Oszuści stosują coraz bardziej wyrafinowane techniki w celu wyłudzenia pieniędzy. Nie atakują banków – biorą na cel użytkowników bankowości elektronicznej. Cyberprzestępcy oszukują, mamią lub straszą. Możemy się jednak przed nimi skutecznie bronić. Eksperci Banku Pekao radzą, jak nie dać się wyprowadzić w pole i uchronić swoje pieniądze.

Phishing, vishing, spoofing, skimming i inne. Słownik stosowany przez specjalistów puchnie od nowych terminów określających próby ataków na użytkowników kanałów elektronicznych. Większość stosowanych technik ma na celu oszukanie ofiary i nakłonienie jej do przelania pieniędzy bądź ujawnienia danych do logowania. Choć ataki mają wspólny mianownik, to metody stosowane przez oszustów cały czas ewoluują. Najczęściej chodzi o to, by przekonać ofiarę do zrealizowania określonych czynności. Niestety, praktyka pokazuje, że przestępcy są skuteczni. Dlatego poniżej przedstawiamy najpopularniejsze typy oszustw i podpowiedzi, jak się przed nimi uchronić.

– Warto podkreślić, że choć częstotliwość i różnorodność cyberataków jest coraz większa, to na szczęście nie jesteśmy bezbronni w walce z nimi. Mamy do dyspozycji kilka sposobów - nie tylko instalując programy antywirusowe czy odpowiednie blokady, ale też poprzez zachowanie ograniczonego zaufania w sieci oraz stosowanie podstawowych zasad cyberbezpieczeństwa. Przestrzeganie tych reguł to najskuteczniejsza broń przed cyberatakami. Pamiętajmy także, aby tworząc hasło do bankowości elektronicznej było ono silne i trudne do odgadnięcia. Wyróbmy w sobie nawyk częstej zmiany hasła i PINu do aplikacji i posiadanych kart płatniczych. Informujmy bank o wszelkich próbach oszustwa – podkreśla ekspert ds. bezpieczeństwa. w Banku Pekao S.A.

Phishing

Metoda stara jak świat, ale cały czas skuteczna. Polega na podstawieniu ofierze fałszywej strony internetowej, na której oszukany poda swoje wrażliwe dane. Strona taka na pierwszy rzut oka do złudzenia przypomina oryginał. Może to być kopia witryny banku lub bramki do wykonywania płatności. W ostatnich miesiącach właśnie ten drugi atak stał się szczególnie popularny. Oszuści szukają swoich ofiar na portalach z ogłoszeniami (np. OLX, Vinted) wysyłając im linki przez SMS, komunikatory czy na maila. W linkach podany jest adres fałszywej strony, gdzie oszukany wprowadza wrażliwe dane – login, hasło, dane karty, etc.

Jak się bronić? Porady eksperta Pekao

Przed zalogowaniem czy dokonaniem transakcji pierwszym krokiem powinna być weryfikacja autentyczności i poprawności adresu witryny, na której wpisujemy dane karty płatniczej lub logujemy się do bankowości elektronicznej, w tym na stronach pośredników płatności. Fałszywe strony często zawierają błędy, np. literówki.

Dobrze jest także skontrolować aktualność i wystawcę certyfikatu strony www. Pamiętajmy, aby klikać tylko w linki z pewnych, sprawdzonych źródeł. Nie należy używać do logowania adresu lub linku otrzymanego w wiadomości SMS, e-mail lub w serwisie społecznościowym.

Naszą czujność powinny wzbudzić także prośby o dokonanie płatności wysłane „dodatkowym” SMS-em, wiadomością w komunikatorach lub e-maile ze „sklepu”, firmy kurierskiej, dostawcy energii, „serwisu” lub „banku”. Nigdy nie podawajmy na stronie internetowej sprzedawcy swoich danych logowania do konta bankowego lub hasła skrzynki e-mail.

Dodatkowo, jeśli podejrzewamy, że możemy być ofiarą oszustwa, zastrzeżmy kartę płatniczą. Najczęściej można to zrobić w aplikacji mobilnej banku lub telefonicznie przy pomocy infolinii. Zmieńmy również dane do logowania w bankowości elektronicznej.

Android malware

Złośliwe oprogramowanie na telefony z systemem Android. Przestępcy wykorzystują phishing do podstawienia ofierze linku, spod którego będzie mogła pobrać oprogramowanie na telefon. Przekonują, że występują w imieniu banku i zalecają zainstalować np. program antywirusowy. Ale nie tylko. W dobie pandemii przestępcy przesyłali też SMS-em linki z informacją o rzekomym o skierowaniu na kwarantannę domową. Taki link kierował do trojana Cerberus, który infekował telefon. Odnotowywane były również przypadki nakłaniania do zainstalowania fałszywej aplikacji ProteGO Safe, która zawierała wirusa BlackRock. Wirusy mają różne działanie – np. mogą śledzić wszystkie ruchy użytkownika, przechwytywać w tle SMS-y z kodami autoryzacyjnymi etc.

Jak się bronić? Porady eksperta Pekao

Nie instalujmy na komputerze i na urządzeniu mobilnym oprogramowania z linku, z maila czy wiadomości na komunikatorze. Dotyczy to także aplikacji, które powinniśmy pobierać tylko ze sprawdzonych platform, typu Google Play czy App Store. Zwracajmy też uwagę na ilość pobrań danej aplikacji - sygnałem ostrzegawczym powinna być dla nas ich relatywnie niewielka ilość. Cyberprzestępcy udostępniają aplikacje, które mogą umożliwić im śledzenie danych wpisywanych w przeglądarce, rejestrować działania podejmowane w Internecie czy automatycznie przekierowywać wiadomości SMS z kodem do autoryzacji. W ten sposób nasze loginy i hasła do bankowości elektronicznej czy mobilnej mogą trafić w niepowołane ręce, a w rezultacie doprowadzić do odpływu środków z naszego konta.

Wykonując operacje na swoim koncie, sprawdzajmy czy wiadomość SMS z kodem autoryzacyjnym jest z nią zgodna. Nie przekazujmy nikomu kodu do aktywacji aplikacji mobilnej. Do logowania nie używajmy adresu lub linku otrzymanego w wiadomości SMS, e-mail lub w serwisie społecznościowym.

Vishing

Jest to mutacja phishingu, ale za pomocą kontaktu telefonicznego. Oszust podszywa się pod pracownika banku i przekonuje ofiarę do wykonania określonych czynności. Najczęściej chodzi o to, by poszkodowany zainstalował program do zdalnej kontroli pulpitu (np. Anydesk), za pomocą którego cyberprzestępca może obsługiwać komputer ofiary. Czasami oszuści wybierają inne metody, np. nakłaniają klienta banku do wypłaty i przekazania pieniędzy lub podania kodów Blik. Vishing jest ostatnio szczególnie niebezpieczny ze względu na to, że przestępcy dzwoniąc podszywają się pod prawdziwy numer telefonu, czyli na ekranie telefonu wyświetla się numer np. infolinii bankowej. Tego typu atak poprzez podszywanie się pod inny numer telefonu określany jest jako spoofing.

Jak się bronić? Porady eksperta Pekao

Przede wszystkim z ograniczoną ufnością powinniśmy podchodzić do telefonów, wiadomości e-mail czy na komunikatorze, w których osoba po drugiej stronie podaje się za jakąś instytucję (np. ZUS) lub za bank. Oszuści preparują wiadomości w taki sposób, aby sprawiały wrażenie, że wysłała ją osoba, lub instytucja, której ufamy. Zwłaszcza, gdy wiadomość dotyczy żądania opłat, opłacenia faktur czy też ostrzeżenia o infekcji telefonu komórkowego lub blokadzie dostępu do bankowości elektronicznej.

Zachowajmy czujność, gdy ktoś do nas dzwoni, opowiada na przykład o próbie włamania na nasze konto albo wyłudzenia kredytu na nasze nazwisko, a przy tym chce uzyskać nasze dane np. hasło do serwisów bankowości elektronicznej czy dane naszej karty oraz kodu CVV2/CVC2. Niezależnie od sytuacji pracownik banku nigdy o to nie prosi!

W razie najmniejszych wątpliwości zadzwońmy na infolinię danej instytucji i upewnijmy się co do prawdziwości takiej informacji.

Bądźmy ostrożni przy instalowaniu nowych aplikacji i programów na swoim telefonie i komputerze. Pod pretekstem uzyskania rabatu czy zamówienia przesyłki kurierskiej cyberprzestępcy wysyłają link do instalacji złośliwej aplikacji. Przed każdą instalacją aplikacji należy zawsze uważnie sprawdzać jej wiarygodność np. w oparciu o liczbę pobrań lub komentarzy. Nie warto także wyrażać zgody na nadmiarowe uprawnienia ściągniętej aplikacji.

Fałszywe inwestycje w kryptowaluty/akcje

W dobie niskich stóp procentowych oszuści kuszą potencjalnie wysokimi zyskami na kryptowalutach lub akcjach znanych firm. Tworzą fałszywe strony internetowe, na których zachęcają do inwestycji. Uruchamiają nawet własne infolinie, gdzie starają się nakłonić ofiary do przekazania pieniędzy. Podają się za pośredników, kuszą ponadprzeciętnymi zyskami, nierzadko wykorzystują bezprawnie wizerunki znanych osób – celebrytów czy ekspertów. Często nakłaniają do przekazania wrażliwych danych, instalacji oprogramowania na komputerze, czy przesłania skanów dokumentów.

Jak się bronić? Porady eksperta Pekao

Bądźmy ostrożni wobec ofert wyjątkowo zyskownych inwestycji w kryptowaluty czy w akcje popularnych firm. Nie spodziewajmy się, że duże koncerny paliwowe poszukują chętnych na zakup swoich akcji na popularnych portalach internetowych. Dokładnie sprawdźmy każdą taką ofertę u źródła. W sieci pod żadnym pozorem nie powinniśmy przekazywać skanów swoich dokumentów czy kart płatniczych.

Oszustwa na Facebooku i Messengerze

Przestępcy włamują się na profile osób w serwisach społecznościowych, a następnie proszą znajomych ofiary o drobną pożyczkę. Z reguły motywują ją nagłą sytuacją (np. blokadą konta w banku i koniecznością wykonania szybkiej transakcji) i obiecują zwrócić pieniądze na drugi dzień. Proszą o podanie kodu Blik w celu przekazania pieniędzy. Oszuści wówczas stoją już przy bankomacie, w którym wprowadzają otrzymany kod BLIK i wypłacają pieniądze. Po opróżnieniu konta słuch po nich ginie, a niesmak między znajomymi pozostaje.

Jak się bronić? Porady eksperta Pekao

Nigdy nie należy udostępniać kodu BLIK osobom trzecim przez wiadomości czy komunikatory. Oszuści sprytnie podszywają się pod znane nam osoby. Zanim przekażemy pieniądze znajomemu w potrzebie, zadzwońmy do niego i sprawdźmy czy faktycznie potrzebuje pożyczki.

Oszustwa „nigeryjskie”

Wariantów tego przestępstwa jest wiele. Od rzekomej wygranej w konkursie po wątki matrymonialne. Generalnie sprowadza się ono do wciągnięcia ofiary w grę psychologiczną i zdobycie jej zaufania. Czasami taki proces trwa wiele miesięcy. Ostatecznie jednak oszust prosi o przekazanie mu pieniędzy. Może to być pożyczka, pokrycie kosztów transferu olbrzymiej sumy pieniędzy, wsparcie na ratowanie życia, pomoc zwierzętom i inne. Oglądaliście „Oszusta z Tindera”? To też jedna z wariacji na temat tego przekrętu. Proceder nazwany jest nigeryjskim oszustwem ze względu na olbrzymią powszechność tego oszustwa w tym kraju w latach 90-tych.

Jak się bronić? Porady eksperta Pekao

Niezależnie od historii, którą przedstawią nam przestępcy, za każdym razem naszą obroną powinna być nieufność. Przykładowo jeśli nasz krewny, o którym dotąd nie mieliśmy pojęcia, zapisał nam w spadku cały swój majątek, pomyślmy czy możliwe jest, aby o istnieniu takiej osoby nikt z rodziny dotąd nam nie opowiadał. Przestępcy mogą chcieć uprawdopodobnić swoją wersję, przekazując nam skany różnych dokumentów. Pamiętajmy, że kopie i skany dokumentów urzędowych opatrzone są odpowiednimi podpisami, mikrodrukiem, hologramami czy znakami wodnymi. W formie skanu nie mają żadnej wartości i mocy prawnej. Natomiast wykonanie takiego dokumentu za pomocą odpowiednich programów graficznych, by potem udostępnić go ofierze w mailu, jest dla przestępców banalnie proste. W tego typu przypadkach przestępcom chodzi o nakłonienie ofiary do przelania pieniędzy w celu poniesienia rzekomych kosztów urzędowych, podatkowych itp. związanych ze spadkiem. Zastanówmy się, czemu nasz przyszły spadek nie może być po prostu pomniejszony o te koszty przed przekazaniem go do nas? Przestępcy wykorzystują też w sposób perfidny ludzkie uczucia. Ofiary wciągane są w wirtualny romans. Intryga trwa tygodniami, chodzi o zdobycie zaufania takiej osoby, a potem nakłonienia jej do przekazania swoich pieniędzy wirtualnemu wybrankowi np. w celu sfinansowania podróży do miejscowości ofiary, czy na zakup domu, w którym potem wspólnie zamieszkają. Nieufnie podchodźmy do wszystkich wirtualnych znajomości i pod żadnym pozorem nie przekazujmy pieniędzy nikomu, kogo nie poznaliśmy w świecie rzeczywistym.

Fałszywe sklepy internetowe, fikcyjne aukcje, ogłoszenia w portalach sprzedażowych

Niesłabnącą popularnością wśród oszustów cieszą się ataki na użytkowników e-commerce. Metod jest wiele. Od tworzenia fałszywych sklepów internetowych, przez wystawianie fałszywych aukcji i ogłoszeń w portalach z używanymi rzeczami. Zazwyczaj takie oferty kuszą konkurencyjną ceną, bo przestępcy chcą w jak najkrótszym czasie zdobyć jak najwięcej zamówień. Obowiązuje przedpłata, czyli przekazanie pieniędzy z góry. Później szukaj wiatru w polu. Sklep znika z sieci, a kontakt z ogłoszeniodawcą się urywa.

Jak się bronić? Porady eksperta Pekao

Szczególną ostrożność powinniśmy wykazywać wobec ofert wyjątkowo atrakcyjnych. Zanim zdecydujemy o transakcji, pamiętajmy o weryfikacji autentyczności sklepu internetowego. Naszą czujność powinny także wzbudzić próby nawiązania kontaktu poza portalem zakupowym. Podczas płatności za zakupy online zwykle następuje przekierowanie do płatności elektronicznych w bankowości internetowej. Nie dajmy się nabrać na „dodatkowe” SMS-y, wiadomości w komunikatorach lub e-maile ze „sklepu”, „serwisu” lub „banku” z prośbami o dokonanie płatności. Wybierajmy wygodne, sprawdzone i bezpieczne metody płatności np. BLIK, tradycyjny przelew.

Nigdy na stronie internetowej sprzedawcy nie powinniśmy podawać swoich danych logowania do konta bankowego lub hasła skrzynki e-mail. Bank nigdy nie prosi o podanie całego hasła. A jeśli podczas zakupów online pojawi się takie polecenie, to najprawdopodobniej świadczy ono o próbie wyłudzenia danych.

Unikajmy także zakupów online w otwartych sieciach wifi. Publiczne sieci wifi, np. w centrach handlowych, hotelach czy biurowcach, mogą być słabo zabezpieczone i tym samym narażone na cyberataki. Złodzieje mogą to wykorzystać i wykraść dane klienta, gdy będzie on logował się do banku za pośrednictwem otwartej sieci. Róbmy zakupy, będąc podłączonym do zaufanej, zabezpieczonej sieci internetowej.

Oszustwa na policjanta (a także funkcjonariusza CBŚ czy wnuczka)

W tym scenariuszu oszuści biorą najczęściej na celownik przedstawicieli starszego pokolenia. Typują ofiarę, wobec której inscenizują „przedstawienie”. Na przykład dzwonią podając się za policjanta i informują o ataku hakerów na bank. Przekonują swoją ofiarę, by szybko wypłaciła pieniądze i przekazała policjantowi lub funkcjonariuszowi CBŚ. Wywierają ogromną presję na ofierze, każą działać szybko. Stosują też wariant „na wnuczka”, w którym informują, że krewny ofiary miał wypadek lub podpadł gangsterom i należy szybko zorganizować pieniądze, by mu pomóc. Po przekazaniu środków kontakt się urywa.

Jak się bronić? Porady eksperta Pekao

„Ostrożność” to z pewnością słowo klucz podczas nawiązywania kontaktów z nieznanymi osobami. Zweryfikujmy czy opisana przez rozmówcę sytuacja w ogóle miała miejsce. Ponadto pamiętajmy, że policja i inne służby nigdy nie proszą o przekazanie pieniędzy w ramach trwającej akcji. Jeśli otrzymaliśmy telefon od osoby podającej się za policjanta, zakończmy połączenie z dotychczasowym rozmówcą i samodzielnie wykonajmy połączenie na 997 lub 112, by potwierdzić tożsamość funkcjonariusza. Jest to szczególnie ważne, bowiem nasz rozmówca może proponować bezpośrednie przełączenie na 997/112 lub sugerować zakończenie połączenia symbolem # lub * i wybranie 997/112 – przestępcy tym samym chcą tylko upozorować, że łączymy się z policją a w rzeczywistości nie zakończyliśmy dotychczasowego połączenia i oszust potwierdza rzekomą tożsamość funkcjonariusza.

