Jak odzyskałem 20000zł wpłacone przez członka rodziny na konto oszusta?

TL;DR socjotechnika

Przykra wiadomość

Niestety dostałem po fakcie wiadomość że starsza osoba z mojej rodziny dokonała dobrowolnie przelewu znacznej sumy oszczędności na konto podobno Brokera oferującego spory zysk poprzez zainwestowanie ich na giełdzie w dobre “wschodzące” spółki.

Jak to się zaczęło – list który dostałem od ofiary:

“W 1-szej połowie Marca tego roku miałem kilka telefonów proponujących dobre inwestycje na giełdzie.

Nie planowałem takowych inwestycji jednak drążenie tematu przez Pana przedstawiającego się jako Tomasz Markowski z warszawskiej firmy Finen Sp. z.o.o. i dzwoniącego z nr telefonu: 22 3970967 spowodowało że dałem się w końcu złapać i w dniu  25 marca 2020r. ok godz 1430 przelałem pieniądze na konto tej firmy w Banku City Handlowym o nr :  

04 1030 0019 0109 8503 0018 3531

Firma poprosiła mnie również o przesłanie potwierdzenia na adres: [email protected]

Te pieniądze w kwocie 20tys zł miały zostać jak rozumiałem zainwestowane w amerykańskie spółki: Biomedica i Tesla.

Krótko potem miałem kolejny telefon tym razem z działu finansowego (z nr 732084017) proponujący zwiększenie inwestycji o kolejne 20tys zł by rzekomo skorzystać ze złotej karty inwestora.

Na ta propozycje się już nie zgodziłem.

Następnego dnia rano czyli 26 Marca br po konsultacji i prawie pewności ze padłem ofiara oszustwa zgłosiłem fakt przelania nieopatrznie pieniędzy do swojego Banku PEKAO SA gdzie Pani przyjęła zgłoszenie i poradziła mi skontaktować się jak najprędzej z Policją co też uczyniłem, dzwoniąc do lokalnego komisariatu.

Niestety Bank City Handlowy nie zgodził się na zatrzymanie tego przelewu bo jako odbiorca podobno nie mógł tego uczynić.

Tego samego dnia po południu ok godz 1630 dzwonili do mnie ponownie tym razem Pan Tomasz Zawadzki z nr tel: 22 153 0794 dalej namawiając na zwiększenie wkładu i proponując pomoc w inwestowaniu. Pytał się czy ściągnąłem z ich strony aplikacje Meta Trader 4 do inwestowania na giełdzie. Tego nie uczyniłem obawiając się zainfekowania mego komputera.

Powiedziałem mu że nie znam się na tym i myślałem że firma maklerska to za mnie uczyni a potem po odliczeniu prowizji będę mógł pieniądze wypłacić.

Dnia kolejnego 27 Marca ok godz 0930 miałem kolejny telefon tym razem od doradcy Pana Piotra Porażyńskiego z nr telefonu 221530794 a potem ok godz 11:30 z nr 732082878 który przekonywał bym w końcu zainstalował wspomnianą aplikację, bo bez tego niemożliwe będzie odzyskanie pieniędzy, muszę najpierw coś zainwestować, by skorzystać z opcji „cash back”.”

Koniec listu od ofiary.

Badanie gruntu

Po krótkiej analizie tematu sprawdzenia kont bankowych i godzin sesji eliksir już wiedziałem że może być problem żeby cokolwiek odzyskać.

Po kilku chwilach wiedziałem że szajka oszustów działa już dosyć długo, artykuł z3s o ich wcześniejszych poczynaniach za pomocą innych spółek, innych domen ale tym samym schematem:

Nowe poszlaki

Przelew został wykonany na dane MY INVESTS MAZOWIECKA 11/49 00-052 Warszawa,

Po wykonaniu przelewu w ich panelu dane firmy zmieniły się na Pol Consierge sp.z.o.o. pod tym samym adresem, numer konta został zmieniony na numer z banku PKO BP, prawdopodobnie żeby szybciej otrzymać kolejny przelew, co więcej oszust pomylił banki Pekao S.A. z PKO BP i wpisał “Pekao Bp”:

Pod wskazanym adresem nie mieści się żadna taka firma. Znalazłem natomiast usługę wynajmu wirtualnego biura pod tym adresem oferowanym przez firmę VSL System www.biurowirtualnewarszawa.pl

gdzie nawet ogłaszają się na olx:

Prześwietlenie spółek:

FINEN SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

założona 12.07.2019

REGON: 383876793, NIP: 5252794829

 ul.  MAZOWIECKA, nr 11, lok. 49, miejsc. WARSZAWA, kod 00-052

zarejestrowana na:

FORTUNA PAULINA 87100510842

Kapitał zakładowy 25 000,00 ZŁ

POL CONSIERGE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

założona 01.04.2015

REGON: 361220495, NIP: 7010475932

ul.  MAZOWIECKA, nr 11, lok. 49, miejsc. WARSZAWA, kod 00-052

zarejestrowana na:

GRZEGORZ ROMAN SAWICKI 89033016158

Kapitał zakładowy 5 000,00 ZŁ

Prawdopodobnie jedynie spółka Pol Consierge sp.z.o.o jest w posiadaniu oszustów, lub mają dostęp do jej konta. Innych nazwy zostały wykorzystane jedynie dlatego że zarejestrowane są pod tym samym adresem.

Numery z których dzwonili:

  • 221530794
  • 223970980
  • 732082878

były to numery warszawskie i jeden polski numer komórkowy sieci P4. Nie było w sieci żadnych opinii na ich temat. Wykonałem jednak szybki test, krótką sekundową próbę połączenia. Tuż po usłyszeniu sygnału się rozłączyłem jednak za nieodebraną 1-sekundową rozmowę została naliczona opłata. Wiedziałem już że mam do czynienia pewnie z providerem numerów wirtualnych. 

Doszedłem do tego że wszystkie zostały zarejestrowane po przez irlandzką usługę numerów wirtualnych www.didww.com 

DNSy domeny myinvests.pl kierują na ns1.proservice.ge i ns2.proservice.ge czyli gruziński hosting zarejestrowana 31.12.2019 przez niemieckiego providera 1api.net na dane:

David Interfox

Interfox

[email protected],

0117 Tbilisi, GE

+995.551905555

Sedno

Przystąpiłem do działania. Na telefonie ofiary zainstalowałem kilka aplikacji, m.in acr i identyfikator numerów. Do poczty ofiary podpiąłem tracking maili. Wykonałem wywiad aby dowiedzieć się wszystkich szczegółów poprzednich rozmów. Przejąłem telefon i pocztę ofiary. Dzięki zmianie głosu udało mi się przekonać oszusta że “po ostatnim spacerze chyba mnie przewiało” zachorowałem i dlatego mam taką chrypę. Dzięki temu udało mi się zyskać na czasie dalej sprawiając wrażenie nieświadomego postanowiłem utworzyć obraz osoby majętnej starszej gotowej na dalsze inwestycje. Rozmowy trwały łącznie prawie miesiąc w odstępach paru dniowych. Początkowo sprowadzały się do problemów z oprogramowaniem i obyciem ze sprzętem aby zyskać czas na analizę użytego oprogramowania. Była to tak naprawdę spersonalizowana wersja MetaTrader 4 skonfigurowana do pracy z ich serwerem udostępniona tylko pod inną nazwą niż na stronie producenta, ikonka i metadane jednak wskazywały jednoznacznie na MetaTrader 4. Podobny efekt uzyska się pobierając oryginalne oprogramowanie https://www.metatrader4.com/en/download jednak z drugiego linku do starszej wersji 4:

https://download.mql5.com/cdn/web/metaquotes.software.corp/mt4/mt4setup.exe?utm_source=www.metatrader4.com&utm_campaign=download

i wskazanie w konfiguracji brokera myinvests.pl po tym kroku następuje konfiguracja i pobieranie wielu dodatkowych plików do folderu tymczasowego na czym jak wynikło z dalszych rozmów bardzo zależało oszustom:

Oflagowane przeze mnie maile wysyłane do nich zostały odczytane jedynie z adresów ip 66.249.82.0 oraz 185.134.22.96. Pierwszy z nich wskazuje na proxy google, prawdopodobnie użyli trybu uproszczonego lub innej metody na użycie serwerów google. Drugi to VPN wskazujący na Londyn.

Kod strony myinvests.pl pomógł ustalić że oszuści skorzystali z szablonu wordpressa chimper firmy colorlib, jednak nie używali tego silnika:

https://colorlib.com/wp/template/chimper/

Zmienili jednak grafiki, kolory i pousuwali większość elementów.

Po przekonaniu oszusta że chciałbym wykonać przelew w dolarach na stronie pojawiły się dodatkowe numery kont:

Wtedy też oprócz widocznych kont w kodzie strony po zalogowaniu odkryłem inne schowane numery kont którymi się posługują:

Analiza strony także pozwoliła znaleźć drugą domenę używającą tej samej skórki: stockxm.com 

Przekonałem oszusta że przelew małej kwoty 20000zł był jedynie “na próbę”. Ponieważ jeśli “sprawdzę platformę”. Jestem gotów zainwestować 60000USD. A jak to wypali to w przyszłości większe kwoty. Wytłumaczyłem że chciałbym sprawdzić cały proces inwestycji od przelewu w jedną stronę do przelewu w drugą. Że nie jestem technicznie biegły i przerasta mnie wymagane przez nich oprogramowanie. Zgodzili się wtedy na drugi typ obsługi “na telefon”. Wykonałem kilka kroków socjotechnicznych jak rzekome podwyższenie limitu przelewów w banku, posiadanie innego rodzaju inwestycji żeby uwiarygodnić rzekomą majętność. Zaufanie zyskałem też dając do zrozumienia że oszust posiada większą wiedzę ode mnie w każdym aspekcie, zarówno technicznym jak i finansowym.

Kilkanaście półgodzinnych rozmów w sumie jakiś miesiąc później:

Przelew przychodzący przyszedł z konta: 49 1020 1055 0000 9102 0469 2671 w banku PKO BP.

o kilkaset zł większy niż wpłacona kwota, jako dowód na to że pierwsza inwestycja w złoto się powiodła. Tego samego dnia oszust dzwonił żeby potwierdzić jego obecność i przeprowadzić krok po kroku do przelewu w dolarach większej kwoty. Wtedy powypytywałem go o wszystko co opisane wyżej, przy każdym kolejnym pytaniu coraz bardziej się pogrążał.

Numery oszusta poblokowane, widać jednak że próbuje po 8x dziennie.

Uważajcie bo wasi seniorzy mogą nie mieć tyle szczęścia.