Phishing, smishing, vishing, czyli jak oszuści wykradają poufne dane

W skrzynce e-mailowej czeka na nas wiadomość, że bank wykrył próbę włamania do konta i teraz sprawdza naszą tożsamość.  Mamy tylko kliknąć w przesłany link i podać swoje dane lub kod z karty kodów. W taki właśnie sposób oszuści próbują włamać się na cudze konto bankowe. Phishing to kradzież za pomocą internetu, smishing – za pomocą SMS-a, a vishing – w trakcie rozmowy telefonicznej.

Banki są o wiele skuteczniej przygotowane na odpieranie ataków hakerów. Dlatego cyberprzestępcy skoncentrowali się na wyłudzaniu informacji od klientów. W ostatnim dostępnym raporcie "Krajobraz bezpieczeństwa polskiego internetu 2016 r." przygotowanym przez CERT Polska autorzy napisali, że zespół CERT otrzymał łącznie prawie 723 tys. zgłoszeń o phishingu.  Dotyczyły 32 478 adresów URL z 5 721 domen prowadzących do stron.. CERT Polska (Computer Emergency Response Team) to zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo użytkowników lub instytucji w internecie. Działa od 1996 r. przy NASK (Naukowej i Akademickiej Sieci Komputerowej). Co roku publikuje raport dotyczący cyberbezpieczeństwa.

Phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję (organizację) po to by wyłudzić określone informacje (np. dane do logowania do bankowości internetowej) Złodzieje kradną dane umożliwiające dostęp do konta bankowego lub usiłują zainstalować wirus komputerowy przez wiadomość internetową (e-mail), udającą korespondencję z banku, czy z innej instytucji. Rozsyłają takie wiadomości masowo, licząc na to, że ktoś na nie zareaguje, otworzy plik i zainfekuje złośliwym oprogramowaniem swoje urządzenia. Jednak nie jest to jedyne niebezpieczeństwo. Jeśli mamy w telefonie aplikację umożliwiającą dostęp do konta bankowego, też musimy uważać. Niedawno odkryto w oficjalnym internetowym sklepie przedsiębiorstwa internetowego dostępne były aplikacje, które instalowały wirusy. Miały służyć do śledzenia cen kryptowalut oraz „ułatwiać” pobieranie z Instagrama tzw. „stories”, czyli krótkich historii użytkownika z ostatniej doby. Obie aplikacje dodatkowo wyświetlały swoim użytkownikom powiadomienia systemowe, które wyglądały identycznie jak te generowane przez aplikacje bankowe. Wysyłały też fałszywe formularze logowania do rachunków bankowych oraz bez wiedzy użytkownika przechwytywały wiadomości SMS, zawierające kody do autoryzowania transakcji online. 

W tym przypadku nie pomogłoby zalecenie, aby nie instalować aplikacji z nieznanych źródeł. Źródło było znane i zaufane, a mimo to pojawiło się w nim złośliwe oprogramowanie.

Phishing przebiega zazwyczaj w ten sposób, że oszuści najpierw wysyłają e-mail z prośbą o pilne zalogowanie się do systemu bankowości internetowej. Podstawiają fałszywą stronę internetową (dołączają ją jako link), która do złudzenia przypomina oryginalną stronę banku. Klient, który zaloguje się na taką stronę, przekazuje oszustom login i hasło. Dodatkowo złodzieje proszą właściciela konta o zainstalowanie w telefonie konkretna aplikację „antywirus”. W rzeczywistości jest to wirus komputerowy, który śledzi każdy krok wykonywany przez klienta. W ten sposób hakerzy mają dostęp do rzeczywistych danych klienta takich jak login i hasło. Odczytują też treść SMS-ów. W ten sposób mogą bez trudu wykraść pieniądze z konta.

Pamiętajmy, że żaden bank nigdy:

  • nie wysyła do klientów pytań o podanie hasła lub inne poufne dane, ani próśb o ich aktualizację;
  • nie podaje w przesyłanych wiadomościach (e-mailach, SMS-ach) linków i nie prosi, by w nie kliknąć. Nie prosi też o pilne zalogowanie się do konta bankowego pod wskazanym adresem;
  • nie wysyła e-mailem informacji o blokadzie konta;
  • nie prosi o zalogowanie się na stronie internetowej, która w adresie nie zawiera „kłódki”. Dlatego przed każdym połączeniem z systemem transakcyjnym banku sprawdzaj, czy w adresie strony jest kłódka i protokół https:// i wyświetl certyfikat banku, a następnie sprawdź, czy jest wystawiony właśnie dla Twojego banku;
  • nie prosi o weryfikację danych z karty na wysłanym do klienta adresie strony;
  • prosi o podanie kodów z karty zdrapki lub kodu z tokena lub z SMS-a tylko w przypadku wykonywanej transakcji, w żadnej innej, np. w e-mail;
  • nie prosi o podanie numeru karty daty jej ważności i trzycyfrowego numeru CVC/CVV widocznego na odwrocie karty;
  • nie zmienia systemu logowania czy systemu zabezpieczeń bez porozumienia z klientem;
  • nie dzwoni z prośbą o podanie hasła do konta, danych do logowania do systemu bankowości internetowej;
  • nie prosi o zainstalowanie programu do otwierania wyciągów lub antywirusa na komórce. (tak oszuści próbują zainfekować sprzęt, aby np. odczytać klawisze, które naciskasz, logując się do banku lub przechwycić kody SMS);
  • nie wysyła aplikacji lub certyfikatów bezpieczeństwa na telefon komórkowy (ktoś próbuje zainfekować w ten sposób telefon złośliwym oprogramowaniem);

Jeśli otrzymamy jedną z opisanych wyżej próśb, to mamy do czynienia z oszustwem. Wszystkie tego typu wiadomości e-mail lub telefony, a także inne nietypowe sytuacje należy traktować jako próbę wyłudzenia poufnych informacji. Nie odpowiadajmy zatem na takie zapytania i nie przekazujmy naszych poufnych danych. Zamiast tego natychmiast skontaktujmy się z bankiem i opowiedzmy o zaistniałej sytuacji.

Bank może wysłać e-mail z ofertą marketingową, przypomnieniem o spłacie karty kredytowej lub raty kredytu czy informacją o niewykonaniu zaplanowanego przelewu. Ale taka wiadomość może również być fałszywa. Uważajmy zatem w szczególności na załączniki (dokumenty), jakie otrzymujemy od nadawców podających się za banki – w ten sposób możemy zainstalować w komputerze szkodliwe oprogramowanie. Wirusy mogą także kryć się w wiadomościach – zdjęciach, jakie docierają do nas przez portale społecznościowe.

Dlatego tak ważne jest, by na każdym sprzęcie, z którego korzystamy z usług bankowych, zainstalować aktualne oprogramowanie antywirusowe i zaporę sieciową (ang. firewall).

Oszuści stosują również inne metody na wyłudzenie danych. Jedną z nich jest. vishing. Złodziej podszywa się telefonicznie pod reprezentanta banku. Ale zadaje pytania na temat szczegółowych danych (loginu i hasło do bankowości internetowej, numeru karty płatniczej,  czy kodu weryfikacyjnego do kart (CVV). Tłumaczy przy tym np., że hakerzy próbują zaatakować systemy bankowe i należy niezwłocznie przez telefon zmienić dane dostępowe. Inną metodą jest telefoniczna oferta szybkiego kredytu, czy atrakcyjnej lokaty.

Jeśli chcemy mieć pewność, że osoba, z którą rozmawiamy przez telefon, naprawdę jest przedstawicielem banku, zapytajmy w banku o możliwość ustalenia hasła do kontaktu. Dzięki temu będziemy mogli zweryfikować, czy na pewno rozmawiamy z osobą z banku.

Smishing zaś polega na tym, że klient banku dostaje wiadomość SMS-ową, która ma go skłonić do określonej działalności. Np. ma zadzwonić pod wskazany numer telefonu, by odblokować (po weryfikacji) kartę płatniczą, która rzekomo z powodu awarii technicznej w banku została zablokowana.

Zasady, o których zawsze warto pamiętać:

  • nigdy nie zapisujmy hasła do bankowości internetowej w łatwo dostępnym miejscu, zwłaszcza na pulpicie komputera lub ekranie startowym telefonu
  • nie podawajmy nikomu danych umożliwiających logowanie do bankowości internetowej;
  • nie wchodźmy na stronę internetową banku z linków znajdujących się w treści e-maila;
  • nie używajmy wyszukiwarek internetowych do wyszukania strony logowania banku, ani zakładek „ulubione”, bo złośliwe oprogramowanie może podmienić adres. Najlepiej sami wpisujmy adres, po wpisaniu sprawdźmy, czy nie ma literówki, a potem czy jest widoczna kłódka i protokół https:// (Przeglądarka Opera nie wyświetla protokołu https://, ale po kliknięciu na kłódkę pojawia się komunikat, że połączenie jest potwierdzone i bezpieczne);
  • korzystajmy z legalnego i sprawdzonego oprogramowania antywirusowego;
  • płaćmy kartą w internecie tylko u zaufanych sprzedawców;
  • nie łączmy się z bankiem za pomocą cudzego komputera czy telefonu, ani za pośrednictwem ogólnodostępnej sieci Wi-Fi, w kafejkach internetowych czy na lotnisku,  korzystajmy więc jedynie z zaufanych sieci bezprzewodowych i komputerów;
  • ignorujmy wiadomości internetowe, w których jesteśmy proszeni o podanie danych do logowania i autoryzacji;
  • nie otwierajmy wiadomości i dołączonych do nich załączników nieznanego pochodzenia;
  • unikajmy stron zachęcających do obejrzenia bardzo atrakcyjnych treści lub zawierających atrakcyjne okazje. Niebezpieczne mogą być strony zawierające pornografię lub programy typu „freeware”;

Jeśli sami podamy dane, możemy mieć trudności z odzyskaniem pieniędzy – w takiej sytuacji bank  może uznać, że zaistniała sytuacja wynika z naszego braku ostrożności.  Prawdopodobieństwo złapania oszustów, którzy mogą zdalnie działać w innym kraju, jest niewielkie.

Artykuł powstał we współpracy z NBP

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Jeszcze nikt nie skomentował tego artykułu - Twój komentarz może być pierwszy.

Nowy komentarz

Anuluj
Zapisz się na bezpłatny newsletter Bankier.pl