Nieznajomy wysyła ci wiadomość na Reddicie. Twierdzi, że ktoś go zgłosił, a konto, z którego dokonano zgłoszenia, wygląda bardzo podobnie do twojego. Czy to byłeś ty?
Nie było. Nie o to tak naprawdę chodzi w tej wiadomości.
Ta metoda opiera się wyłącznie na inżynierii społecznej. Nie zawiera żadnego złośliwego oprogramowania ani szkodliwych linków. Zaczyna się od rozmowy, ale jej celem jest nakłonienie cię do podania danych logowania lub kodu weryfikacyjnego, aby oszust mógł uzyskać dostęp do twojego konta na Reddicie.
Jak działa to oszustwo
Istnieją dwie popularne odmiany tego oszustwa:
- „Ktoś mnie zgłosił i wygląda na to, że to byłeś ty.”
- „Przypadkowo zgłosiłem twoje konto.”
Ktoś twierdzi, że doszło do pomyłki związanej ze zgłoszeniem. W jednej wersji tej historii osoba ta mówi, że ktoś ją zgłosił i wygląda na to, że to byłeś ty. W innej twierdzi, że przypadkowo zgłosiła twoje konto i potrzebuje twojej pomocy, aby to naprawić. Tak czy inaczej, żadnego zgłoszenia nie ma. To początek oszustwa opartego na inżynierii społecznej, które stało się powszechne na Discordzie, Reddicie i innych platformach.
Ostateczny cel bywa różny. Niektóre wersje mają na celu nakłonienie użytkownika do podania danych logowania lub kodu weryfikacyjnego, aby oszust mógł zalogować się na konto ofiary, zmienić hasło i zablokować jej dostęp. Inne wersje mają na celu przekonanie użytkownika do zmiany adresu e-mail powiązanego z kontem na taki, którym kontrolują oszuści. Następnie żądają oni karty podarunkowej lub innej formy płatności w celu „rozwiązania” problemu, grożąc usunięciem konta lub wykorzystaniem go do oszukiwania innych osób, jeśli ofiara nie zapłaci.
Jeśli nadal z nimi rozmawiasz, przestań i nie udostępniaj żadnych kodów ani nie zmieniaj danych swojego konta. Jeśli już to zrobiłeś i straciłeś dostęp do konta, przejdź bezpośrednio do sekcji „Jak się chronić” poniżej.
Jak to się potoczy
Rozmowa zazwyczaj zaczyna się od jednego z dwóch stwierdzeń. Albo osoba ta mówi, że ktoś zgłosił jej konto i wygląda na to, że to byłeś ty, albo twierdzi, że przypadkowo zgłosiła twoje konto przez pomyłkę.
Jeśli zaprzeczysz, oszust nie będzie się kłócił. Powie, że to prawdopodobnie była zwykła pomyłka, i będzie kontynuował rozmowę. Może zapytać, czy wiesz, kto go zgłosił, albo zasugerować, że możesz pomóc wyjaśnić sprawę. Celem jest po prostu utrzymanie twojego zainteresowania.
Następnie wysyłają „dowód”: zrzut ekranu z wiadomości e-mail, która ma wyglądać, jakby pochodziła z serwisu Reddit. Ma ona formalny ton, zawiera numer zgłoszenia, informację, że trwa „oficjalne dochodzenie”, oraz odliczanie – zazwyczaj 12 godzin – do „zawieszenia konta, ograniczenia funkcji lub zablokowania”. W niektórych wersjach pojawia się prośba o skontaktowanie się z osobą na Discordzie, która podaje się za pracownika lub moderatora serwisu Reddit. Inne zawierają fałszywe ostrzeżenie prawne, w którym przytacza się przepisy lub regulacje niezwiązane z daną sytuacją. Nic z tego nie jest prawdziwe.
Dlaczego Reddit nie działa w ten sposób
Reddit nie prosi osób, których dotyczy zgłoszenie, o nawiązywanie kontaktu między sobą, ani nie wymaga weryfikacji konta za pośrednictwem nieznajomej osoby w prywatnej wiadomości. Serwis nie rozpatruje odwołań za pośrednictwem Discorda ani nie przekierowuje użytkowników na osobiste konto pracownika serwisu na Discordzie. Zgłoszenia, moderacja i odwołania odbywają się wyłącznie za pośrednictwem samego serwisu Reddit.
Odliczanie ma na celu wywołanie poczucia pilności. W połączeniu z niejasnymi groźbami zawieszenia konta, ograniczenia funkcji lub zablokowania konta ma ono skłonić cię do podjęcia działania, zanim zdążysz zastanowić się, co się właściwie dzieje.
O co im tak naprawdę chodzi
Raport i fałszywy e-mail to tylko wstęp. Oszust informuje, że pracownik serwisu Reddit lub „przełożony” musi zweryfikować Twoje konto, aby potwierdzić, że nie miałeś z tym nic wspólnego. Twierdzi, że w tym celu musisz odczytać kod, który serwis Reddit zaraz Ci wyśle.
W trakcie rozmowy oszust próbuje zalogować się na Twoje prawdziwe konto lub zainicjować procedurę odzyskiwania konta. Serwis Reddit reaguje na to, wysyłając Ci prawdziwy kod logowania lub weryfikacyjny.
To nie przypadek, że kod pojawił się właśnie teraz. Kod przychodzi tuż po tym, jak poinformowano cię, że możesz się go spodziewać. Jeśli go odczytasz, oszust może go wykorzystać do zalogowania się na twoje konto, zmiany hasła i zablokowania ci dostępu. Sam kod jest prawdziwy. Oszustwem jest cała historia wokół niego.
Dlaczego ludzie się na to nabierają
Niezależnie od tego, czy oskarżono cię o zgłoszenie kogoś, czy też poinformowano cię, że twoje konto zostało zgłoszone przez pomyłkę, oszustwo to stawia cię w sytuacji, w której chcesz rozwiązać ten problem. Dlatego gdy zostaniesz poproszony o „zweryfikowanie” swojego konta, może ci się to wydawać częścią rozwiązania problemu, a nie zagrożeniem dla bezpieczeństwa.
Fałszywy e-mail sprawia, że historia wydaje się bardziej wiarygodna, zwłaszcza jeśli nie zastanowisz się, czy sposób kontaktu lub procedura są zgodne z tym, jak faktycznie działa serwis Reddit. Odliczanie potęguje poczucie pilności, zachęcając cię do podjęcia działania, zanim zdążysz to przemyśleć.
Nie chodzi tu o to, że ktoś jest łatwowierny. To dopracowany scenariusz inżynierii społecznej, mający na celu sprawienie, by rozsądna prośba wydawała się uzasadniona.
Nie chodzi tylko o wiadomości prywatne
Chociaż oszustwo polegające na fałszywych zgłoszeniach zazwyczaj rozpoczyna się od wiadomości prywatnej, oszuści podszywają się również pod serwis Reddit w wiadomościach phishingowych, twierdząc, że Twoje konto zostało zablokowane lub wymaga interwencji. Jeśli otrzymasz nieoczekiwaną wiadomość e-mail dotyczącą bezpieczeństwa, nie klikaj zawartych w niej linków. Zamiast tego zaloguj się do serwisu Reddit bezpośrednio poprzez oficjalną stronę internetową lub aplikację.
Jeśli Twoje konto zostało przejęte, możesz zauważyć posty, komentarze lub wiadomości, których nie opublikowałeś. To znak, że ktoś inny ma dostęp do Twojego konta. W takiej sytuacji zmień hasło, włącz uwierzytelnianie dwuskładnikowe, jeśli jeszcze tego nie zrobiłeś, i postępuj zgodnie z procedurą odzyskiwania konta serwisu Reddit.
Jak się chronić
- Nigdy nie udostępniaj nikomu swoich danych logowania do serwisu Reddit ani kodu weryfikacyjnego, nawet osobie podającej się za pracownika serwisu Reddit lub przedstawiciela działu pomocy technicznej.
- Nigdy nie zmieniaj adresu e-mail powiązanego z Twoim kontem na prośbę nieznajomego, nawet w celu „naprawienia” zgłoszonego problemu.
- Jeśli ktoś poprosi cię o zakup karty podarunkowej lub przesłanie pieniędzy w celu załatwienia zgłoszenia, to jest to oszustwo.
- Reddit nie będzie prosił użytkowników, których dotyczy zgłoszenie, o nawiązywanie kontaktu między sobą, weryfikowanie swoich kont za pośrednictwem prywatnych wiadomości ani rozpatrywanie odwołań za pośrednictwem serwisu Discord.
- Jeśli otrzymasz nieoczekiwaną wiadomość e-mail dotyczącą bezpieczeństwa od serwisu Reddit, nie korzystaj z linków w niej zawartych. Zamiast tego zaloguj się na swoje konto bezpośrednio przez stronę reddit.com lub oficjalną aplikację.
- Włącz uwierzytelnianie dwuskładnikowe za pomocą aplikacji uwierzytelniającej i traktuj każde nieoczekiwane logowanie lub kod weryfikacyjny jako sygnał, że ktoś może próbować uzyskać dostęp do Twojego konta.
- Jeśli zauważysz posty, komentarze lub wiadomości, których nie opublikowałeś, natychmiast zabezpiecz swoje konto, zmieniając hasło. Jeśli utraciłeś dostęp do konta, skorzystaj z oficjalnej procedury odzyskiwania konta serwisu Reddit dostępnej na stronie reddit.com.
- Zgłoś oszusta i jego wiadomości, korzystając z wbudowanych narzędzi do zgłaszania na Reddicie.
Pamiętaj
Jeśli ktoś poprosi cię o podanie danych logowania lub kodu weryfikacyjnego, nie idź dalej. To właśnie oszustwo. Wszystko, co działo się wcześniej, to tylko wstęp.




