Jak nie zostać "słupem" - kilka słów o fałszywych ofertach pracy na stanowisku testera bankowości

Cyberprzestępcom nie sposób odmówić kreatywności. Nie ma miesiąca, by analitycy zagrożeń nie informowali o nowo odkrytych sposobach wyłudzania poufnych danych i kradzieży środków zgromadzonych na rachunkach bankowych. Nie oznacza to jednak, że znane od lat oszustwa odchodzą do lamusa. Związek Banków Polskich zwrócił niedawno uwagę na kampanie spamowe, które mają na celu pozyskanie osób szukających pracy do transferowania pieniędzy ukradzionych z systemów bankowości internetowej. Osoby takie potocznie są nazywane "słupami" albo "mułami" (z ang. money mule) i często nie zdają sobie sprawy, że uczestniczą w przestępczym procederze.

Ogłoszenia, w ramach których rekrutowane są "słupy", pisane są przez zdolnych socjotechników i przypominają profesjonalne oferty pracy. Są one zwykle rozsyłane za pomocą poczty elektronicznej, zwłaszcza do osób, które założyły profile w serwisach rekrutacyjnych. Pojawiają się również na stronach z ofertami pracy. Ogłoszeniodawcy wykorzystują dane legalnie działających firm, które zajmują się handlem internetowym, testowaniem elektronicznych systemów płatności itp. W celu uwiarygodnienia oferty podają czasem numery telefonów z sieci VoIP, które przypominają numery stacjonarne (np. zaczynają się od cyfr 22, aby dzwoniąca na dany numer osoba myślała, że odbiorca jest w Warszawie – w rzeczywistości może być gdziekolwiek, nawet w innym kraju, połączenie dokonywane jest bowiem za pomocą internetu).

Przykładowa oferta pracy. Źródło: ZBP

Osoba zainteresowana ofertą proszona jest zwykle o wypełnienie dość szczegółowego kwestionariusza. Pozyskane w ten sposób informacje mogą zostać wykorzystane do zawarcia w jej imieniu kolejnych fikcyjnych umów, nic też nie stoi na przeszkodzie, by przestępcy sprzedali dane na czarnym rynku.
Po zaakceptowaniu warunków rzekomego pracodawcy "słup" zaczyna dostawać szczegółowe instrukcje dotyczące tego, kiedy otrzyma środki, w jakiej kwocie, jaka jest prowizja oraz komu i jak powinien przekazać pozostałą część. Będą to oczywiście pieniądze pozyskane w wyniku włamania do systemów bankowości internetowej, najczęściej przy użyciu koni trojańskich, takich jak ZeuS, SpyEye czy Citadel, oraz ich mobilnych odpowiedników. Transferowanie środków odbywa się za pośrednictwem Western Union, MoneyGram lub podobnej usługi, a ich odbiorcą jest zwykle mieszkaniec Ukrainy lub innego kraju spoza Unii Europejskiej.

Fragment e-maila z instrukcjami. Źródło: ZBP

Warto w tym miejscu podkreślić, że nawet nieświadomy udział w takim procederze może zakończyć się wyrokiem sądowym, z pozbawieniem wolności włącznie. Policja nie ma zazwyczaj problemów z dotarciem do „słupów”, choć złapanie ich zleceniodawców bywa kłopotliwe. „Słupom” stawia się zarzuty paserstwa i brania udziału w praniu pieniędzy – zależnie od klasyfikacji prawnej za uczestnictwo w takim przestępstwie sąd może skazać nawet na 8 lat więzienia.

Aby ustrzec się przed oszustwem, wystarczy zdrowy rozsądek – jeśli ktoś obiecuje wysokie wynagrodzenie za wykonanie kilku przelewów, to powinna zapalić się czerwona lampka. Związek Banków Polskich ostrzega przed propozycjami pracy, w przypadku której wynagrodzenie jest niewspółmiernie wysokie w stosunku do ponoszonych nakładów. Przed zatrudnieniem się gdziekolwiek nie zaszkodzi zweryfikować firmę i osobę, która nas rekrutuje. Zamiast dzwonić na numery telefonów podane w ogłoszeniu lepiej poszukać ich na oficjalnej stronie danej firmy. Wiarygodność ewentualnego pracodawcy można sprawdzić również w rejestrze REGON (na stronie http://www.stat.gov.pl/regon). Warto zachować ostrożność, jeśli warunkiem koniecznym podjęcia pracy jest posiadanie rachunku bankowego, a sama praca ma polegać na transferze środków za pośrednictwem zagranicznych operatorów oferujących przekazy pieniężne.