W sezonie wakacyjnym złodzieje
nie próżnują. I nie chodzi jedynie o kieszonkowców szukających okazji w
popularnych kurortach. Baczność powinni zachować także klienci korzystający z
usług elektronicznych. Nie ma dnia, by media nie donosiły o nowych, coraz
bardziej wymyślnych próbach wyłudzeń pieniędzy. Niestety, coraz częściej
skutecznych.
![Szybki i łatwy zysk czy wakacyjna miłość (ale do pieniędzy). Oto najpopularniejsze trendy w cyberatakach](https://galeria.bankier.pl/p/3/1/343fce57b5513a-948-568-22-240-2977-1786.jpg)
![Szybki i łatwy zysk czy wakacyjna miłość (ale do pieniędzy). Oto najpopularniejsze trendy w cyberatakach](https://galeria.bankier.pl/p/3/1/343fce57b5513a-948-568-22-240-2977-1786.jpg)
Już co trzeci Polak spotkał się w
ostatnim czasie z próbą wyłudzenia danych za pomocą maili, telefonów czy SMS-ów
– wynika z
badania „Wiedza na temat bezpieczeństwa ochrony danych osobowych w
Polsce” serwisu ChronPESEL.pl i Krajowego Rejestru Długów (KRD).
Jednocześnie 12,4 proc. respondentów przyznało, że oszustom udało się wyłudzić
ich dane. Z kolei 13,7 proc. stwierdziło, że ofiarą oszustów stał się ktoś bliski.
Codziennie media donoszą o nowych próbach ataków na klientów korzystających z
usług elektronicznych – bankowości internetowej, płatności, serwisów aukcyjnych
czy inwestycyjnych. Poniżej przedstawiamy kilka schematów niebezpiecznych
ataków, na które mogliśmy się natknąć tylko w pierwszych dniach wakacji. A to
jedynie wierzchołek góry.
1. Prawie jak aplikacja, czyli
klasyczny phishing w nowej odsłonie
O schematach ataków phishingowych
piszemy na łamach Bankier.pl od lat, ale niestety nadal jest to jedna z
najbardziej skutecznych technik wyłudzania danych. Oczywiście na wyłudzaniu się
nie kończy, bo udany atak skutkuje kradzieżą pieniędzy z konta bankowego. W
pierwszych dniach lipca na celowniku oszustów pojawili się klienci
największego banku w Polsce – PKO BP. Na losowo wybrane numery telefonów
trafiły SMS-y zachęcające do instalacji aktualizacji aplikacji IKO. W
wiadomościach podany był link. W rzeczywistości jednak nie chodziło o
zainstalowanie programu z niezaufanego źródła, więc telefon nie był w stanie
ostrzec użytkownika przed próbą oszustwa.
Tym razem oszuści podsunęli
klientom link kierujący do strony z tzw. aplikacją w technologii WebAPK.
Dlatego telefon nie ostrzegał przed próbą instalacji z niezaufanego źródła. Po
zainstalowaniu programu użytkownik proszony był o podanie danych do logowania
i w tym momencie rozpoczynał się już klasyczny atak phishingowy, czyli prośba o
aktywację „apki” i wpisanie swoich passów. Niestety istnieje
ryzyko, że podobny schemat zostanie wykorzystany wkrótce na klientach innych
banków. Pamiętajmy więc, by nie klikać w żadne linki przesyłane nam rzekomo
przez banki w mailach czy SMS-ach.
![Kalkulator "Bezpiecznego kredytu 2 proc."](https://galeria.bankier.pl/p/3/2/9aedf393ecbbc3-948-568-0-0-1772-1063.jpg)
Pobierz kalkulator „Bezpiecznego kredytu 2 proc.”
Chcesz sprawdzić, jaka będzie rata po dopłacie? Zastanawiasz się, na jaką kwotę kredytu będzie Cię stać? Chcesz dowiedzieć się, jak długość okresu spłaty wpłynie na raty? Pobierz kalkulator, który wyliczy szacunkowy harmonogram kredytu z dofinansowaniem – „pełną” ratę i ratę po dopłacie.
Pobierz poradnik zostawiając zgody, albo zapłać 20 zł
Masz pytanie? Napisz na marketing@bankier.pl
2. Naklejki z fałszywymi kodami
QR na parkomatach. Płacisz – tracisz
Kilka dni temu na parkomatach w
Krakowie pojawiły się naklejki z fałszywymi kodami QR pozwalającymi rzekomo
uiścić opłatę za postój samochodu. Turyści odwiedzający to miasto, którzy chcieli
opłacić parking, narazili się na kradzież pieniędzy z konta, zeskanowany kod
kierował bowiem do fałszywej bramki płatniczej. Tam użytkownik proszony był o
wprowadzenie danych karty. Jeśli to zrobił, narażał się na kradzież środków.
Niestety atak mógł być skuteczny,
bo w sezonie wakacyjnym przez Kraków przewija się masa turystów. Wielu z nich
przybywa z zagranicy i nie ma świadomości, jak w danym kraju wygląda sposób
opłacania rachunku za postój auta. Kod QR jest rozwiązaniem wykorzystywanym na
całym świecie, więc wydawać się mógł wiarygodny. Na szczęście oszuści dość
szybko trafili w ręce organów ścigania. Nie oznacza to jednak, że kolejni nie
podejmą w przyszłości bardziej skutecznych działań bazujących na tej
socjotechnice. Dlatego jeśli wybieramy się na wycieczkę do innego miasta, warto
sprawdzić na oficjalnej stronie urzędu, jakie systemy płatności pozwalają na
uregulowanie należności za postój. Z reguły można opłacić rachunek za pomocą
popularnych aplikacji mobilnych typu Skycash czy mPay.
3. Fałszywe okazje inwestycyjne.
Szybkie sposoby na wzbogacenie to ryzyko
Tego typu przekrętów pełno jest w
mediach społecznościowych. Z reguły wykorzystują one wizerunek znanych firm,
celebrytów czy polityków. Oszuści kuszą potencjalne ofiary szybkim zyskiem i
wysokim zwrotem z potencjalnej inwestycji. Proszą o przejście na spreparowaną
stronę internetową, na której można przeczytać same superlatywy oraz fałszywe
historie osób, które rzekomo w szybki sposób dorobiły się pieniędzy. Tu
mechanizmów oszustwa może być kilka. Na przykład może to być klasyczna prośba o
rejestrację i wpłatę pierwszej raty na poczet inwestycji. Oszuści obiecują, że
pomnożą te pieniądze w kilka dni. Oczywiście wpłacone środki przepadną.
Innym sposobem jest próba
nakłonienia potencjalnej ofiary do zainstalowania specjalnego oprogramowania do
obsługi inwestycji na komputerze (np. TeamViewer lub AnyDesk). W rzeczywistości
chodzi o program, który pozwala na zdalne przejęcie kontroli nad urządzeniem.
Jeśli użytkownik da się nabrać i zainstaluje program, oszuści będą w stanie dokonać kradzieży. Jeszcze inny schemat może polegać jedynie na wyciąganiu danych
osobowych podczas rejestracji. Niestety, dane te mogą posłużyć później do
zaciągania kredytów na skradzioną tożsamość.
Tylko w ostatnich dniach o
takim ataku informowała firma Gaz-System. Oszuści wykorzystali jej
wizerunek, by zamieścić fałszywe ogłoszenia w serwisach społecznościowych.
4. Wakacyjna miłość z…
Nigeryjczykiem
Media regularnie donoszą o
kolejnych przypadkach złamanych serc i… wyczyszczonych portfeli. Choć taki
przekręt wydaje się grubymi nićmi szyty, to wciąż jest zaskakująco niezwykle
skuteczny. Ofiary tracą setki tysięcy złotych i nadzieję na znalezienie
wakacyjnej miłości. Schemat tego typu oszustw jest z reguły podobny. Złodziej
szuka swojej ofiary w mediach społecznościowych lub w serwisach randkowych.
Później, nierzadko przez kilka tygodni, urabia ją, wciskając niestworzone historie
o swoim smutnym losie. A to jest żołnierzem, który nie może się wydostać z
okupowanego kraju, a to lekarzem, który chce się przeprowadzić do Polski, a to
przemytnikiem złota, któremu przechwycono kontrabandę. Za każdym razem potrzebuje
pieniędzy, by wydostać się z tarapatów, odzyskać swoje środki i spotkać się z
potencjalną ukochaną (lub ukochanym, bo są też wersje dla panów). Oczywiście po
wysłaniu środków kontakt się urywa.
Kilka dni temu przed
takim oszustwem ostrzegała lubelska policja. Kobieta straciła w ten
sposób 250 tys. zł, bo wysłała „przemytnikowi z Londynu” swoje oszczędności. Dokonała ponad 20 przelewów i zaciągnęła na poczet swojej miłości dodatkowe
kredyty. Policja podaje, że oszustwa „na Nigeryjczyka” stają się coraz bardziej
popularne i apeluje, by zachować ostrożność za każdym razem, gdy potencjalny
lekarz/żołnierz/wolontariusz prosi o przesłanie pieniędzy.
5. Okazyjne zakupy. Elektryczne
hulajnogi za 10 zł i palety z niedostarczonymi przesyłkami
To kolejny sposób oszustów na
wyciągnięcie danych osobowych i informacji o kartach płatniczych. Także i w tym
przypadku wykorzystywane są wizerunki znanych firm, a naciągacze liczą na
naiwnych, którzy wprowadzą do formularzy swoje dane. W mediach
społecznościowych zamieszczane są reklamy rzekomych wyprzedaży towarów z
magazynów. Podawane są wiarygodne wytłumaczenia. A to, że towar jest lekko
zarysowany, a to że trwa czyszczenie magazynów z nadwyżek towarowych lub – jak
w niedawnym przypadku wykorzystującym wizerunek Poczty Polskiej – że
trwa wyprzedaż niedostarczonych paczek.
Jak nie dać się cyberoszustom i chronić swoje pieniądze?
Tu mechanizmy oszustw mogą być
różne, ale sprowadzają się do tego samego mianownika – kradzieży danych lub
naciągania klientów na pieniądze. Na przykład w ostatnio pojawiającej się
reklamie w social mediach kuszono elektrycznymi hulajnogami za 10 zł. W rzeczywistości
użytkownik podawał dane karty i zapisywał się na płatną subskrypcję SMS-ów
premium. Zbierane dane mogą też zostać wykorzystane do zaciągania pożyczek na
tożsamość ofiary.
Podane wyżej przykłady nie
wyczerpują oczywiście katalogu potencjalnych oszustw. Nadal groźne są różne
mutacje wyłudzeń „na wnuczka” czy na „policjanta”. Wciąż groźne są ataki
wykorzystujące kody Blik, kiedy to złodzieje podszywają się pod
znajomych i proszą o pożyczkę drobnej kwoty. Wciąż osoby handlujące w serwisach
społecznościowych nagabywane
są przez złodziei o finalizację transakcji poza serwisem za pomocą
fałszywej bramki internetowej. Z kolei banki ostrzegają
przed atakami wykorzystującymi techniki phishingu/smishingu/vishingu.
Jak chronić swoje pieniądze?
Przede wszystkim należy zachować czujność za każdym razem, gdy w grę wchodzą
nasze oszczędności. Jeśli dostajemy podejrzany telefon z banku, od policjanta
czy rzekomego wnuczka, należy się rozłączyć i oddzwonić na infolinię lub numer
alarmowy. Nie klikajmy w podejrzane reklamy na Facebooku, nie udostępniajmy
swoich danych i nie przelewajmy pieniędzy kochankom znanym tylko w internecie.
Okazje nie istnieją, a na naiwnych czekają głównie oszuści.
0 komentarzy