Szybki i łatwy zysk czy wakacyjna miłość (ale do pieniędzy). Oto najpopularniejsze trendy w cyberatakach

W sezonie wakacyjnym złodzieje nie próżnują. I nie chodzi jedynie o kieszonkowców szukających okazji w popularnych kurortach. Ostrożność powinni zachować także klienci korzystający z usług elektronicznych. Nie ma dnia, by media nie donosiły o nowych, coraz bardziej wymyślnych próbach wyłudzeń pieniędzy. Niestety, coraz częściej skutecznych.

Już co trzeci Polak spotkał się w ostatnim czasie z próbą wyłudzenia danych za pomocą maili, telefonów czy SMS-ów – wynika z badania "Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce" serwisu ChronPESEL.pl i Krajowego Rejestru Długów (KRD). Jednocześnie 12,4 proc. respondentów przyznało, że oszustom udało się wyłudzić ich dane. Z kolei 13,7 proc. stwierdziło, że ofiarą oszustów stał się ktoś bliski.

Codziennie media donoszą o nowych próbach ataków na klientów korzystających z usług elektronicznych – bankowości internetowej, płatności, serwisów aukcyjnych czy inwestycyjnych. Poniżej przedstawiamy kilka schematów niebezpiecznych ataków, na które mogliśmy się natknąć tylko w pierwszych dniach wakacji. A to jedynie wierzchołek góry.

1. Prawie jak aplikacja, czyli klasyczny phishing w nowej odsłonie

O schematach ataków phishingowych piszemy na łamach Bankier.pl od lat, ale niestety nadal jest to jedna z najbardziej skutecznych technik wyłudzania danych. Oczywiście na wyłudzaniu się nie kończy, bo udany atak skutkuje kradzieżą pieniędzy z konta bankowego. W pierwszych dniach lipca na celowniku oszustów pojawili się klienci największego banku w Polsce – PKO BP. Na losowo wybrane numery telefonów trafiły SMS-y zachęcające do instalacji aktualizacji aplikacji IKO. W wiadomościach podany był link. W rzeczywistości jednak nie chodziło o zainstalowanie programu z niezaufanego źródła, więc telefon nie był w stanie ostrzec użytkownika przed próbą oszustwa.

Tym razem oszuści podsunęli klientom link kierujący do strony z tzw. aplikacją w technologii WebAPK. Dlatego telefon nie ostrzegał przed próbą instalacji z niezaufanego źródła. Po zainstalowaniu programu użytkownik proszony był o podanie danych do logowania i w tym momencie rozpoczynał się już klasyczny atak phishingowy, czyli prośba o aktywację „apki” i wpisanie swoich passów. Niestety istnieje ryzyko, że podobny schemat zostanie wykorzystany wkrótce na klientach innych banków. Pamiętajmy więc, by nie klikać w żadne linki przesyłane nam rzekomo przez banki w mailach czy SMS-ach.

2. Naklejki z fałszywymi kodami QR na parkomatach. Płacisz – tracisz

Kilka dni temu na parkomatach w Krakowie pojawiły się naklejki z fałszywymi kodami QR pozwalającymi rzekomo uiścić opłatę za postój samochodu. Turyści odwiedzający to miasto, którzy chcieli opłacić parking, narazili się na kradzież pieniędzy z konta, zeskanowany kod kierował bowiem do fałszywej bramki płatniczej. Tam użytkownik proszony był o wprowadzenie danych karty. Jeśli to zrobił, narażał się na kradzież środków.

Niestety atak mógł być skuteczny, bo w sezonie wakacyjnym przez Kraków przewija się masa turystów. Wielu z nich przybywa z zagranicy i nie ma świadomości, jak w danym kraju wygląda sposób opłacania rachunku za postój auta. Kod QR jest rozwiązaniem wykorzystywanym na całym świecie, więc wydawać się mógł wiarygodny. Na szczęście oszuści dość szybko trafili w ręce organów ścigania. Nie oznacza to jednak, że kolejni nie podejmą w przyszłości bardziej skutecznych działań bazujących na tej socjotechnice. Dlatego jeśli wybieramy się na wycieczkę do innego miasta, warto sprawdzić na oficjalnej stronie urzędu, jakie systemy płatności pozwalają na uregulowanie należności za postój. Z reguły można opłacić rachunek za pomocą popularnych aplikacji mobilnych typu Skycash czy mPay.

3. Fałszywe okazje inwestycyjne. Szybkie sposoby na wzbogacenie to ryzyko

Tego typu przekrętów pełno jest w mediach społecznościowych. Z reguły wykorzystują one wizerunek znanych firm, celebrytów czy polityków. Oszuści kuszą potencjalne ofiary szybkim zyskiem i wysokim zwrotem z potencjalnej inwestycji. Proszą o przejście na spreparowaną stronę internetową, na której można przeczytać same superlatywy oraz fałszywe historie osób, które rzekomo w szybki sposób dorobiły się pieniędzy. Tu mechanizmów oszustwa może być kilka. Na przykład może to być klasyczna prośba o rejestrację i wpłatę pierwszej raty na poczet inwestycji. Oszuści obiecują, że pomnożą te pieniądze w kilka dni. Oczywiście wpłacone środki przepadną.

Innym sposobem jest próba nakłonienia potencjalnej ofiary do zainstalowania specjalnego oprogramowania do obsługi inwestycji na komputerze (np. TeamViewer lub AnyDesk). W rzeczywistości chodzi o program, który pozwala na zdalne przejęcie kontroli nad urządzeniem. Jeśli użytkownik da się nabrać i zainstaluje program, oszuści będą w stanie dokonać kradzieży. Jeszcze inny schemat może polegać jedynie na wyciąganiu danych osobowych podczas rejestracji. Niestety, dane te mogą posłużyć później do zaciągania kredytów na skradzioną tożsamość.

Tylko w ostatnich dniach o takim ataku informowała firma Gaz-System. Oszuści wykorzystali jej wizerunek, by zamieścić fałszywe ogłoszenia w serwisach społecznościowych.

4. Wakacyjna miłość z… Nigeryjczykiem

Media regularnie donoszą o kolejnych przypadkach złamanych serc i… wyczyszczonych portfeli. Choć taki przekręt wydaje się grubymi nićmi szyty, to wciąż jest zaskakująco niezwykle skuteczny. Ofiary tracą setki tysięcy złotych i nadzieję na znalezienie wakacyjnej miłości. Schemat tego typu oszustw jest z reguły podobny. Złodziej szuka swojej ofiary w mediach społecznościowych lub w serwisach randkowych. Później, nierzadko przez kilka tygodni, urabia ją, wciskając niestworzone historie o swoim smutnym losie. A to jest żołnierzem, który nie może się wydostać z okupowanego kraju, a to lekarzem, który chce się przeprowadzić do Polski, a to przemytnikiem złota, któremu przechwycono kontrabandę. Za każdym razem potrzebuje pieniędzy, by wydostać się z tarapatów, odzyskać swoje środki i spotkać się z potencjalną ukochaną (lub ukochanym, bo są też wersje dla panów). Oczywiście po wysłaniu środków kontakt się urywa.

Kilka dni temu przed takim oszustwem ostrzegała lubelska policja. Kobieta straciła w ten sposób 250 tys. zł, bo wysłała „przemytnikowi z Londynu” swoje oszczędności. Dokonała ponad 20 przelewów i zaciągnęła na poczet swojej miłości dodatkowe kredyty. Policja podaje, że oszustwa "na Nigeryjczyka" stają się coraz bardziej popularne i apeluje, by zachować ostrożność za każdym razem, gdy potencjalny lekarz/żołnierz/wolontariusz prosi o przesłanie pieniędzy.

5. Okazyjne zakupy. Elektryczne hulajnogi za 10 zł i palety z niedostarczonymi przesyłkami

To kolejny sposób oszustów na wyciągnięcie danych osobowych i informacji o kartach płatniczych. Także i w tym przypadku wykorzystywane są wizerunki znanych firm, a naciągacze liczą na naiwnych, którzy wprowadzą do formularzy swoje dane. W mediach społecznościowych zamieszczane są reklamy rzekomych wyprzedaży towarów z magazynów. Podawane są wiarygodne wytłumaczenia. A to, że towar jest lekko zarysowany, a to że trwa czyszczenie magazynów z nadwyżek towarowych lub – jak w niedawnym przypadku wykorzystującym wizerunek Poczty Polskiej – że trwa wyprzedaż niedostarczonych paczek.

Jak nie dać się cyberoszustom i chronić swoje pieniądze?

Tu mechanizmy oszustw mogą być różne, ale sprowadzają się do tego samego mianownika – kradzieży danych lub naciągania klientów na pieniądze. Na przykład w ostatnio pojawiającej się reklamie w social mediach kuszono elektrycznymi hulajnogami za 10 zł. W rzeczywistości użytkownik podawał dane karty i zapisywał się na płatną subskrypcję SMS-ów premium. Zbierane dane mogą też zostać wykorzystane do zaciągania pożyczek na tożsamość ofiary.

Podane wyżej przykłady nie wyczerpują oczywiście katalogu potencjalnych oszustw. Nadal groźne są różne mutacje wyłudzeń „na wnuczka” czy na „policjanta”. Wciąż groźne są ataki wykorzystujące kody Blik, kiedy to złodzieje podszywają się pod znajomych i proszą o pożyczkę drobnej kwoty. Wciąż osoby handlujące w serwisach społecznościowych nagabywane są przez złodziei o finalizację transakcji poza serwisem za pomocą fałszywej bramki internetowej. Z kolei banki ostrzegają przed atakami wykorzystującymi techniki phishingu/smishingu/vishingu.

Jak chronić swoje pieniądze? Przede wszystkim należy zachować czujność za każdym razem, gdy w grę wchodzą nasze oszczędności. Jeśli dostajemy podejrzany telefon z banku, od policjanta czy rzekomego wnuczka, należy się rozłączyć i oddzwonić na infolinię lub numer alarmowy. Nie klikajmy w podejrzane reklamy na Facebooku, nie udostępniajmy swoich danych i nie przelewajmy pieniędzy kochankom znanym tylko w internecie. Okazje nie istnieją, a na naiwnych czekają głównie oszuści.

Źródło: