26 czerwca 2017

Top 5 sposobów cyberzłodziei, by okraść cię z pieniędzy przez internet. Na który dasz się złapać?

Top 5 sposobów cyberzłodziei, by okraść cię z pieniędzy przez internet. Na który dasz się złapać?

Nie ma tygodnia, żeby nie zgłosił się do mnie czytelnik, który został okradziony z pieniędzy przez internet. Straty za każdym razem są niebagatelne – przynajmniej kilkanaście tysięcy złotych, jeśli nie kilkadziesiąt. Oczywiście: tu nic nie dzieje się „samo”. Złodziej musi poznać nasz login i hasło do banku, poznać nasz numer telefonu i przejąć SMS autoryzujący transakcję lub przynajmniej skłonić nas, byśmy podali go na fałszywej stronie internetowej. Sporo zachodu. A jednak im się udaje. Jak?

Banki starają się zwiększyć poziom zabezpieczeń i w tym roku większość z nich wprowadzi nowy sposób autoryzowania transakcji – zamiast kodów jednorazowych przysyłanych SMS-ami będziemy potwierdzali przelewy smartfonem, wchodząc do aplikacji mobilnej banku i klikając „potwierdzam taki a taki przelew”. Nie wystarczy, że złodziej wejdzie w posiadanie naszego SMS-a, będzie musiał mieć w ręku nasze urządzenie. Bądź – ta droga będzie otwarta zawsze – podstępem skłonić nas do potwierdzenia transakcji, na której mu zależy. Oto TOP 5 popularnych sposobów internetowych złodziei na okradanie nas z pieniędzy.

Zobacz również:

Czytaj też: Kradzieże pieniędzy z naszych kont? Sądy każą bankom oddawać pieniądze! Ale pod warunkiem, że…

Czytaj też: 11 trendów technologicznych, którym będziesz musiał stawić czoła. Wśród nich – autoryzacja przelewów bez SMS-ów

1. Polowanie na tych, którzy do banku wchodzą z Google’a

Najprostszą metodą stosowaną przez złodziei jest wystawianie w internecie fałszywych stron. Jeśli klient myśli, że jest na prawdziwej stronie banku, a tak naprawdę jest na „podróbce” i poda na niej swój login oraz hasło, to zaczyna być niebezpiecznie. Jesteś na fałszywej stronie, a złodziej jednocześnie wykorzystuje podany przez ciebie login i hasło, by zalogować się w twoim imieniu do prawdziwego konta. Potem, będąc już na twoim rachunku, definiuje siebie jako odbiorcę przelewów zdefiniowanych. W czasie, gdy bank wysyła na smartfona SMS autoryzacyjny do tego zlecenia, złodziej wyświetla ci na ekranie jakieś fałszywe komunikaty. Np. „podaj kod z SMS-a, żeby potwierdzić dostęp do konta”.

Jeśli nie przeczytasz SMS-a, którego wysłał do ciebie bank – łącznie z opisem, z którego wynika, iż jest to zdefiniowanie nowego odbiorcy przelewu, a nie z żadne „odblokowanie konta”) – to już po tobie. Niczego nie przeczuwając podasz na fałszywej stronie banku kod z SMS-a, który natychmiast złodzieje wykorzystają do ustanowienia siebie jako odbiorców przelewów. Reszta zależy już tylko od tego ile masz pieniędzy na koncie i jak masz ustawione dzienne limity przelewów. Złodzieje będą czyścili konto tak długo, aż nie skończą się na nim pieniądze. A czasem i zaciągną w twoim imieniu debet.

Sposób na to? Nigdy nie wchodzimy do banku z linku podrzuconego przez wyszukiwarkę. Ten link może być fałszywy. Adres banku wpisujemy samodzielnie, na klawiaturze komputera, w okienku wyszukiwarki.

2. Polowanie na tych, którzy bankują w publicznej sieci wi-fi

Niektórzy złodzieje internetowi „instalują się” w pobliżu publicznych sieci wi-fi (np. w centrach handlowych) i „podsłuchują” co się w nich dzieje. Jeśli pojawi się np. jakiś klient banku, który podłączony do publicznej sieci wi-fi wejdzie na stronę banku, wpisze tam login i hasło, a następnie zacznie wykonywać przelewy, to złodzieje będą mieli dobry dzień. Mają już dane do logowania na konto i numer telefonu klienta. Potem wystarczy już tylko wysłać na ten telefon jakąś „trefną” aktualizację, żeby przejąć kontrolę nad SMS-ami autoryzacyjnymi i możemy się pożegnać z oszczędnościami całego życia.

Sposób na to? Nigdy nie korzystamy z banku będąc w kawiarence internetowej, w publicznej sieci wi-fi (ogólnodostępnej), ani siedząc przy nieznanym komputerze. Do konta logujemy się tylko w domu, z komputera z którego nie korzysta nikt postronny.

Czytaj też: Publiczna sieć wi-fi to brama dla złodziei naszych pieniędzy

3. Polują na tych, którzy otwierają załączniki w e-mailach

Bardzo popularnym ostatnio sposobem wyłudzania naszych danych bankowych jest przesyłanie nam wirusów razem z pocztą e-mail. Nie jest problemem podszyć się pod dowolnego nadawcę, np. pod bank, firmę energetyczną lub telekom. Wysyła się klientowi taki „trefny” e-mail z informacją o fakturze lub wyciągu z konta i… zamiast pliku z fakturą dołącza się do takiej przesyłki załącznik z wirusem.

Od prawdziwej faktury lub wyciągu z rachunku ów załącznik różni się tylko tym, że nie jest to plik z rozszerzeniem .pdf ani inny plik graficzny, tylko spakowany w pliku z rozszerzeniem .zip pakiet kodów, których zadaniem jest zainfekować twój komputer. Dzięki temu złodzieje znają twój login i hasło, mogą buszować po twoim koncie. To jeszcze nie pozwoli im ukraść twoich pieniędzy, ale z czasem dowiedzą się jaki masz numer telefonu i spróbują wysłać na ten telefon fałszywą aktualizację jakiegoś oprogramowania, żeby przechwytywać SMS-y autoryzacyjne z banku.

Sposób na to? Nie otwieramy żadnych załączników z e-maila, które nie są plikami .pdf, a już na pewno nie dotykamy plików .zip, ani .exe w których najczęściej są „spakowane” wirusy. Nieważne czy nadawcą jest elektrownia, gazownia, bank, czy premier z prezydentem lub papież albo prezes telewizji. To co jest w nagłówku e-maila zawsze może być zmanipulowane. To, że adres zdaje się być wiarygodny, nie oznacza jeszcze, że tak jest naprawdę.

Czytaj też: Ten wirus wymusi zmianę sposobu, w jaki banki przesyłają nam wyciągi?

4. Polują na… twoich znajomych na Facebooku

Żeby okraść kogoś przez internet wystarczy czasem przejąć konto jego znajomego z Facebooka. Włamując się do czyjegoś Facebooka można wysłać dobremu koledze prośbę typu „stary, podeślij mi szybko 5 zł, zabrakło mi na piwo”. Do tego uroczego komunikatu złodziej dołącza oczywiście link do PayU, PayPala czy innego sposobu błyskawicznego doładowania konta. Link oczywiście nie prowadzi do żadnego PayU, tylko na stronę spreparowaną przez złodziei. Tam wprowadzony w błąd nieszczęśnik wprowadza swój login, hasło, zaś później złodziej pozyskuje dostęp do pieniędzy w identyczny sposób, jak w pierwszym z opisanych tu patentów „na Google’a”.

Sposób na to? Jest tylko jeden – z ograniczonym zaufaniem podchodzić do jakichkolwiek próśb o pieniądze zgłaszanych przez Facebooka, nawet jeśli przychodzi z taką prośbą najlepszy kumpel. Oczywiście nie klikamy żadnych linków.

Czytaj też: Metoda „na wnuczka” działa też na Facebooku. Jak nas okradają?

Czytaj też:  Cztery pytania o płacenie smartfonem. Czy to bezpieczne?

A przede wszystkim… wykorzystują, że nie czytasz SMS-ów autoryzacyjnych. W większości przypadków złodziej nie ma dostępu do telefonu ofiary i nie jest w stanie przejąć SMS-ów autoryzacyjnych. To ofiara sama musi autoryzować transakcję wyprowadzenia pieniędzy z jej konta lub zdefiniowania złodzieja jako zaufanego odbiorcy przelewów. Zwykle jest wprowadzana w błąd: na ekranie komputera (kontrolowanym przez złodziei) ukazuje się komunikat, iż trzeba autoryzować jakąś aktualizację, albo odnowić dostęp do konta. Ale w SMS-ie z banku zawsze jest podany prawidłowy cel przelewu, zgodny z dyspozycją, jaka wpłynęła do banku od klienta lub złodzieja. Jeśli klient przeczyta SMS, to zorientuje się, że autoryzuje dostęp kogoś nowego do jego pieniędzy na koncie. Czytanie SMS-ów autoryzacyjnych to podstawa bezpieczeństwa naszych pieniędzy w bankach, gdyż…

5. Polują na… możliwość podmiany danych twojego przelewu

Od kilkunastu miesięcy rozpowszechniają się wirusy, które potrafią podmieniać “w locie” numery kont, na które wysyłamy przelewy. Zlecamy przelew do biura podróży, a wirus – w czasie między kliknięciem “wyślij przelew” a dostarczeniem dyspozycji do banku – zmenia numer konta na takie, które należy do złodzieja. Bank oczywiście informuje w SMS-ie przed autoryzacją przelewu o prawdziwym numerze konta, na które ma trafić przelew. Kłopot w tym, że nie każdy czyta SMS-y autoryzacyjne

Czytaj:  Wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy czujesz się najbezpieczniej

Czytaj też: Banki zachęcają do hurtowego zatwierdzania przelewów. To niebezpieczne

Czytaj też: Sześć strasznych historii, czyli tak w biały dzień okrada się klientów banków

Prawo autorskie do zdjęcia: honzik7 / 123RF

Subscribe
Powiadom o
17 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
K
3 lat temu

„Nie wystarczy, że złodziej wejdzie w posiadanie naszego SMS-a, będzie musiał mieć w ręku nasze urządzenie.”

Na telefony też są wirusy. SMS-y odbierane na „cegłę” — starą Nokię są bezpieczniejsze niż aplikacje na pełne dziur smartfony z Androidem.

3 lat temu
Reply to  K

tylko mało kto ma dodatkowy telefon na SMS-y z banku… Ludzie cenią wygodę…

Andrzej
3 lat temu

„Złodzieje będą czyścili konto tak długo aż skończą się pieniądze” a nie: „aż nie skończą”.

Aż się skończą
Albo:
Dopóki się nie skończą

Serpens
3 lat temu

Co do pierwszego punktu: lepiej sobie dodać zakładkę do strony banku w przeglądarce. Przestępcy mogą zarejestrować domenę z literówką i umieścić tam swoją stronę.

pajacyk_123
3 lat temu

Cały driugi punkt to popis ignorancji 😉 ale ostateczna porada, tj. najlepiej bankuj z domu jest ok. Jeśli pojawi się np. jakiś klient banku, który podłączony do publicznej sieci wi-fi wejdzie na stronę banku, wpisze tam login i hasło, a następnie zacznie wykonywać przelewy, to złodzieje będą mieli dobry dzień. Jeśli klient faktycznie wpisze te dane na stronie banku a nie na fałszywej, to złodzieje guzik się dowiedzą poza faktem w jakim banku klient ma konto. Obrabianie konta przez publiczne Wifi zupełnie nie tak wygląda. Swoją drogą w takim punkcie warto by było wspomnieć o istnieniu usług VPN. Generalnie polecałbym… Czytaj więcej »

Bogdan
3 lat temu
Reply to  pajacyk_123

jest jeszcze atak man in the middle. Wtedy złodziej przejmie wszystko.

tomek
3 lat temu
Reply to  pajacyk_123

Ad2. Racja, wiekszość banków posiada protokół https,więc login i hasło nie do wyjęcia.

Torinthiel
3 lat temu

Sposób na punkt 1szy? Wpisać adres w okno *wyszukiwarki*? Na prawdę? Tać właśnie wpisywania w wyszukiwarkę mieliśmy uniknąć. W pasek adresu tak. W okno wyszukiwarki nie. A jeszcze lepiej mieć zakładkę, bo przy wpisywaniu ręcznym za setnym razem zrobimy literówkę i zamiast na bank.pl trafimy na bnak.pl albo bamk.pl które już są przygotowane przez atakujących.

Maja
3 lat temu

Dodam jeszcze: przy wpisywaniu loginu i hasła używać klawiatury wirtualnej. W panelu DB właśnie jej mi brak, inne banki na szczęście ją mają

Hf
3 lat temu

Połowę z tych przypadków można uniknąć. Wystarczy nie korzystać z telefonów z Androidem.

Smok
3 lat temu

Przerażenie bierze na autora tego artykułu. Proponuje zacząć od podstaw typu podmiana DNS, na czym polega https ( konto i hasło jest szyfrowane. Dalej jeszcze większe bełkot. Po co pisać o czymś jak sie wiedzę poniżej gimbazy ???

[…] Czytaj też: Top 5 sposobów cyberzłodziei, by nas okraść. Na który dasz się nabrać? Oby na żaden… […]

[…] Czytaj też: Top 5 sposobów cyberzłodziei, by nas okraść. Na który dasz się nabrać? Oby na żaden… […]

Michał
3 lat temu

A czemu wyszukiwarki współuczestniczą w podawaniu fałszywej strony?

Michal
3 lat temu

i tak wystarczy podejrzeć kartę uchwycić aparatem przy płatności wystarczy kogoś kilka razy spotkać w sklepie i mieć 2 strony

LUCYNA
1 rok temu

Witam zostalam okradziona wystawiłam suknie slubna a okradziono mnie na 3tysiace w trzech przelewach I chciano znow 3wiec kapłam ze cos nie tak podejrzewalam ze cos nie tak ale myslałam zemoze mi sie wydaje sa przekowujacy to mejl podajacy za kupijaca z angli choc przelew do noregi bernardita333@yahoo.com a podajacy za paypal to mejl paypal@stellajamine.com . Uwaga na tych oszustow bardzo sa cfani I obiecujacy.

LUCYNA
1 rok temu
Reply to  LUCYNA

Teraz nastepny albo ten san oszist jest na olx o mejlu:ionicasstelian412@gmail.com pisze sms na telefon z numeru:+49191011

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!