Cyberwojna w pełni. Nasi wrogowie zwarli szyki i w najbliższym czasie wzrośnie zapewne ryzyko ataków na dane i pieniądze Polaków. Ale jeśli nie pomożemy cyberprzestępcom naszą własną nieostrożnością – pozostaniemy bezpieczni. Co robić lub czego nie robić w tych trudnych czasach, by nie skomplikować sobie dostępu do pieniędzy albo ich nie stracić?
- Pytają, skąd mamy pieniądze, co zamierzamy za nie kupić, żądają potwierdzania danych lub aktualizacji dokumentów. Skąd rosnąca ciekawość banków? [POLECA ING]
- Niemiecki bank centralny przystępuje do obrony gotówki. I rysuje trzy scenariusze zmian w świecie płatności. Czy to może być dobry wzór dla nas? [POLECA EURONET]
- Dobry rok dla inwestujących w obligacje? Rozmowa z zarządzającym funduszami [zaprasza UNIQA TFI]
Jeżeli wydaje się Wam, że nie jesteście celem dla przestępców, bo macie zbyt mało środków na koncie, to muszę Was wyprowadzić z błędu. Prawdopodobnie posiadacie jakąś zdolność kredytową, a – po przejęciu Waszych danych lub dostępu do aplikacji bankowej – przestępcy będą mogli szybko zaciągnąć kredyt na Wasze dane. Odkręcenie tego nie jest proste.
Równie łatwo jest pomyśleć, że „ja się przecież na taki trik nie nabiorę”. Wiele oszukanych osób też tak myślało. Przestępcy są bardzo dobrze przygotowani do ataków, stale je modyfikują i używają zaawansowanej socjotechniki. Inteligentni ludzie też są okradani. Nie traćcie czujności.
Skala cyberprzestępstw jest ogromna i systematycznie rośnie. W czasie pandemii wiele naszych aktywności przenieśliśmy do sieci, gdzie czekają na nas coraz większe rzesze oszustów. Od ponad 20 lat ataki cybernetyczne są badane przez CERT, czyli zespół szybkiego reagowania na ataki cybernetyczne, który działa przy NASK – Państwowym Instytucie Badawczym. Według raportu rocznego z działalności CERT Polska w 2020 r. (dane za 2021 r. jeszcze nie są znane) zarejestrowano w sumie 10420 incydentów cyberbezpieczeństwa, co stanowi wzrost o 61% w porównaniu z 2019 r.
Oznacza to w praktyce, że średnio częściej niż raz na godzinę dochodzi w polskim internecie do jakiegoś cybernetycznego incydentu. Ale widzimy to też w naszej redakcji po liczbie skarg i próśb o pomoc od czytelników, którzy dali się oszukać w sieci.
Przy omawianiu strategii przestępców podaję prawdziwe przykłady, ale nie uczcie się ich na pamięć, bo metody oszustw się zmieniają. Ważne, aby nabrać odpowiedniego nawyku i być przygotowanym na zmodyfikowany atak. Jak nie dać się oszukać?
Po pierwsze, zawsze sam wpisuj adres strony www. Nie ufaj reklamom
Przestępcy często przygotowują fałszywe strony internetowe na wzór tych prawdziwych. Jeżeli podszywają się, dajmy na to, pod Lot, to nie stworzą strony www.oszukujemycieteraz.pl, ale coś w stylu www.lọt.com (celowo nie dodaję hiperłącza).
Strona wygląda poprawnie, prawda? Ilu z Was zauważyło, że w adresie nie ma litery „o”? Zamiast tego wykorzystano „ọ”, które jest niemal identyczne (szczególnie na smartfonach). Poniżej powiększenie za Niebezpiecznikiem.
Dlatego, jeżeli chcecie odwiedzić stronę jakiejś firmy, zawsze jej adres wpisujcie w przeglądarkę ręcznie. Wyróbcie sobie taki nawyk. Adres trzeba wpisać cały (zakończyć go „.pl”; „.com”, itp.), bo gdy wpiszemy tam tylko jego część i naciśniemy enter, to najprawdopodobniej po prostu wyszukamy odpowiednie hasło w Google.
Ta zasada dotyczy także otrzymanych linków (np. w e-mailach, SMS-ach, komunikatorach), ale też po prostu wyszukiwarek internetowych. Sporo osób ma nawyk wpisywania nazwy strony docelowej w wyszukiwarkę (najczęściej Google) i klikania w pierwszy wyświetlony odnośnik. Wydaje im się, że jest to w pełni bezpieczne, bo przecież Google nie jest cyberprzestępcą.
Problem w tym, że pierwszym odnośnikiem zwykle jest reklama, a reklamę można po prostu wykupić. Zdarza się więc, że to przestępcy opłacają reklamę i tworzą stronę łudząco podobną do prawdziwej, a następnie nas oszukują (kradną dane dostępowe do banku, dane osobowe, namawiają do zainstalowania aplikacji itd.).
Oszustwa internetowe z wykorzystaniem reklamy to zresztą bardzo popularna metoda. Szczególnie na Facebooku możemy natrafić na reklamy różnego typu fałszywych inwestycji, darmowych bonów do sklepów, itd. Takie reklamy są uwiarygodnione przez znane firmy (np. „zainwestuj w Orlen”, „Biedronka rozdaje bony”) i znane osoby.
Takie osoby/firmy oczywiście nie mają nic wspólnego z oszustwem, a ich wizerunku użyto bez ich zgody. Podświadomie jednak chętniej „zainwestujemy” nasze pieniądze, gdy reklamują to znane marki lub twarze. Niestety to nawet nie będzie inwestycja, a zwykłe oszustwo z zerową szansą na sukces.
Po drugie, nigdy nie klikaj w linki z SMS-ów i e-maili, nie otwieraj załączników
Ten punkt jest bardzo ważny, bo niestety bardzo dużo linków jest wysyłanych przez prawdziwe firmy i łatwo się pomylić. Całkiem często zdarza się nawet, że rzeczywista wiadomość bardziej budzi naszą podejrzliwość niż oszustwa internetowe.
Najlepiej wyrobić sobie nawyk i nie klikać w żaden odnośnik otrzymany SMS-em, e-mailem czy innym komunikatorem. Jeżeli zainteresowała Was treść, to po prostu otwórzcie stronę nadawcy i poszukajcie odpowiedniej zawartości lub skontaktujcie się z nim telefonicznie w tej sprawie.
Zachęty do kliknięcia w link mogą być najróżniejsze. Ubezpieczyciel prosi o dopłatę składki, kurier o dopłatę za paczkę, Allegro wymaga weryfikacji konta, sklep daje bony za darmo, jakiś serwis włączył Wam subskrypcję i informuje, że można ją anulować, firma hostingowa planuje dezaktywować Waszą stronę, znajomy prosi o zagłosowanie na swoje zdjęcie, trafiliście na kwarantannę, itd.
W okresach przedświątecznych bardzo popularne są oszustwa internetowe dotyczące przesyłek kurierskich i pocztowych. W końcu wielu z nas oczekuje na dostawę paczki w tym czasie i jest większe prawdopodobieństwo, że ktoś uwierzy w taki atak. Widziałem już kilka wariantów tego oszustwa. Albo trzeba dokonać jakiejś małej dopłaty lub zmieniła się waga paczki, pojawił się problem z dostarczeniem albo pojawia się zachęta do pobrania aplikacji umożliwiającej odbiór czy śledzenie przesyłki.
Linki z SMS-ów najczęściej prowadzą do stron, które w jakiś sposób będą Was nakłaniały do zainstalowania złośliwej aplikacji w telefonie komórkowym. Taka aplikacja następnie wykradnie dane dostępowe do Waszego banku i wyczyści rachunki (mając dostęp do telefonu, będzie w stanie pozyskać SMS-y autoryzacyjne).
Uważajcie też na hiperłącza w mailach, na grupach w serwisach społecznościowych, w SMS-ach i w wiadomościach z komunikatorów (nawet od znajomych), które wprawdzie nie prowadzą do żadnej aplikacji mobilnej, ale przekierowują nas do stron wyłudzających dane osobowe, dane logowania lub (w szczególności) dane karty płatniczej.
Takie wiadomości najczęściej bazują na naszej naiwności (można coś otrzymać za darmo jak klocki na poniższym screenie) lub dobroduszności (znajomy prosi o zagłosowanie na jego zdjęcie w konkursie). Pamiętajcie, że fakt, iż znacie osobę, która wysyła taką wiadomość, nie jest żadnym zabezpieczeniem. Jeżeli ona dała się oszukać i podała swoje hasło, to boty automatycznie wysyłają te wiadomości dalej z jej konta do jej znajomych!
Wreszcie, nigdy nie otwierajcie załączników, na które nie czekacie. Nawet od znajomych. Jeżeli koniecznie chcecie zajrzeć do załącznika, to najpierw skontaktujcie się z nadawcą (najlepiej telefonicznie) i zapytajcie, czy faktycznie go wysłał.
—————-
Postaw na bezpieczne płatności w sieci – pobierz aplikację Alior Mobile, załóż konto i otrzymuj natychmiastowe powiadomienia o każdej transakcji. Więcej informacji na https://www.aliorbank.pl/dodatkowe-informacje/bankowosc-elektroniczna/bankowosc-mobilna.html.
Zaprasza Alior Bank Partner cyklu edukacyjnego „Cyberbezpieczeństwo w Twoim portfelu”
—————-
Po trzecie, nie wierz w to, co widzisz. Oszustwa internetowe, czyli złudzenia optyczne
Ciągle mało osób wie, że bez większego problemu można podszywać się pod dane dowolnej osoby i instytucji. W rezultacie oszuści, organizując ataki, wysyłają e-maile z adresów banków, dzwonią z prawdziwych numerów telefonicznych banków i wysyłają SMS-y z nazwą prawdziwej firmy w polu nadawcy.
Dlatego gdy ktoś do Was dzwoni i proponuje zweryfikować numer telefonu na stronie internetowej (np. banku), to najlepiej od razu się rozłączcie, bo w najlepszym wypadku jest to niekompetentny pracownik. Następnie możecie sami wybrać numer infolinii i dowiedzieć się, o co chodziło (czasem się zdarza, że naprawdę dzwoni bank).
Sytuacja jest jeszcze gorsza, gdy macie zapisany w książce telefonicznej numer banku, bo wtedy Wasz telefon od razu wyświetli nazwę jako dzwoniącego. To bardzo podnosi wiarygodność takiego ataku.
Podobnie ma się sprawa z SMS-ami. Sporo firm i instytucji wysyła SMS-y z nazwą jako nadawcą. Bardzo łatwo się pod nie podszyć, a telefon połączy takie konwersacje z tymi prawdziwymi. W rezultacie SMS od przestępców trafi do rozmowy, w której zapisane są prawdziwe SMS-y! Tak jak na poniższym screenie (ponownie za Niebezpiecznikiem).
Widziałem już takie fałszywe SMS-y od fikcyjnych firm kurierskich, ubezpieczycieli, rządu, operatorów komórkowych, dyskontów, ale tak naprawdę w polu nadawca przestępcy mogą wpisać cokolwiek. Dlatego nie można ufać temu, co widzicie i najlepiej po prostu ignorować wszystkie telefony i wiadomości, na które nie czekamy.
Po czwarte, oszustwa internetowe są możliwe, bo „oni” często coś o Was wiedzą!
Ataki można podzielić na dwa rodzaje. Z jednej strony mogą być przeprowadzane masowo. W takiej sytuacji wykorzystywane są dane osobowe, które w przeszłości wyciekły z jakichś serwisów, i/lub kontakty osób, które udało się oszukać. W tym przypadku przestępcy wykorzystują efekt skali. Wysyłając do tysięcy osób SMS-y o zaginionej przesyłce, zapewne część z nich uda się oszukać.
Drugi typ ataku jest niestety bardziej spersonalizowany. Oszuści dokładnie wiedzą, do kogo dzwonią i mają już jakieś dane o nas (pozyskane z wycieków danych osobowych, poprzednich ataków lub od naszych znajomych).
W ten sposób oszustwa internetowe stają się dużo bardziej wiarygodne, bo złodzieje na przykład wiedzą, z jakiego banku korzystacie, podają ostatnie 4 cyfry Waszej karty płatniczej, adres, telefon, nazwisko, dane przelewów itd. To znacznie ułatwia im skłonienie Was do szybkiego działania.
Pamiętajcie, aby nigdy nie instalować żadnej aplikacji ani nie podawać żadnych wrażliwych danych tylko dlatego, że ktoś nam to podpowiada przez telefon. Może nam powiedzieć, że musimy szybko działać, bo na naszym koncie wykryto podejrzaną transakcję, że ktoś zaciąga na nas kredyt, że otrzymaliście podejrzane maile, że macie do wypłaty górę Bitcoinów itd., ale tak naprawdę jest wręcz odwrotnie – lepiej działać powoli, przemyśleć to i skonsultować się, korzystając np. z infolinii banku lub choćby bardziej doświadczonego znajomego. I nie ma znaczenia, czy dzwoniący podaje się za pracownika banku, policjanta, księdza, prezydenta czy za Waszą babcię.
Ja wiem, że to brzmi zabawnie, ale takie ataki naprawdę są wiarygodne. Szczególnie, że (jak pokazałem wyżej) oszuści dzwonią z numeru infolinii banku, a mogą jeszcze w to włączyć numer komisariatu (i osoba podająca się za policjanta uwierzytelni złodzieja). Ostatnio przestępcy uwiarygodniają swoje ataki nawet voicebotami (o zgrozo, bo łatwiej uwierzyć, że to prawda).
Dlatego otrzymując taki telefon, po prostu się rozłączcie. A jeżeli macie obawy, że to mogła być prawda, to po prostu sami wybierzcie numer odpowiedniej instytucji (znajdźcie go w internecie) i zapytajcie.
Po piąte, „kłódka” jest ważna, ale nie polegaj na niej
Znam wiele osób, które wchodzą na jakąś stronę internetową i pierwsze co robią, to najeżdżają kursorem na „kłódkę” w pasku przeglądarki. Wyświetla im się informacja, że „połączenie jest bezpieczne” lub jakiś podobny tekst i ze spokojem rozpoczynają wpisywanie haseł.
To bardzo mylne poczucie bezpieczeństwa. Taka „kłódka” jest oczywiście bardzo ważna (gwarantuje nam, że dane przesyłane pomiędzy przeglądarką a stroną internetową są szyfrowane), ale w żaden sposób nie gwarantuje bezpieczeństwa strony. Dopiero po naciśnięciu na „kłódkę” i na napis o bezpiecznym połączeniu dowiadujemy się szczegółów (które jeszcze musimy zrozumieć).
W rezultacie możecie w bezpieczny i szyfrowany sposób przesłać swoje loginy, hasła, dane karty kredytowej itd. bezpośrednio do przestępców. W dzisiejszych czasach większość stron internetowych posiada już odpowiedni certyfikat. Mamy go też na „Subiektywnie o Finansach”: 
.
Oczywiście jeżeli strona nie ma „kłódki”, to powinno Wam się zaświecić w głowie czerwone światełko, ale w żadnym wypadku nie powinniście ufać stronie internetowej tylko dlatego, że posiada „kłódkę”.
W praktyce sprawdzenie „kłódki” mogę przyrównać do sprawdzenia, czy ktoś nie stoi za nami podczas wypłaty gotówki z bankomatu i nie podgląda naszego PIN-u. Warto to oczywiście zrobić, ale poza tym wypadałoby sprawdzić, gdzie my w ogóle wkładamy nasza kartę płatniczą, bo może się okazać, że to nie jest bankomat, ale jakiś karton podstawiony przez oszustów.
Zdecydowanie lepszym pomysłem będzie sprawdzenie strony internetowej jako całości. Oszustwa internetowe często są robione niedbale lub przez zagranicznych przestępców, a więc można zauważyć pewne niedociągnięcia. Jakiekolwiek literówki, błędy językowe, pojedyncze wyrazy (lub całe zdania) w językach obcych, brak polityki prywatności i informacji o zwrotach, to wszystko powinno zwrócić Waszą uwagę na to, że coś z taką stroną jest nie w porządku.
Po szóste, sprzedający też są celem ataków
Oszustom jest tak naprawdę wszystko jedno, kogo okradną. Dlatego sprzedawcy też nie powinni czuć się zbyt pewnie. Ostatnio nasiliły się ataki skierowane właśnie w kierunku osób, które coś sprzedają (np. na OLX).
Oszuści kontaktują się ze sprzedającym (za pośrednictwem e-maila, SMS-a, na WhatsAppie), informują go, że chcą kupić wystawiony przedmiot i zapłacić elektronicznie. Następnie podsyłają link, w który trzeba wejść, aby niby odebrać płatność. Szerzej opisywaliśmy to tutaj.
Na stworzonej stronie (bo jest ona oczywiście fałszywa) wyłudzane są głównie dane karty płatniczej, a czasem dodatkowo inne dane pozwalające na kradzież większej sumy poprzez zalogowanie się na konto bankowe (nazwisko panieńskie matki, PESEL, nazwa banku). Poniżej przykład takiej witryny, ale oszuści podszywają się też pod inne firmy, np. kurierskie.
Dlatego warto pamiętać, że karta płatnicza służy do płacenia. Jeżeli podajecie gdzieś jej numer, to ktoś ściągnie z niej środki (pomijam sytuacje zwrotów czy przelewów na kartę). No i jeszcze raz muszę wrócić do nieklikania w linki, na które nie czekamy. Jeżeli jakiś serwis oferuje pośrednictwo w płatności, to wystarczy się zalogować na stronie głównej, aby wszystko zweryfikować.
Sprzedawcy są namawiani do kliknięcia w linki też na inne sposoby. Na przykład niedawno Zaufana Trzecia Strona opisała przypadek pana Wojtka, który sprzedawał komputer. Dostał on prośbę o raport na temat wydajności komponentów sprzętu, co przy drogim sprzęcie jest uzasadnione. Problem w tym, że do prośby był dołączony link kierujący na fałszywą (i złośliwą) stronę.
Są też oszustwa internetowe wymierzone jednocześnie w sprzedających i kupujących i polegają na tym, że przestępca w jakiś sposób występuje jako pośrednik pomiędzy stronami transakcji. W rezultacie kupujący wprawdzie przelewa środki do sprzedawcy, ale towar jest wysyłany do oszusta.
Oszustwa internetowe: jak się bronić?
Podsumowując, najlepszą ochroną przed kradzieżą naszych oszczędności będzie cierpliwość i opanowanie. Przestępcy bazują na naszych błędach i stosując sztuczki psychologiczne, nakłaniają nas do popełnienia błędu. Większość ataków udaje się, bo sami podamy przestępcom hasło, dane karty płatniczej, kod z SMS-a autoryzacyjnego lub zainstalujemy u siebie złośliwy program. Oszuści mogą nas tylko do tego zachęcać (lepiej lub gorzej).
Oczywiście mogę Wam doradzić, by włączyć dwuskładnikowe uwierzytelnienie (gdzie tylko można), posiadać inne hasła do różnych serwisów (szczególnie do banków), trzymać oszczędności w różnych miejscach, ale najważniejsze są: świadomość, że cyberprzestępcy działają, opanowanie i racjonalne myślenie.
Artykuł powstał w ramach cyklu
„Cyberbezpieczeństwo w Twoim portfelu”,
którego Partnerem jest Alior Bank
Zdjęcie główne: geralt / pixabay
