Fałszywe linki do płatności, aplikacje zainfekowane wirusami, SMS-y o kwarantannie czy w końcu wyłudzenia kodów Blik. Oszuści nie próżnują, by dobrać się do naszych oszczędności, a ich kreatywność wydaje się niewyczerpana. Oto najczęściej spotykane w ostatnich dniach metody wyłudzeń pieniędzy z kont bankowych.
Oszuści kradną w białych rękawiczkach. Podszywają się pod pracowników banków, policję czy wnuczęta. Coraz chętniej atakują zdalnie klientów bankowości elektronicznej. Wprowadzają w błąd, by wyłudzić pieniądze lub dane osobowe, na które później zaciągają pożyczki. Katalog ich metod jest coraz obszerniejszy. Część z nich sprowadza się jednak to pewnych schematów, które spróbowaliśmy pogrupować w 5 punktach. Zapoznaj się z nimi i nie daj się oszukać.
Phishing, czyli fałszywe strony do banków
Nadal niesłabnącą popularnością „cieszy się” klasyczny phishing. Technika ta polega na podstawieniu ofierze fałszywej strony internetowej do banku. Strona ta oczywiście do złudzenia przypomina oryginalną witrynę – nie zgadza się jednak jej adres. Oszuści liczą na to, że ofiara nie zwróci uwagi na ten element i wprowadzi dane do logowania do bankowości internetowej. Wówczas login i hasło trafią w ręce złodziei. Na stronie podmieniane są też inne elementy, np. numer infolinii do banku czy adres e-mail służący do kontaktu. Tylko w ostatnich dniach eksperci ostrzegali np. przed witrynami podszywającymi się pod ING czy Aliora. Podrobione adresy służące do logowania wyglądały tak: inq-login.com i aliorgroup.org. Zazwyczaj oszuści wysyłają e-mail lub SMS z linkiem kierującym do fałszywej strony (także podszywając się pod bank) z prośbą o pilne zalogowanie się na konto.
Inną odmianą phishingu jest tzw. voice-phishing, czyli vishing. Oszuści wykorzystują w tym celu połączenia telefoniczne i podszywają się pod numery infolinii bankowej. Odbiorca na wyświetlaczu telefonu widzi połączenie przychodzące z banku. Oszust przedstawiając się jako konsultant bankowy nakłania swoją ofiarę do zalogowania się na fałszywej stronie, zainstalowania „specjalnej” aplikacji, lub podania wrażliwych danych przez telefon. W każdym z tych przypadków istnieje ogromne ryzyko utraty pieniędzy.
Fałszywe linki do płatności
Prawdziwą plagą ostatnich miesięcy są fałszywe linki do bramek płatniczych. Ofiarami są najczęściej kupujący lub sprzedający w serwisach z ogłoszeniami. Do niedawna celem ataków byli głównie handlujący na OLX. Od pewnego czasu banki ostrzegają przed podobnymi oszustwami na innych platformach, np. Vinted. Za każdym razem oszuści wykorzystują podobny schemat. Podsyłają swoim ofiarom za pomocą komunikatorów np. WhatsApp linki do fałszywych bramek płatniczych, linki z żądaniem wprowadzenia danych karty, linki do rzekomej usługi nadania paczki lub dopłaty do paczki. Oczywiście podane adresy kierują do spreparowanych stron internetowych, których celem jest wyłudzanie danych. Użytkownik, który trafi na fałszywą witrynę proszony jest o podanie wrażliwych danych np.: numeru PESEL, PIN-u do aplikacji, loginu i hasła do bankowości oraz kodu SMS potwierdzającego płatność. Mamy tu więc kolejny przykład phishingu, tyle że z wykorzystaniem marek serwisów z ogłoszeniami. Za każdym razem, gdy po transakcji otrzymamy wiadomość innym kanałem niż oficjalny (e-mail), zachowajmy czujność. Może to być próba oszustwa.
Jak może wyglądać atak na platformie?
- OLX. Wystawiający przedmiot podaje w ogłoszeniu swój numer telefonu. Na numer ten dostaje wiadomość w komunikatorze WhatsApp. Rzekomy kupujący dopytuje się o szczegóły, by uśpić czujność sprzedającego. Następnie informuje, że dokonał zakupu, a sprzedający może odebrać pieniądze pod wskazanym linkiem. Link, który podsyła kieruje do sfałszowanej strony internetowej. Jest tam prośba o podanie danych karty płatniczej. Kiedy sprzedający je uzupełni, dostaje kod SMS. Kod informuje o dodaniu karty do Apple Pay lub Google Pay, ale sprzedający zazwyczaj nie czyta co jest napisane w SMS-ie. Wpisuje kod w formularzu, a złodziej zyskuje dostęp do danych jego karty.
- Vinted. Schemat wygląda podobnie jak w OLX. Rzekomy kupujący informuje sprzedającego, że dokonał zakupu przedmiotu i prosi o potwierdzenie sprzedaży na mailu. Wiadomość, którą otrzymuje kupujący jest sfałszowana. Jest tam link kierujący do podrobionej strony. By odebrać środki ofiara proszona jest o wybranie z listy swojego banku i wprowadzenie danych logowania. Oczywiście informacje te trafiają w ręce oszustów.
- Allegro Lokalnie. Kolejny atak wykorzystujący opisany wyżej mechanizm z „odbiorem środków”. Oszust kontaktuje się ze sprzedającym i informuje go, że nie może dokonać płatności za towar, który chce kupić. Podsyła formularz, w którym prosi o podanie adresu e-mail. Po chwili na maila przychodzi podrobiona informacja o rzekomej sprzedaży przedmiotu. Od sprzedawcy wymaga się „potwierdzenia” i podania danych do konta bankowego w celu odbioru środków. Jest też drugi wariant tego oszustwa – z SMS-em. Atak przebiega podobnie. Sprowadza się do konieczności wprowadzenia danych z konta.
Programy przejmujące kontrolę nad komputerem
Kolejną metodą przestępców, która zyskuje popularność w ostatnich tygodniach jest atak za pomocą tzw. zdalnego pulpitu. Oszust dzwoni do swojej ofiary podając się za pracownika banku i zaleca zainstalowanie specjalnego programu w komputerze lub smartfonie. Najczęściej informuje, że jest pracownikiem działu technicznego lub bezpieczeństwa i wykrył podejrzaną aktywność na koncie. By pomóc ofierze uchronić się przed cyberatakiem zaleca zainstalować w urządzeniu wskazany program. Kiedy osoba zainstaluje aplikację, złodziej zyskuje nieograniczony dostęp do jej komputera. Może zalogować się do banku, zlecić przelewy wychodzące i wyczyścić konto z pieniędzy. Co więcej, może na jej nazwisko pozaciągać kredytów. Policja radzi, by w sytuacji gdy otrzymamy taki telefon z banku przerwać połączenie i niczego nie instalować. Należy się też skontaktować samemu z infolinią banku i potwierdzić, czy rzeczywiście doszło do włamania na konto.
SMS-y o kwarantannie lub wygranej w loterii
Prawdziwą plagą są także SMS-y nakłaniające do zainstalowania aplikacji lub wejścia pod wskazany link. Preteksty są różne. W ostatnich dniach mieliśmy do czynienia ze zmasowanym atakiem, w którym oszuści słali komunikaty informujące o nałożeniu kwarantanny przez sanepid. Wcześniej rozsyłano wiadomości o rzekomej wygranej w loterii narodowej. Oszuści zamieszczają w takich wiadomościach link do pobrania złośliwych trojanów bankowych. Programy takie mogą służyć do wyczyszczenia rachunku bankowego z dostępnych środków. Mogą też mieć inne działanie, np. przechwytywać kody SMS służące do autoryzacji transakcji na rachunku. Narażeni na atak są przede wszystkim posiadacze telefonów wyposażonych w system Android. Eksperci radzą, by pod żadnym pozorem nie klikać w takie linki, a tym bardziej nie instalować aplikacji pochodzących spoza oficjalnego sklepu Google – Google Play.
W tym kontekście warto też napisać o innym oszustwie przed którym ostrzegały w ostatnich dniach banki. Złodzieje rozsyłali SMS-y informujące o rzekomym rozporządzeniu Ministerstwa Finansów, zgodnie z którym resort miałby przejmować pieniądze zgromadzone na ROR-ach. W wiadomości znajdował się numer konta „specjalnej lokaty”, która miałaby chronić przed rzekomymi zakusami polityków. W rzeczywistości osoby, które zleciły przelew na wskazany rachunek, przekazywały pieniądze przestępcom.
Wyłudzanie kodu Blik
Wciąż niesłabnącą popularnością cieszą się wyłudzenia kodów Blik. Oszuści stosują w tym celu różne metody, ale każda z nich sprowadza się do wygenerowania kodu, przekazania go rozmówcy i potwierdzenia płatności w aplikacji. Oszuści włamują się w tym celu na konta znajomych w serwisach społecznościowych i proszą o drobną pożyczkę za pomocą Blika. Inni dzwonią do ofiary i przedstawiają się jako konsultanci bankowi, którzy chcą uchronić jej finanse przed cyberatakiem. Proszą o zainstalowanie specjalnych programów na komputerze i wygenerowanie kodów Blik oraz ich podanie przez telefon. Za każdym razem rozmowa sprowadza się do jednego – przekazania kodu Blik osobie dzwoniącej. Eksperci ostrzegają, by pod żadnym pozorem tego nie robić. Nawet jeśli skontaktuje się z nami znajomy, przerwijmy rozmowę i samemu oddzwońmy na jego numer.
Jak się chronić?
To tylko kilka przykładów najpopularniejszych oszustw mających na celu wyłudzenie pieniędzy. Katalog ten nie jest jednak zamknięty – każdego dnia oszuści próbują nowych metod kradzieży środków. Są przy tym bardzo przekonywujący i wykorzystują słabe strony technologii, np. sieci GSM. Jednym zależy na bezpośredniej kradzieży środków z konta, inni wyłudzają dane na które biorą później pożyczki.
Jak się przed nimi uchronić? Przede wszystkim należy zachować zdrowy rozsądek i daleko idącą ostrożność w sytuacji, gdy w grę wchodzą nasze pieniądze. Banki nie informują telefonicznie o włamaniach na konto i nie zalecają wycofywania środków na inne rachunki. Jednym ze sposobów na uniknięcie przykrych niespodzianek może być też wykupienie usługi „Alert” w Biurze Informacji Kredytowej. W sytuacji, gdy ktoś będzie chciał wziąć kredyt na nasze dane otrzymamy natychmiast ostrzeżenie i będziemy mieli czas, by zareagować na oszustwo.
Warto też zastosować inne metody zapobiegania
oszustwom. Wystarczy pamiętać, by nigdy nie podawać przez telefon danych do
logowania ani danych wrażliwych np. numeru PESEL. W niektórych bankach istnieje
też możliwość „autoryzacji” konsultanta przez aplikację mobilną. Można wówczas
poprosić, by przesłał nam powiadomienie push z aplikacji.
Z kolei w przypadku kart płatniczych warto
stosować niskie limity dla transakcji internetowych. W przypadku
niezrealizowanego zamówienia można też spróbować skorzystać z usługi chargeback,
która jest formą reklamacji do banku. Trzeba jednak pamiętać, że chargeback nie
zadziała, jeśli rażąco naruszyliśmy procedury bezpieczeństwa i nierozsądnie
sami podaliśmy dane złodziejom.
Należy też pamiętać, by nie „załatwiać” spraw związanych ze sprzedażą poza oficjalnymi kanałami dostępnymi w serwisach z ogłoszeniami. Jeśli ktoś kontaktuje się z nami za pomocą komunikatora WhatsApp, jest duże prawdopodobieństwo, że jest to oszust.
Jeśli opisane powyżej metody kradzieży są Ci dobrze znane i nie dasz się na nie nabrać, udostępnij ten artykuł swoim znajomym lub rodzicom. Być może dzięki niemu uda się ochronić ich oszczędności przed zakusami oszustów.
