Specjalizacja postępuje wśród złodziei chcących wykraść nasze dane oraz przejąć i wyczyścić konta bankowe oraz rachunki inwestycyjne. W tym celu oszuści kradną wizerunki już nie tylko sławnych piłkarzy jak Robert Lewandowski, czy celebrytów pokroju Kuby Wojewódzkiego, ale także znanych ekspertów, jak weteran rynków finansowych Piotr Kuczyński czy wybrany na analityka roku Marcin Tuszkiewicz.
Ostatnie lata to hossa dotycząca większości klas aktywów. Rynek byka i rozkwit wielu giełd przyciągnął zainteresowanie szerokiego grona nowych inwestorów. Liczba rachunków maklerskich w Polsce przekroczyła w tym roku już 2 mln. Odpowiedzią na rosnące zainteresowanie inwestycjami jest nie tylko coraz większa liczba szkoleń z cyklu „jak kupić tanio i sprzedać drogo”, ale też cyberataków na instytucje finansowe.
Coraz więcej cyberataków
Jak wynika z danych CERT Polska NASK, tylko w 2024 roku zarejestrowano aż 103 449 unikalnych (+29% rdr) incydentów związanych z bezpieczeństwem w sieci, a to tylko obsłużone zgłoszenia, które miały lub mogły mieć niekorzystny wpływ na cyberbezpieczeństwo z blisko 601 tys. wszystkich zgłoszeń. Najczęściej występującą kategorią incydentów zarejestrowanych w 2024 roku były oszustwa komputerowe (95% wszystkich obsłużonych incydentów).
Z kolei najbardziej rozpowszechnionym rodzajem oszustw komputerowych były próby wyłudzania poufnych danych, np. loginu i hasła do poczty, strony banku, portalu społecznościowego czy innej usługi online, czyli tzw. phishing (39% incydentów). Najczęściej atakowana była infrastruktura rynków finansowych, której dotyczyło aż 42% wszystkich incydentów.
Najbardziej jaskrawy przykład ostatnich miesięcy dotyczył polskiego domu maklerskiego XTB, prowadzącego największą ilość rachunków brokerskich w kraju. Jego klienci stali się celami ataków i włamań na konta, w wyniku czego tracili nawet po kilkaset tysięcy złotych. XTB jednak zapowiedziało pomoc swoim klientom i rekompensatę utraconych środków.
Trzeba jednak zastanowić się nad przyczynami takich sytuacji, które często są wynikiem, niedostatecznych zabezpieczeń konta (brak podwójnego uwierzytelnienia 2FA) i wykorzystania przez złodziei tzw. metody credential stuffing, czyli sprowadzania czy wyciekłe z innych serwisów dane, jak login i hasło umożliwiają logowanie do innych kont, w tym maklerskich czy bankowych.
Skradzione wizerunki ekspertów
Do wyłudzania danych od lat wykorzystuje się także kradzież wizerunku znanych ludzi i marek. W sieci pełno jest fałszywych profili i reklam bannerowych, na których Kuba Wojewódzki czy Robert Lewandowski zachęcają do inwestycji w jakieś aktywa poprzez konkretną stronę. Wizerunki tych osób są wykorzystywane bez ich wiedzy.
Tak samo jak znaki towarowe znanych firm, takich jak Orlen, który musi się mierzyć z falą fikcyjnych kont w social mediach zachęcających w rzekomym imieniu spółki do inwestycji. Fałszywe ogłoszenia zachęcają najczęściej do inwestowania w akcje spółek Grupy Orlen oraz ich projekty inwestycyjne. Posty prowadzą do stron, które w żaden sposób nie są powiązane z Orlenem i mają za zdania tylko wyłudzić dane i pieniądze od jak największej liczby osób. Kto nie zna Orlenu i nie chciałby z nim zarabiać?
Oszuści jednak zaczynają kierować swoje działania phishingowe do coraz węższych grup osób. Można powiedzieć, że to już kampanie celowane w grupę nowych inwestorów obecnych na rynku finansowym, poszukujących własnej drogi inwestycyjnej i doradztwa. To w ich stronę skierowane są ataki z bezprawnym wykorzystaniem wizerunku znanych analityków, finansowych influencerów, czy osób prowadzących zasięgowe konta w social mediach dotyczące inwestycji.
Jednym z takich ekspertów jest Piotr Kuczyński z Domu Inwestycyjnego Xelion, który w ostatnich tygodniach zmaga się z wyrastającymi jak grzyby po deszczu fałszywymi profilami ze swoim wizerunkiem. Przestępcy zakładają fałszywe konta na platformach takich jak Facebook czy Instagram, wykorzystując wizerunek analityka, by wzbudzić zaufanie i pozyskać kolejne ofiary. Piotr Kuczyński w świecie finansów jest rozpoznawalny także dla przeciętnego Kowalskiego. Od lat można go zobaczyć komentującego rynkowe wydarzenia w programach informacyjnych na głównych kanałach telewizyjnych.
„Problem oszukańczych reklam z moim wizerunkiem (czasem też z moim głosem!) pojawił się około połowy lipca. Pojawiły się moje fałszywe profile na FB, a za nimi dziesiątki lub setki reklam obiecujących doskonałe inwestycje i wejście w grupy inwestycyjne na WhatsApp. Usiłowałem sam z tym walczyć, bo myślałem, że to tylko fałszywy profil. Wielokrotne zgłaszania na FB nic nie dawało. Robiła to żona, bo nie mam profilu na FB, ale okazywało się, że według platformy nie jestem znaną osobą" - tłumaczy redakcji Bankier.pl Kuczyński.
Podkreśla, że swoje konta w social mediach prowadzi tylko na platformach X i LinkedIn. W walkę z oszustwami zaangażował się też jego pracodawca - DI Xelion - informując na swoich oficjalnych profilach, że z ich kont nie są wysyłane prywatne wiadomości z ofertami inwestycyjnymi oraz zaproszenia do grup w komunikatorach. O swoim problemie opowiadał już w programie "Sprawdzamy" na TVP Info oraz "UWAGA", emitowanym przez TVN.
„Profile udawało się z czasem usuwać, ale reklam po prostu jest zbyt wiele” – komentuje Piotr Kuczyński. „Zgłoszone zostało wszędzie: FB, Instagram, CERT Polska NASK, CBZC, gdzie złożone zostało oficjalne doniesienie i gdzie zostałem przesłuchany. CERT napisał mi, że nie posiada możliwości usuwania treści na portalach Facebook oraz Instagram” – dodał.
Innym znanymi ekspertem, którego dotknął problem kradzieży wizerunku jest Marcin Tuszkiewicz z portalu Squaber.com, wybrany w tym roku przez społeczność Stowarzyszenia Inwestorów Indywidualnych na Herosa Rynku Kapitałowego w kategorii analityk giełdowy. Tuszkiewicz od kilku lat nagminnie spotyka się z sytuacją, gdy oszuści kopiują jego konta w social mediach.
„Konto podszywało się pode mnie kopiując jeden do jednego zawartość tego co piszę i zapraszając do znajomych wszystkich po kolei, oferując zarządzanie środkami. Wtedy jeszcze nie posiadałem zautoryzowanego konta X, ponieważ nie miałem takiej potrzeby. Żeby zgłosić oszustwo musiałem zapłacić portalowi X za niebieski znaczek i do dziś go utrzymuję tylko po to, aby moje konto było "autoryzowane". Pomimo tego i tak X dopuszcza zakładanie kont o takim samym imieniu i nazwisku oraz rażąco podobnej nazwie. Oryginalnie to @ttusiek” – opowiada Bankierowi Marcin Tuszkiewicz.
„Zwykle po autoryzacji (ponownej) swojego konta, fałszywe usuwane jest w ciągu doby. Analogicznie na Facebooku, zarówno jeżeli chodzi o konto firmowe Squabera jak i moje prywatne” – dodaje.
„Jeżeli miałby dać radę odbiorcom, jak uniknąć oszustwa, to jest jedna rzecz, która na 99% się sprawdzi. Żadna osoba rozpoznawalna w Internecie sama nie rozpoczyna komunikacji na social mediach, ponieważ zwyczajnie nie ma na to czasu. Traktujemy w przeważającej części nasze media jako kontakt jednostronny lub przez komentarze” – zauważa Tuszkiewicz.
Z relacji ekspertów wynika, że najczęściej proceder z wykorzystaniem wizerunku polega na promowaniu fałszywych inwestycji lub rzekomych „pewnych sposobów na szybki zysk”, przekonywanie do transakcji, w których ofiara ma wpłacić pieniądze na wskazane konta, często „gwarantowane” przez znanego analityka, zachęcanie do kontaktu poprzez komunikatory, lub fałszywe strony www oraz na wyłudzaniu danych osobowych, lub informacji dostępowych do kont finansowych pod pretekstem doradztwa inwestycyjnego lub ekskluzywnej oferty.
Fałszywe profile są profesjonalnie przygotowane, często zawierają autentyczne zdjęcia lub zacytowane wypowiedzi znanych analityków. Oszuści próbują wywierać presję – oferując „unikatową” okazję dostępną tylko przez krótki czas. Eksperci podkreślają, że nie prowadzą tego typu działalności na portalach społecznościowych ani nie kontaktują się z klientami przez komunikatory.
Kliknięcie w reklamę ze znanym ekspertem lub w link podesłany przez fałszywe konto powoduje zazwyczaj przekierowanie na stronę, na której prawdopodobnie padniemy ofiarą oszustwa. Są ich setki z opcją założenia konta. Obiecujących możliwość handlowania różnymi instrumentami finansowymi po wpłaceniu niewielkiego depozytu.
Warto sprawdzić, czy stojący za daną stroną pomiot nie jest wpisany na listę ostrzeżeń KNF lub listę Międzynarodowej Organizacji Komisji Papierów Wartościowych (IOSCO). Zgłoszenia niebezpiecznych stron CERT Polska NASK umieszcza na swojej liście ostrzeżeń. Obecnie zawiera ona ponad 110,5 tys. rekordów.
"Lista ostrzeżeń jest bardzo potężnym narzędziem, które implementują wszyscy dostawcy Internetu w Polsce. W momencie kiedy kolejna potencjalna ofiara próbuje wejście na jedną ze stron z tej listy, zamiast zawartości strony zobaczy wielką czerwoną planszę z ostrzeżeniem" - informował Karol Bojke z CERT Polska NASK, cytowany w programie "Sprawdzamy".
Według osób, którym oszuści nagminnie kradną wizerunek, jego ochrona w social mediach jest niewystarczająca. „Platformy społecznościowe moim zdaniem robią za mało, aby chronić tożsamość, przede wszystkim umożliwiając kopiowanie praktycznie w 100% profili razem z datą założenia konta, co nie powinno mieć miejsca” – komentuje Tuszkiewicz.
„Na razie czuję się jak pan K (nomen omen) z „Procesu” Franza Kafki – nic nie mogę zrobić, a skutki interwencji są bliskie zeru. Trzymam kciuki za wprowadzenie podatku cyfrowego. Co prawda nie wierzę, że uda się go wprowadzić, ale może groźba wprowadzenia zmusi Facebook i Instagram do podjęcia walki z fałszywkami, które mogą doprowadzić ludzi do strat. Jedno jest pewne – Facebook i Instagram mają we mnie zdecydowanego wroga!” – opowiada Piotr Kuczyński.
„Skrajną nieodpowiedzialnością jest akceptowanie reklam z twarzami osób znanych, podczas gdy algorytmy pozwalają zablokować reklamy z powodu zbyt dużej ilości tekstu lub złamania innego kryterium. Jest jeszcze wiele do poprawy, ale nic nie zastąpi zdrowego rozsądku odbiorców” – przypomina Tuszkiewicz.
Szereg zmian mających na celu ochronę wizerunku użytkowników oraz walkę z fałszywymi kontami i profilami w mediach społecznościowych miał wprowadzić Europejski Akt o Usługach Cyfrowych (Digital Services Act, DSA), który zaczął obowiązywać od lutego 2024 r. Państwa, w tym Polska muszą jeszcze dostosować swoje systemy prawne i ustanowić odpowiednie sankcje oraz mechanizmy nadzoru. W dodatku niektóre pojęcia w DSA, takie jak "dezinformacja", "mowa nienawiści" czy "ciemne wzorce" (dark patterns), są szeroko i niejednoznacznie definiowane. Na tym etapie brak organom krajowym wystarczających uprawnień i zasobów do egzekwowania przepisów.
Nic jednak nie zastąpi zdrowego rozsądku. Nigdy nie wierzmy w możliwość osiągnięcia wysokich zysków bez wysokiego ryzyka. Zawsze zachowujmy ograniczone zaufanie do wszelkiego rodzaju doradców występujących w mediach społecznościowych. Gdy zorientujemy się, że mogliśmy stracić czujność w Internecie i utracić dane do logowania należy przede wszystkim zmienić hasło do konta w banku czy domu maklerskim lub innego, które daje dostęp do środków finansowych.
Warto zgłosić incydent bezpieczeństwa do CERT Polska NASK np. w aplikacji mObywatel, na stronie incydent.cert.pl, czy mailem na adres cert@cert.pl. Pamiętajmy też: jedno hasło, jedna usługa. Hasło powinno być długie i złożone z liter, cyfr oraz znaków specjalnych a tam, gdzie to możliwe używajmy też uwierzytelniania dwuskładnikowego, czyli np. wymagającego potwierdzenia logowania kodem SMS.
Formularz do zgłaszania incydentów na stronie CERT Polska.
Kampania KNF Cyberoszustwa inwestycyjne
Więcej o tym jak się bronić oraz unikać niebezpiecznych sytuacji można przeczytać w wywiadzie „Kotłownie, muły finansowe i deepfaki - oszustwa inwestycyjne to plaga, która przybiera na sile”, który przeprowadził Michał Misiura z Zuzanną Polak, kierownikiem Zespołu Budowania Świadomości Cyberbezpieczeństwa NASK.
Michał Kubicki
Scamming out! 2.0
Bankier.pl i „Puls Biznesu” po raz drugi zainicjowały akcję Scamming out! – kampanię informacyjno-edukacyjną, której celem jest wzrost zainteresowania społeczeństwa i czynników decyzyjnych rosnącą skalą zagrożenia ze strony cyberoszustów. Zapraszamy do śledzenia kampanii w obu serwisach oraz na stronie poświęconej naszej akcji: scammingout.pl
