Podszywają się pod pracowników, znajomych lub szefa. Wysyłają maile i SMS-y, dzwonią, straszą lub proszą o pomoc. Potrafią nawet skłonić użytkownika do tego, by sam wgrał sobie program szpiegujący do telefonu. Oto metody, jakimi w 2019 roku oszuści prawdopodobnie najczęściej będą próbowali wykraść twoje dane i pieniądze.

Rok 2018 przyniósł kolejną falę cyberataków i oszustw ukierunkowanych na klientów banków. Im w bankach pojawiają się bardziej zaawansowane zabezpieczenia, tym oszuści stają się coraz bardziej bezczelni. Użytkownicy bankowości elektronicznej są notorycznie bombardowani podrobioną korespondencją. Ale coraz częściej można spotkać się z bardziej nachalnymi próbami wyłudzeń. Oszuści wysyłają SMS-y, a nawet dzwonią, podając się za pracowników banków.

Dostaniesz coraz lepiej spreparowane e-maile

Wydawać by się mogło, że phishing jest tak znaną metodą, że mało kto daje się już na niego nabrać. Nic bardziej mylnego, co potwierdzają statystyki policji. Metoda ta nadal zbiera żniwo, ale uwaga - bo w porównaniu do metod stosowanych przed kilkoma laty, ewoluowała. Wpływ na to miały przede wszystkim nowe zabezpieczenia w bankowości elektronicznej. Kiedyś oszuści stosujący phishing prosili klienta, by podał im login i hasło do konta oraz kilka kodów z karty zdrapki. Takie dane pozwalały im zalogować się do systemu i zlecić przelewy wychodzące.

Dziś większość banków nie stosuje już kart z kodami jednorazowymi. W ich miejsce wprowadzono SMS-y lub mobilną autoryzację. Narzędziem niezbędnym do autoryzacji dyspozycji na rachunku stał się więc telefon. Z tego względu znaczna część ataków ukierunkowana jest właśnie na przejęcie kontroli nad urządzeniem mobilnym. Obok phishingu rozwijać się zaczęła jego mutacja – smishing. Termin ten ukuto z połączenia dwóch słów „SMS” i „phishing”. Jest to nic innego, jak wyłudzanie danych za pomocą SMS-ów.

Podrzucą ci wirusa

Nie oznacza to jednak, że wiadomości rozsyłane drogą elektroniczną przestały być groźne. By przejąć kontrolę nad telefonem, należy go zainfekować. Dlatego coraz częściej pojawiają się fałszywe maile z rzekomymi potwierdzeniami transakcji w załącznikach. W rzeczywistości pliki podpinane do tego typu korespondencji są wirusami lub programami szpiegującymi. Po ich uruchomieniu potrafią zablokować komputer i zażądać okupu, podmienić stronę banku w przeglądarce lub podsłuchiwać znaki wpisywane na klawiaturze.

Dlatego warto zachować dużą dozę ostrożności, jeśli dostaniemy informację z banku o rzekomej blokadzie konta, wygranym voucherze czy konieczności aktualizacji danych. Zwłaszcza, jeśli są tam podane linki do systemu transakcyjnego. W takich przypadkach zawsze w pierwszej kolejności warto zadzwonić na infolinię i zapytać, czy bank jest nadawcą takiej wiadomości.

Oszuści nieprzerwanie rozsyłają do klientów banków SMS-y informujące o blokadzie konta z linkiem do fałszywej (niby) strony banku. Jeśli wejdziesz pod wskazany link, proszony będziesz na przykład o zainstalowanie dodatkowego programu zabezpieczającego przed hakerami (oczywiście fałszywego) i udzieleniu mu dodatkowych uprawnień. Dzięki temu mogą zyskać nie tylko login i hasło, ale także przejąć kontrolę nad SMS-ami autoryzującymi. Ty przestajesz być informowany o SMS-ach przychodzących z banku, a wiadomości są automatycznie przekierowywane na telefon przestępców.

A jeśli nie dasz się złapać na wirusa, to do ciebie zadzwonią. W ubiegłym roku banki częściej ostrzegały przez tzw. vishingiem. Terminem tym określa się wyłudzanie wrażliwych danych w trakcie rozmowy telefonicznej. Oszuści dzwonią do klientów, podając się za pracownika banku lub kancelarii prawnej. W trakcie rozmowy proszą o podanie loginu i hasła do bankowości internetowej. Pretekstem jest blokada konta lub konieczność zabezpieczenia pieniędzy przed hakerami. Następnie żądają podania kodu SMS. Na podstawie tych danych mogą zmienić w bankowości numer telefonu do autoryzacji transakcji. Od tej chwili kody SMS będą wysyłane na telefon przestępcy. W ten sposób złodziej może wyczyścić konto z pieniędzy.

Spróbują cię złapać na fałszywe aplikacje bankowe

Trendem, który nasilił się w 2018 roku i będzie kontynuowany w 2019 r., jest tworzenie fałszywych aplikacji bankowych i zamieszczanie ich w oficjalnych marketach z aplikacjami. Na ten atak szczególnie narażeni są użytkownicy systemów Android, gdyż firma Apple stosuje bardziej restrykcyjną politykę publikacji programów w markecie App Store.

Oszuści tworzą więc fałszywe aplikacje podszywające się pod oficjalny program banku i czekają, aż spróbujesz je aktywować. Gdy to zrobisz, przekażesz przestępcom swoje dane do logowania. Tego typu programy proszą też o nadanie im dodatkowych uprawnień – odbierania i czytania wiadomości SMS. Dzięki temu oszuści mogą przejąć kontrolę nad SMS-ami z banków.

Ataki tego typu kierowane były już do klientów banków na całym świecie i Polska na tym tle nie jest wyjątkiem. W połowie 2018 r. z plagą fałszywych aplikacji zmagał się Bank Zachodni WBK (dziś Santander Bank Polska). Hakerzy umieścili też w Google Play uniwersalną aplikację do logowania na rachunki 21 polskich banków. Do głośnego ataku z wykorzystaniem fałszywych aplikacji doszło jesienią w Indiach. Przy wykorzystaniu tego typu techniki oszukano klientów 7 banków.

Ale nie tylko fałszywe aplikacje bankowe potrafią szpiegować użytkowników. Do marketów regularnie trafiają programy np. do sprawdzania kursów kryptowalut, które mają swoje „drugie oblicze”. Oprócz podstawowej funkcji, potrafią w tle podmieniać adresy stron logowania do banków i instalować nakładki na aplikacje.

Z tego względu warto zachować szczególną ostrożność przed zainstalowaniem nowego programu w telefonie. Warto sprawdzić, jaka firma jest jego producentem i przeczytać opinie użytkowników. Prawdziwe bankowe programy mają tysiące opinii i recenzji, nie zawsze pozytywnych.

Wykorzystają twoje konto na Facebooku, by oszukać znajomych

Groźnym atakiem, przed którym trzeba mieć się na baczności, jest też oszustwo z wykorzystaniem podrobionych stron oferujących natychmiastowe płatności. W ubiegłym roku mieliśmy do czynienia co najmniej z dwoma schematami takich ataków – przy wykorzystaniu Facebooka i OLX. W pierwszym przypadku oszuści włamują się na twoje konto w serwisie społecznościowym i podejmują rozmowę z twoimi znajomymi za pomocą Messengera.

W twoim imieniu proszą o niewielką pożyczkę lub dopłatę kilku złotych do jakiegoś zamówienia. Tłumaczą, że zabrakło im niewielkiej sumy do sfinalizowania transakcji. Nie podają numeru rachunku do wpłaty, ale podstawiają sfałszowaną stronę umożliwiającą dokonanie szybkich przelewów za pomocą tzw. pay-by-linków. Znajomy, będąc przekonanym, że loguje się do swojego banku, zleca przelew na drobną kwotę i autoryzuje go SMS-em. W rzeczywistości podany przez klienta kod jest wykorzystywany przez oszustów do zatwierdzenia zleconego przez nich przelewu lub do utworzenia szablonu płatności.

W drugim przypadku przestępcy podszywają się pod sprzedawcę w serwisie z ogłoszeniami. Zamiast podawać numer konta do przelewu, udostępniają sfałszowaną stronę do serwisu obsługującego pay-by-linki. Dalej oszustwo przebiega w ten sam sposób, jak w przypadku przekrętu z Facebookiem.

Jednym z groźniejszych ataków jest wyłudzanie pieniędzy metodą „na prezesa”. Przestępcy podszywają się pod szefa firmy i wysyłają do działu księgowości e-mail z prośbą o pilne wykonanie przelewu na wskazany w wiadomości numer rachunku. Zdarzają się przypadki, że w ostatniej chwili przed sfinalizowaniem transakcji wydają polecenie o zmienia numeru konta kontrahenta. Pracownicy, którzy odbierają wiadomość od szefa, nie zawsze potwierdzają telefonicznie dyspozycje, wysyłając na wskazany numer duże sumy pieniędzy. I problem gotowy.

Podobna metoda może być groźna nie tylko dla firm. W ten sposób podszywano się pod pośredników nieruchomości i wyłudzano zaliczkę na mieszkanie. W pierwszej fazie ataku oszuści włamują się na skrzynkę mailową pośrednika nieruchomości. Zazwyczaj wykorzystują w tym celu wirusy komputerowe. Kiedy im się to już uda, monitorują korespondencję z osobami zainteresowanymi zakupem. Czekają do momentu, gdy proces finalizacji transakcji z klientem będzie zbliżał się ku końcowi. Następnie wysyłają do ofiary w imieniu pośrednika e-mail informujący o drobnej zmianie planów. W wiadomości zamieszczają numer konta, na które ofiara musi szybko wpłacić zaliczkę. W niektórych przypadkach kontaktują się nawet z kupującym telefonicznie, by potwierdzić konieczność dokonania przelewu i uspokoić bardziej podejrzliwych.

Spróbują sklonować telefon (SIM-swap)

W ubiegłym roku do Polski dotarł przekręt, który za granicą określany jest terminem SIM-swap. Jest to oszustwo polegające na podmianie karty SIM telefonu służącego do autoryzacji transakcji w systemach bankowości internetowej. Metoda ta wymaga od oszustów dobrego przygotowania, ale okazuje się niebezpiecznie skuteczna.

Przestępcy zbierają informacje na twój temat ze wszystkich możliwych źródeł. Część z nich pozyskują na przykład z serwisów społecznościowych. Przede wszystkim potrzebny im jest prywatny numer telefonu, na który przychodzą kody SMS służące do autoryzacji transakcji w bankowości internetowej. Za pomocą sfałszowanych stron wyłudzają od ofiary login i hasło do banku. Pozyskują stamtąd dane, które nanoszą na fałszywy dowód osobisty.

Następnie udają się do salonu telefonii komórkowej, podając się za klienta i proszą o wymianę karty SIM, argumentując na przykład tym, że zgubili telefon. Następuje blokada starej karty i wydanie duplikatu. Zorientujesz się, że coś nie gra dopiero, kiedy będziesz chciał nawiązać połączenie telefoniczne – telefon przestanie działać. Wcześniej jednak złodzieje zdążą już wyczyścić rachunek.

Atak jest wyjątkowo niebezpieczny, bo dzieje się niejako za twoimi plecami. Jednak można się przed nim uchronić, jeśli nie będziemy udostępniać zbyt wielu danych publicznie i nie damy się złowić na phishing. Pamiętaj, by nigdzie nie zostawiać swojego dowodu w zastaw i nie pozwolić go kserować.

Rok 2019 niewątpliwie przyniesie wysyp nowych metod oszustów internetowych. Warto mieć jednak na uwadze, że choć techniki przestępców ewoluują, to znaczna ich część opiera się na tych samych schematach i mechanizmach. Wykorzystują naszą niewiedzę, naiwność, nieuwagę lub chęć niesienia pomocy. Zawsze najsłabszym ogniwem nawet dla najbardziej zaawansowanych zabezpieczeń jest człowiek. Czyli ty. I to ty będziesz w centrum zainteresowania oszustów.

Wojciech Boczoń