Tak okradają nas "zdalnie". 10 prawdziwych scenariuszy, które każdemu powinny zapalić czerwoną lampkę

Wojciech Boczoń2022-08-17 06:00analityk Bankier.pl
publikacja
2022-08-17 06:00
Tak okradają nas "zdalnie". 10 prawdziwych scenariuszy, które każdemu powinny zapalić czerwoną lampkę
Tak okradają nas "zdalnie". 10 prawdziwych scenariuszy, które każdemu powinny zapalić czerwoną lampkę
fot. Yara Slep / / Shutterstock

Ostatnie miesiące przyniosły wzmożoną falę cyberataków na użytkowników bankowości elektronicznej. Praktycznie nie ma dnia, by w serwisie Bankier.pl nie pojawiła się informacja o kolejnym cyberataku i próbach wyłudzenia danych osobowych. Oszuści podszywają się pod banki, informując o blokadach kont lub niesamowitych okazjach inwestycyjnych.

Policja regularnie informuje o kolejnych rozbitych szajkach cyberoszustów, ale działania służb przypominają walkę z mitologiczną Hydrą. W miejsce uciętej głowy natychmiast wyrastają dwie lub trzy kolejne. Z tego względu warto zapoznać się z najczęstszymi technikami stosowanymi przez złodziei i uodpornić się na kuszące propozycje.

Jeśli będziemy znali stosowane przez nich socjotechniki, nie damy się nabrać i prawdopodobieństwo kradzieży środków z naszego konta bankowego spadnie do zera.

Wybrałem i opisuję 10 najczęściej spotykanych metod oszustów. Oczywiście nie jest to pełny katalog, bo nowe metody wyrastają jak grzyby po deszczu. Warto jednak wiedzieć, że znakomita większość ataków opiera się na tych samych mechanizmach, choć mogą się one różnić w szczegółach.

W wielu przypadkach dane, które wyłudzają od nas oszuści, służą potem do zaciągania kolejnych zobowiązań – pożyczek, kredytów ratalnych, chwilówek, umów na telefon komórkowy. Każda taka operacja wiąże się zazwyczaj ze sprawdzeniem danych w Biurze Informacji Kredytowej (BIK).

I tu z odsieczą przychodzą Alerty BIK. Dzięki nim przy każdej próbie sprawdzenia naszych danych otrzymamy wiadomość SMS oraz e-mail, co w przypadku nieuprawnionego użycia naszych danych pozwoli na szybką reakcję (w alercie pojawi się nazwa instytucji, która dokonuje sprawdzenia) i uniknięcie późniejszych kłopotów.

Teraz użytkownicy Bankier.pl mogą skorzystać z dodatkowej zniżki na alerty BIK.

Co trzeba zrobić?

  1. Wejść na stronę https://oferta.bankier.pl/bik-rabat.
  2. Wprowadzić swój adres email i zaakceptować regulamin.
  3. Po otrzymaniu wiadomości potwierdzić adres e-mail.
  4. Na podany adres mail prześlemy link do wniosku (przy pomocy którego uruchomisz Alerty BIK) oraz kod rabatowy niezbędny do obniżenia ceny. Pierwszych 50 osób otrzyma rabat 50% (12 zł), a kolejnych 200 osób 30% (7,20 zł).

Aktywowanie Alertów BIK wymaga rejestracji na bik.pl wraz z potwierdzeniem tożsamości (z którym wiąże się przelew 1 zł). BIK musi być pewien, że wysyła alerty osobie, której dotyczą.

1. Spreparowane e-maile. Niby korespondencja z banku, ale...

Wciąż jedną z najgroźniejszych technik cyberprzestępców jest phishing. Metoda ta polega na podstawieniu ofierze fałszywej strony logowania do banku lub innego serwisu. Zazwyczaj oszuści rozsyłają na losowo wybrane adresy e-mail lub numery telefonów wiadomości z prośbą o pilne zalogowanie się do konta bankowego lub podjęcie innej czynności, np. zainstalowanie podrobionej aplikacji mobilnej. Dostarczana korespondencja do złudzenia przypomina oryginał z banku.

2. Podrobione SMS-y. Straszą, żebyś kliknął

Za każdym razem celem oszustów jest próba wydobycia wrażliwych informacji, takich jak login czy hasło do banku. Coraz częściej zdarzają się też próby zainfekowania urządzenia mobilnego wirusem, który sam wyciągnie takie dane. Ataków SMS-owych jest coraz więcej. Przykładowa fałszywa wiadomość „z banku” może brzmieć następująco (zachowano pisownię oryginalną): „Ograliczylismy dostep do Twojego konta ze wzgledu na podejrzana aktywnosc, aby uweirzytelnic odzwiedz strone [link]".

Po wejściu na stronę użytkownik proszony jest o wpisanie danych do logowania do bankowości elektronicznej. Jeśli je poda, oszuści wyczyszczą mu konto z pieniędzy. Metoda ataków z wykorzystaniem SMS-ów nazywa się smishingiem (od ang. SMS phishing).

3. Telefony „z banku”. Weryfikują dane, proszą o hasło

Cyberprzestępcy są coraz bardziej bezczelni. Chętnie wykorzystują też połączenia telefoniczne, podając się za pracowników sektora bankowego. W trakcie rozmowy przekonują o konieczności zainstalowania dodatkowego oprogramowania na komputerze (np. programu AnyDesk, który służy do zdalnej obsługi komputera). Jeśli uda im się skutecznie namówić ofiarę, zdobywają narzędzia, które umożliwiają im przejęcie kontroli nad urządzeniem.

Dzwoniący wykorzystują też inne techniki – czasami wprost proszą o podanie loginów i haseł, wrażliwych danych z kart lub kodów Blik. Podają się za pracowników banków, ale także za policję czy inne służby. Przypominam, że takich danych nie należy nikomu udostępniać.

Metoda ataków z wykorzystaniem połączeń telefonicznych nazywa się vishingiem (od Voice phishing).

4. „Dopłaty do paczki”. Dopłacasz grosze, ale tracisz tysiące

Oszuści podszywają się nie tylko pod banki. Kolejnym często stosowanym atakiem są wszelkiego rodzaju techniki opierające się o tzw. dopłatę do paczki. Złodzieje podszywając się pod firmę kurierską, informują w SMS-ie, że dostawa paczki została wstrzymana ze względu na brak pełnej opłaty za usługę. Z reguły chodzi o drobną kwotę, np. 2 zł. Jednak nie o kradzież dwuzłotówki im chodzi.

Ofierze podstawiany jest link kierujący do fałszywej bramki płatniczej z prośbą o uregulowanie zaległości. W rzeczywistości osoba, która wprowadzi w takiej bramce swoje wrażliwe dane, przekaże je oszustom. A to w linii prostej prowadzi do utraty pieniędzy na rachunku bankowym.

Alior Bank

5. Fałszywe inwestycje i loterie. "U nas gwarantowany wysoki %"

W dobie szalejącej inflacji klienci banków szukają sposobów na ochronę swoich oszczędności przed utratą wartości. W sukurs idą im oszuści, którzy tworzą fałszywe platformy inwestycyjne kuszące ponadprzeciętnymi zyskami. Zazwyczaj podszywają się pod znane marki bankowe i zachęcają do zainwestowania pieniędzy w innowacyjne narzędzia szybko pomnażające oszczędności.

Tworzą profesjonalnie wyglądające witryny, na których zbierają dane i próbują nakłonić swoje ofiary do wpłaty pieniędzy. Oczywiście przekazanie tam jakichkolwiek środków jest równoznaczne z ich utratą. Tak samo groźne jest wyłudzenie danych osobowych lub loginów i haseł. Na pozyskane dane oszuści mogą próbować zaciągać kredyty w bankach lub instytucjach pożyczkowych.

6. Konkursy w serwisach społecznościowych. Wystarczy jeden klik

Jeszcze inną metodą, z którą ostatnio mogli spotkać się klienci banków, są różnego rodzaju fałszywe konkursy zamieszczane w serwisach społecznościowych. Na przykład informujące o wygranej w loterii banku, specjalnej promocji, w ramach której można otrzymać bonus za aktywność (np. „Zaloguj się do banku, żeby otrzymać 1000 zł na konto”) itp.

Ofiary dostają też SMS-y z linkami wysyłane rzekomo przez państwowe służby (np. w imieniu Ministerstwa Finansów), informujące o wygranej w loterii. Oczywiście są to oszustwa, które tradycyjnie polegają na wyłudzeniu danych osobowych lub kodów Blik. Ofiarom podstawiane są fałszywe strony służące do wyciągania takich danych.

7. Wyłudzanie danych do platform streamingowych. Para-Disney w natarciu

Cyberprzestępcy idą z duchem czasu. Do oszustw wykorzystują nie tylko wizerunki banków, instytucji finansowych czy firm kurierskich. W ostatnich tygodniach użytkownicy internetu mogli natknąć się na kampanie phishingowe, w których złodzieje podszywali się pod znane serwisy streamingowe, np. Disney Plus czy Netflix. Ofiary są proszone o wprowadzenie danych w celu aktywacji usługi. Oprócz danych osobowych takie e-maile zawierają prośby o dane z kart, z których rzekomo mają zostać pobrane środki za aktywację abonamentu.

8. Kradzieże tożsamości. Wklepujesz hasło w podstawioną stronę

Wciąż groźną techniką pozostają wszelkiej maści próby wyłudzenia danych do serwisów społecznościowych. Oszuści podstawiają fałszywe strony logowania do samych serwisów lub do platform pozwalających logować się danymi np. z Facebooka.

Utrata takich danych, czyli przekazanie ich przestępcom, może być równie groźna jak utrata samych pieniędzy z rachunku bankowego. Kiedy oszust skradnie naszą tożsamość, może się pod nas podszyć, prosząc znajomych o drobne pożyczki, np. za pomocą Blika.

9. Fałszywe ogłoszenia o wynajmie. Płacisz i... tyle

W okresie wakacji nasilają się ataki polegające na oferowaniu np. miejsc noclegowych. Oszuści preparują witryny podobne do tych, które oferują oferty najmu i tworzą fałszywe ogłoszenia. Ofiara, która zdecyduje się na wynajem, jest proszona o podanie danych i dokonanie wpłaty tytułem rezerwacji lokalu. Oczywiście wpłata zostaje zaksięgowana na rachunku cyberprzestępców (który zakładany jest na tzw. słupy, więc nie do namierzenia). Po wpłacie pieniędzy słuch o najmującym ginie. Tak samo jak pieniądze.

10. Ataki na użytkowników serwisów z ogłoszeniami

Prawdziwą plagą są wszelkiej maści oszustwa, na które mogą natknąć się osoby sprzedające lub kupujące w sieci. Oszuści czyhają na użytkowników serwisów z ogłoszeniami, gdzie podszywają się  pod kupujących lub sprzedających i podstawiają linki do fałszywych bramek płatności.

Zazwyczaj przekierowują rozmowę z oficjalnych kanałów na zewnętrzne komunikatory, np. WhatsApp, gdzie podstawiają link służący do "odbioru płatności” lub „uregulowania należności” (w zależności od tego, czy atakują sprzedającego, czy kupującego). Oczywiście wprowadzenie tam jakichkolwiek danych może skutkować kradzieżą środków z konta bankowego.

Źródło:
Wojciech Boczoń
Wojciech Boczoń
analityk Bankier.pl

Ekspert z zakresu bankowości. Autor komentarzy, poradników, artykułów i raportów o bankowości skierowanych zarówno do branży, jak i jej klientów. Redaktor prowadzący branżowego serwisu PRNews.pl. Autor cyklu raportów "Polska bankowość w liczbach". Dziennikarz Roku 2013 według Kapituły Konkursu IX Kongresu Gospodarki Elektronicznej przy Związku Banków Polskich. Dwukrotnie nominowany do nagrody Dziennikarskiej im. Mariana Krzaka oraz laureat tej nagrody w 2014 r. Finalista Nagrody Dziennikarstwa Ekonomicznego Press Clubu Polska za 2019 r.

Tematy
Otwórz konto, które samo oszczędza na 6,5% i zgarnij nawet 450 zł

Otwórz konto, które samo oszczędza na 6,5% i zgarnij nawet 450 zł

Komentarze (9)

dodaj komentarz
bankster-kreator
Oj tam oj tam, nie powiem kto okrada nas na 15,6% aktualnie i nikt nie narzeka. Jakoś tam leci.
godunow2
NBP to największy cyberprzestępca ;p
muffin
Umówmy się, to żadni hakerzy i cyberataki. To prymitywne wyłudzenia danych i oszustwa. Wystarczy odrobina oleju w głowie żeby nie dać się okraść.
jer65
Na FB. masowo zamieszczają ogłoszenia o pseudo sprzedaży akcji Orlen , wykorzystują do tego wizerunki znanych osób głównie z rządu i prezydenta i obiecują 5-10-15 tyś zysku w miesiąc , nikt z tym nic nie robi choćby służby a FB blokuje krytyczne komentarze .
(usunięty)
(wiadomość usunięta przez moderatora)
forfun
sam dostęp bez hasła do potwierdzenia transakcji raczej nie pozwoli na wykonanie płatności.
federossa
prova poi mi confermerai. Grazie
qwertas
Ataki na użytkowników serwisów z ogłoszeniami - tu jeszcze bym dodał dwa, które spotkały mnie jako sprzedającego:
1. Czy ten fotel to tak, jak ten „link”. Nie klikać, nie sprawdzać tylko odpisać „Oferta jest, jak w ogłoszeniu i proszę sobie samemu porównać”.
2. Chętny klient mówi, że nie może odebrać na miejscu ale poprzez
Ataki na użytkowników serwisów z ogłoszeniami - tu jeszcze bym dodał dwa, które spotkały mnie jako sprzedającego:
1. Czy ten fotel to tak, jak ten „link”. Nie klikać, nie sprawdzać tylko odpisać „Oferta jest, jak w ogłoszeniu i proszę sobie samemu porównać”.
2. Chętny klient mówi, że nie może odebrać na miejscu ale poprzez firmę kurierską typu FedEx czy DHL. Wysyła Tobie link z danymi do uzupełnienia. To też jest scam.
dzyszla
Najciekawsze jest to, że prawie nie zdarzają się osoby posługujący się poprawną i potoczną polszczyzną. Na kilometr każda wypowiedź cuchnie tym, że nie pisał jej żaden rodak.

Powiązane: Cyberbezpieczeństwo

Polecane

Najnowsze

Popularne

Ważne linki