uporabljajo napredne metode prikrivanja sledi. Kljub temu pa je dosledno prijavljanje vseh primerov, tudi manjših zneskov, ključno za identifikacijo vzorcev delovanja in morebitno razbitje kriminalnih združb, so poudarili prednost prijav oškodovanja v spletnih prevarah.

Da je obravnava tovrstnih kaznivih dejanj v praksi zelo težavna, meni tudi odvetnik Antonio Novak iz celjske odvetniške pisarne Martinčič Novak.

"Storilci sledi dobro zakrijejo. Ponavadi uporabljajo račune tako imenovanih spletnih bank oziroma neobank, ki so v tujih državah, od koder je denar prenakazan na druge račune, s čimer se zabriše sled tako denarja kot tudi prejemnikov nakazil. Odkrivanje storilcev in denarja zaradi prisotnosti mednarodnega elementa zahteva tudi mednarodno sodelovanje s tujimi organi pregona in/ali Interpolom, kar lahko na odkrivanje kaznivih dejanj vpliva v negativnem smislu," je za Siol.net opozoril Novak.

Delavska hranilnica: "Napadalci uporabljajo izredno dodelane pristope, s katerimi žrtve prepričajo, da posredujejo občutljive kartične in dostopne podatke ter enkratne varnostne kode za potrjevanje transakcij. Ko uporabnik lastnoročno potrdi transakcijo ali vnese varnostno kodo, s tem obide tudi zaščitne mehanizme, ki bi sicer lahko preprečili sumljive transakcije. V dobi takojšnjih plačil in avtoriziranih kartičnih plačil, ki jih uporabnik sam potrdi, je transakcija izvedena v trenutku avtorizacije. Napadalci nato hitro preusmerijo sredstva na več bančnih računov in jih pogosto pretvorijo v kriptovalute, kjer sledenje denarju postane izjemno oteženo. Zaradi teh dejavnikov so možnosti za povrnitev denarja zelo majhne." Foto: Shutterstock

Kakšne so možnosti, da žrtev spletne goljufije svoj denar dobi nazaj? Ne najboljše, opozarja odvetnik.

Kot pojasnjuje odvetnik Antonio Novak, odgovornost bank kot ponudnikov plačilnih storitev pri neodobrenih transakcijah ureja Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED) v 136. členu in naslednjih.

"Praviloma obveznost banke povrniti znesek transakcije, ki je bila izvedena s pomočjo spletne prevare, nastane, če gre za tako imenovano neodobreno plačilno transakcijo. To pomeni, da uporabnik transakcije ni odobril tako, da je podal soglasje za njeno izvršitev. Spletne prevare bodo praviloma spadale v to kategorijo, saj oškodovanci denarja ne nakažejo prostovoljno, pač pa so zavedeni s strani spletnih goljufov," pojasnjuje.

Toda obveznost bank povrniti znesek neodobrene transakcije ne velja brezpogojno, opozarja Novak.

"Obveznost je, na primer, izključena, kadar je izvršitev neodobrene plačilne transakcije posledica hude malomarnosti uporabnika. Tudi on je namreč s svojimi bančnimi podatki dolžan ravnati tako, da v čim večji meri prepreči možnosti zlorabe. Konkretno ZPlaSSIED uporabniku nalaga dolžnost, da mora zagotoviti vse razumne ukrepe, da bo zavaroval osebne varnostne elemente plačilnega instrumenta," je pojasnil za Siol.net.

Odvetnik Antonio Novak: "V primeru, ko je žrtev prevare zavedena in podatke posreduje v dobri veri, da gre za legitimno transakcijo, je možnost uspeha z zahtevkom pri banki omejena. Uveljavljanje zahtevkov za povračilo neodobrenih transakcij ne deluje po principu avtomatizma v smislu zagotovljenih možnosti za uspeh. Pri tem velja še dodati, da se vedno vsak primer presoja posebej." Foto: Antonio Novak

Če je uporabnik žrtev spletne goljufije in zahteva povračilo zneska neodobrene transakcije, ZPlaSSIED določa, da je banka tista, ki bo morala dokazati, da je uporabnik ravnal s hudo malomarnostjo, kar banki daje podlago, da zahtevku uporabnika ne ugodi. Na prvi pogled se morda zdi, da je uporabnik s tem na boljšem, vendar pridobitev takega dokaza za banko pogosto ni posebej težavna, opozarja Novak.

"Nobenih transakcij praviloma ni mogoče izvesti brez podatkov o vsaj plačilni kartici, skoraj vedno pa mora uporabnik transakcijo še potrditi prek mobilne aplikacije ali SMS-sporočila. Večina bank in ponudnikov plačilnih storitev uporablja tudi tako imenovani sistem močne avtentikacije strank, kar pomeni avtentikacijo z uporabo dveh ali več elementov, ki spadajo v kategorijo znanja uporabnika (nekaj, kar ve samo uporabnik – davčna številka, PIN-koda, potrditveno geslo na SMS), posesti uporabnika (nekaj, kar je v izključni posesti uporabnika – mobilni telefon z aplikacijo spletne banke, bančna kartica) in neločljive povezanosti z uporabnikom (nekaj, kar uporabnik je – biometrični podatek, kot je prstni odtis, prepoznava obraza). Ti elementi so med seboj neodvisni, kar pomeni, da kršitev enega elementa ne zmanjšuje zanesljivosti drugih, in so zasnovani tako, da varujejo zaupnost podatkov, ki se preverjajo," je pojasnil. 

Kaj to pomeni? Banka bo zaradi tega po mnenju Novaka relativno brez težav, s pregledom zgodovine transakcij v internih zapisih, lahko dokazala, da je uporabnik opravil avtentikacijo plačilne transakcije, četudi je bil v to zaveden, da je bila plačilna transakcija pravilno evidentirana in knjižena ter da na njeno izvršitev ni vplivala nikakršna tehnična okvara ali druga pomanjkljivost storitve, ki jo je opravil ponudnik plačilnih storitev.

"S tem, ko bo banka dokazala, da je uporabnik potrdil transakcijo, bo hkrati lahko vzpostavila domnevo, da je to storil bodisi prostovoljno bodisi je bil hudo malomaren. Brez uporabnikovega posredovanja podatkov o plačilnem sredstvu in/ali izrecne potrditve transakcije te namreč ne bi bilo mogoče opraviti," je dejal Novak. 

Glede tega, ali je žrtev prevare upravičena do vračila denarja, je po navedbah Banke Slovenije ključna presoja, ali je uporabnik transakcijo odobril in ali je izvršitev neodobrene plačilne transakcije posledica prevare ali goljufije na račun uporabnika oziroma ali uporabnik naklepno ali zaradi hude malomarnosti ni izpolnil ene ali več obveznosti v zvezi s plačilnim instrumentom v skladu s 132. členom ZPlaSSIED. Foto: STA ,

Opozoril je tudi, da banke veliko pozornosti namenjajo tudi obveščanju komitentov o prevarah in se sklicujejo na splošno razširjenost tovrstnih goljufij, kar pomeni, da se od uporabnikov pričakuje povečana previdnost pri prepoznavi morebitnih elementov, ki kažejo, da ne gre za legitimno transakcijo.

"Čeprav je torej v izhodišču banka tista, na kateri leži dokazno breme, bo tega relativno brez večjih težav prevalila na uporabnika. Če bo uporabnik želel povračilo denarnega zneska, za katerega je bil oškodovan, bo v praksi pogosto on tisti, ki bo moral dokazati, da podatkov o plačilnem sredstvu ni posredoval nikomur oziroma transakcije dejansko ni odobril ali da je šlo za takšno goljufijo, kjer niso obstajali elementi, na podlagi katerih bi lahko sklepal, da gre za nelegitimo transakcijo," je sklenil Novak. 

V primeru, da je bil uporabnik žrtev sofisticirane goljufije, kjer podatkov ni posredoval sam ali dejansko ni avtoriziral transakcije, ne bo v bistveno boljšem položaju, saj bo to zanj pomenilo relativno velik strošek. Najeti bo moral usluge izvedenca ustrezne računalniške stroke, po potrebi plačati za forenzični pregled elektronskih naprav in podobno, še opozarja celjski odvetnik.

Siol.net s prispevki v tematskem sklopu Aktivno državljanstvo predstavlja poglobljene vsebine, tematike in procese, da lahko državljani sprejemajo informirane odločitve o svojem življenju in delovanju družbe, katere del so. Tako se krepi poznavanje demokratičnih procesov in demokracije nasploh. Brez kakovostnih, verodostojnih in preverjenih informacij, ki jih zagotavljajo mediji, kot je Siol.net, državljani težko soustvarjamo demokratično družbo.