Socjotechniki działania cyberprzestępców
21.04.2020Zwiększając swoją świadomość na temat możliwych ataków cyberprzestępców, niwelujemy potencjalne ryzyko ataku na nasze oszczędności czy dane osobowe. Są pewne sposoby, które oszuści w Internecie szczególnie sobie upodobali. Warto je poznać, by lepiej się przed nimi chronić.
W tym tekście przedstawimy najpopularniejsze przykłady phishingu. Omówimy zagrożenia czyhające na nas w mediach społecznościowych, podczas zakupów w sieci, ale też oszustwa internetowe w ofertach pracy i kryjące się za pozornie niewinnymi wiadomościami.
Zakupy w sieci a oszustwa internetowe
Przez Internet kupujemy już niemal wszystko, a oferta platform e-commercowych stale rośnie – podobnie jak liczba ataków phishingowych, wykorzystujących nieostrożność konsumentów. Jakimi metodami oszuści wyłudzają dane i pieniądze za pośrednictwem sklepów internetowych?
Podszywanie się pod gigantów – fałszywe strony internetowe
Choć trudno to sobie wyobrazić, tuż przed najgorętszym okresem zakupowym, w okolicach tzw. Czarnego Piątku, oszuści internetowi często tworzą całe platformy e-commerce. Ofiara wybiera, co chce kupić, płaci, a potem czeka na przesyłkę, która do niej nie dociera – bo sklep, w którym zamówiła towar nigdy nie istniał. Drugą metodą ataku phishingowego jest tworzenie fałszywych stron internetowych do złudzenia przypominających największe platformy np. Allegro czy Aliexpress. Konsument, zachęcony reklamą, klika w link, który przekierowuje go do fałszywej strony
Fałszywe strony pośredników płatności
Zdarza się też, że choć sama platforma sprzedażowa jest prawdziwa, to strona płatności wręcz przeciwnie. Po zaakceptowaniu koszyka, zamiast bezpiecznie zapłacić za towar, jesteśmy przenoszeni na fałszywą stronę pośrednika płatności, gdzie wpisujemy dane do logowania. Następnie jesteśmy proszeni o autoryzację transakcji i to najczęściej dwukrotnie, bo oszust w tle przeprowadza operacje, które mają na celu wyprowadzenie z naszego konta wszystkich oszczędności.
Komunikaty o dopłacie
“Modnymi” atakami phishingowymi są SMS-y, w których oszuści podszywający się pod najpopularniejszych dostawców, informują o tym, że, aby nasza przesyłka dotarła na miejsce, musimy dopłacić niewielką kwotę. Podobny schemat występuje przy płatnych ogłoszeniach w sieci, w których wystawcy podają swoje numery telefonu – otrzymują oni wiadomość, że należy uiścić dodatkową, drobną opłatę, aby ich ogłoszenie nadal było aktywne. Uważać należy również na oferowanie rzeczy za darmo, z koniecznością zapłacenia jedynie za przesyłkę. Linki w powyżej wymienionych sytuacjach mogą kierować do specjalnie stworzonych paneli, gdzie podajemy dane do logowania do banku, a przestępcy je przejmują. Następnie oszuści internetowi logują się na nasze konto bankowe i generują płatność lub założenie odbiorcy zaufanego, co wymaga dodatkowej autoryzacji, którą wykonujemy dobrowolnie, nie zwracając uwagi na treść komunikatów autoryzacyjnych.
Jak bezpiecznie kupować w sieci?
-
Zwracaj uwagę na szczegóły i upewnij się, że robisz zakupy na właściwej stronie
-
Na każdym etapie płatności sprawdzaj, czy zgadza się adres URL, a cała strona wygląda tak samo jak zwykle
-
Gdy kupujesz coś w nowym miejscu, sprawdź, jak długo dany sklep internetowy działa i czy na pewno jest bezpieczny
-
Jeśli chcesz zachować szczególną ostrożność, możesz założyć konto przeznaczone specjalnie na zakupy internetowe i nie trzymać na nim dużych kwot
Phishing w mediach społecznościowych
Facebook, Instagram i inne media społecznościowe są obecne w wielu obszarach naszego życia – szukamy w nich rozrywki, śledzimy poczynania naszych znajomych, dzielimy się swoimi opiniami, podtrzymujemy kontakt z naszymi bliskimi, a nawet nawiązujemy znajomości. Niewielu z nas ma jednak świadomość, co może nam grozić.
W jaki sposób cyberoszuści wykorzystują social media?
Oprócz wycieku wrażliwych danych czy udostępnianych przez nas informacji, źródłem niebezpieczeństwa jest również nasze zaufanie do znajomych. Ich konta, tak samo zresztą jak nasze, mogą być bowiem wykorzystane do wyłudzenia mniejszych lub większych kwot pieniężnych. W jaki sposób?
Przestępcy połączyli jeden z najwygodniejszych sposobów wykonywania przelewów, BLIK, oraz ufność, jaką pokładamy w mediach społecznościowych i komunikatorach, by stworzyć nową metodę phishingu. Podszywając się pod znajomego, dzięki przejęciu lub stworzeniu fałszywego profilu takiej osoby, kontaktują się z ofiarą i proszą o pilny przelew określonej kwoty. Argumentują swoją potrzebę sytuacją losową: kradzieżą portfela, problemem z powrotem do domu itp. Z reguły prośby te dotyczą małych kwot, wiążą się z naciskami na szybką reakcję i są uzupełniane zapewnieniami o zwrocie pożyczonych środków już następnego dnia. Oszuści proszą nas o przekazanie kodu BLIK, a po zatwierdzeniu przez nas transakcji w aplikacji bankowej (czasami kilkukrotnego z powodu rzekomego niezadziałania poprzedniego kodu) szybko wypłacają gotówkę z bankomatu.
Jak dbać o bezpieczeństwo w mediach społecznościowych?
-
Jeśli Twój znajomy prosi Cię o przelew przez Internet lub podanie wrażliwych danych, skontaktuj się z nim w inny sposób, na przykład zadzwoń, aby upewnić się, że to on jest nadawcą danej wiadomości
-
Zadbaj o silne hasło i, jeśli jest to możliwe, ustaw dwuetapowe uwierzytelnienie. Z tego artykułu dowiesz się, jak stworzyć bezpieczne hasło
-
Nigdy nie loguj się do swojego konta na obcych urządzeniach. Jeśli nie masz innego wyjścia, najlepiej ustaw wcześniej podwójne uwierzytelnienie i otwórz stronę logowania w trybie incognito
-
Nie udostępniaj swojej lokalizacji w social mediach – może to być dla złodzieja wskazówka, że nie ma Cię w domu
-
W Internecie można znaleźć wszystko, ale to nie znaczy, że warto publikować każdy szczegół swojego życia. Uważaj przede wszystkim na takie kwestie jak wysokość zarobków, adresy czy zdjęcia dokumentów, na których mogą znajdować się Twoje dane
Fałszywe oferty pracy
Phishing może przyjąć również formę fałszywej, najczęściej bardzo atrakcyjnej oferty pracy. Naszą podejrzliwość powinny wzbudzić:
-
bardzo atrakcyjne warunki łączące się z brakiem oczekiwań i gwarancją pracy jedynie kilka godzin w tygodniu,
-
zakres obowiązków, który obejmuje wykorzystanie naszego prywatnego konta i pośredniczenie przy przelewach pieniężnych,
-
brak opisu wymagań i zakresu obowiązków,
-
otrzymanie niespodziewanej wiadomości od rekrutera. W dobie bezpośredniej rekrutacji zdarza się to coraz częściej, ale jeśli oferta nie jest związana z naszym doświadczeniem zawodowym, a za nadawcą nie stoi żadna znana nam firma, lepiej mieć się na baczności,
-
linki lub pliki w wiadomości od rekrutera, w których rzekomo znajduje się opis stanowiska,
-
e-mail rekrutacyjny przychodzący z adresu bez domeny firmowej – szczególnie, gdy po firmie nie ma śladu w Internecie i brakuje podstawowych informacji o przedsiębiorstwie, tj. adresu, numeru KRS lub telefonu,
-
wiadomości pisane łamaną polszczyzną lub bez polskich znaków,
-
żądania skanu dowodu, poufnych informacji lub numeru konta jeszcze przed podpisaniem umowy,
-
prośby o opłacenie szkolenia lub wykonanie próbnego przelewu.
Pytanie jednak, jaki jest cel oszusta, który publikuje fałszywe oferty pracy?
– Oszust może liczyć na pozyskanie naszych danych osobowych, w tym numer PESEL czy adresu zamieszkania, m.in. w celu zaciągnięcia pożyczki; zmanipulowania nas do przelania pieniędzy na podane konto lub uruchomienia płatnej subskrypcji np. poprzez potwierdzenie konta kodem SMS. Jeszcze niebezpieczniejsze są jednak te ataki, które sprawiają, że zostajemy wplątani w działalność związaną z praniem pieniędzy – jeśli jesteśmy proszeni o pośrednictwo w przelewaniu, wypłacaniu/wpłacaniu środków lub użyczenie prywatnego konta bankowego, jak najszybciej wycofajmy się z takiej współpracy i rozważmy zgłoszenie tego do organów ścigania – mówi ekspert bezpieczeństwa Currency One.
Oferty pracy mogą być też wykorzystane do typowych ataków phishingowych, takich jak niebezpieczne linki lub zainfekowane pliki. Tego typu oszustw przestępcy dopuszczają się nie tylko poprzez udostępnianie ogłoszeń na portalach rekrutacyjnych czy na grupach na Facebooku (proponując najczęściej pracę bez wychodzenia z domu i ogromne prowizje), ale też w bezpośrednich, nierzadko bardzo przekonujących mailach lub wiadomościach na Linkedinie czy innych portalach zawodowych.
Jak uchronić się przed oszustwami?
-
Nie otwieraj plików od nieznanych nadawców. Dotyczy to zarówno wiadomości mailowych, jak i serwisów społecznościowych
-
Dokładnie czytaj treści wysłanych przez potencjalnego pracodawcę lub agencję zatrudnienia regulaminów i umów – nie daj się złapać na drobny druczek
-
Jeśli otrzymasz ofertę od firmy znanej na rynku, ale coś wzbudzi Twoje wątpliwości, zadzwoń do działu HR i upewnij się, że nikt nie podszywa się pod danego pracodawcę (zadzwoń pod numer telefonu znaleziony na oficjalnej stronie internetowej, nie w otrzymanej wiadomości)
-
Nie odpowiadaj na podejrzane oferty pracy – szczególnie, gdy nigdy nie aplikowałeś na podobne stanowisko
Wiadomości od oszustów internetowych
Częstą praktyką phishingową jest wysyłanie maili i SMS-ów w imieniu podmiotów cieszących się zaufaniem: instytucji finansowych, serwisów ogłoszeniowych czy organów państwowych. Pomysłowość przestępców w tym zakresie nie zna granic, a jej efektem są niezwykle wiarygodne komunikaty, których przykłady zostały opisane poniżej.
-
Wiadomości o blokadzie konta
Oszuści, podszywając się pod banki, wysyłają na losowo wybrane adresy e-mail komunikaty o blokadzie konta, karty płatniczej lub aplikacji mobilnej. W wiadomości znajduje się link, który kieruje nas na stronę panelu transakcyjnego. W rzeczywistości użytkownik trafia na witrynę do złudzenia przypominającą oryginał i, aby uratować rzekomo zablokowane konto, loguje się do serwisu – a złodzieje zyskują jego hasło i login. Jedyne, czego im brakuje, by ograbić ofiarę z oszczędności, to kod SMS lub autoryzacja przez aplikację mobilną, którymi zatwierdzą transakcję.
-
Niebezpieczne załączniki
W imieniu różnych instytucji i przedsiębiorstw oszuści internetowi wysyłają do swoich ofiar e-maile z plikami, które mają na celu zainfekowanie ich urządzeń. Załącznik jest najczęściej spakowany lub zawiera nietypowe rozszerzenie. Złośliwe oprogramowanie, atakujące komputer lub telefon, po otwarciu pliku może podmieniać linki do stron bankowości internetowej, przechwytywać hasła lub wyświetlać komunikaty, sugerujące konieczność zainstalowania specjalnego oprogramowania antywirusowego. W rzeczywistości jest to kolejny wirus, który infekuje urządzenie użytkownika w celu przekierowania kodów SMS, przechwytywania informacji wrażliwych czy wręcz jego przejęcia.
-
Prośby o przelewy
Bardzo popularną metodą phishingu jest podszywanie się pod firmy telekomunikacyjne czy kurierskie, a nawet instytucje rządowe, aby poprosić użytkowników o uregulowanie rachunku lub dopłatę do usługi. Z pozornie wiarygodnego adresu otrzymujemy wtedy fałszywy numer konta albo link do panelu, w którym mamy zatwierdzić przelew. Przykładem tego są SMS-owe prośby o uiszczenie opłaty za przesyłkę w okresie przedświątecznym. Znane są też sytuacje podszywania się pod Ministerstwo Finansów i prośby o wpłatę za wpis do rejestru REGON lub podanie danych karty kredytowej celem zwrotu nadpłaty podatku.
-
Oszustwa na konkursy
Któż z nas nie dostał SMS-a o treści “Gratulacje, wygrałeś XYZ! Aby odebrać nagrodę, wyślij SMS na numer…”? Odesłanie SMS-a będzie nie tylko bardzo kosztowne, ale i rozpocznie serię kolejnych, dodatkowo płatnych wiadomości np. z odpowiedziami na zadawane pytania. Równie popularne są konkursy wyskakujące nam w okienkach na stronach internetowych lub przychodzące za pośrednictwem poczty elektronicznej – zaangażowanie się w nie, poza stratą pieniędzy, może wiązać się z wgraniem złośliwego oprogramowania. Należy również uważać z oddzwanianiem na numery, od których mamy nieodebrane połączenia. Oszuści podszywają się pod numer przypominający numer krajowy, ale w rzeczywistości jest to numer egzotycznego kraju, gdzie połączenia są bardzo kosztowne.
Jak uchronić się przed takimi oszustwami?
-
Żadna instytucja finansowa nie poprosi Cię w wiadomości o podanie danych do logowania, hasła, kodów autoryzacyjnych lub danych kart płatniczych, więc nigdy ich nie wysyłaj
-
Loguj się na swoje konto bankowe tylko przez stronę banku lub aplikację, nigdy z linków przesyłanych w wiadomościach
-
Nie otwieraj załączników od nieznajomych ani tych, które znajomi wysłali Ci niespodziewanie – ich poczta elektroniczna mogła zostać zainfekowana
-
Dokładnie sprawdzaj adres nadawcy, porównuj korespondencję z wcześniejszymi mailami
-
Jeśli coś wzbudzi Twój niepokój, zadzwoń do instytucji, która rzekomo wysłała wiadomość i wyjaśnij wątpliwości. Numer telefonu sprawdź na oficjalnej stronie internetowej, zamiast dzwonić pod numer podany w komunikacie
-
Nie odpowiadaj na maile o nagrodach, których nie starałeś się wygrać
-
Jeśli z takowych nie korzystasz, zablokuj u swojego operatora telekomunikacyjnego wiadomości i połączenia głosowe o podwyższonej opłacie (tzw. usługi PREMIUM), a także wychodzące połączenia międzynarodowe. Usługa ta jest bezpłatna, a operator nie może odmówić jej wykonania
Phishing “sezonowy”
Ataki phishingowe bardzo często opierają się na aktualnych wydarzeniach i trudno się dziwić, bo dzięki temu zyskują na wiarygodności. Przykładowo, w okolicach ostatecznego terminu rozliczania podatku PIT pojawiają się maile, rzekomo od Urzędu Skarbowego, nawołujące do szybkiej dopłaty i grożące poważnymi konsekwencjami. Gdy wybucha skandal związany z niewypłacaniem odszkodowań przez ubezpieczalnie, dostajemy podejrzane wiadomości, które gwarantują nam wsparcie i odzyskanie pieniędzy.
W zeszłym roku oszuści wykorzystali kampanie medialne dotyczące unijnej dyrektywy PDS2, która weszła w życie 14 września 2019 roku. Jednym z elementów owej dyrektywy jest konieczność skorzystania z tzw. silnego uwierzytelnienia podczas logowania do serwisu finansowego czy dokonywania transakcji. Jak to wygląda w praktyce? Musimy zostać zweryfikowani przez 2 z 3 elementów:
– „wiedzę”, czyli kod lub hasło, które jest znane tylko nam,
– „posiadanie”, czyli coś, co posiadamy na własność np. telefon,
– „cecha”, czyli nasza wyjątkowość np. odcisk palca.
Więcej treści o bezpieczeństwie znajdziesz w naszym PORADNIKU