Ostatnie miesiące przyniosły wzmożoną falę cyberataków na użytkowników bankowości elektronicznej. Praktycznie nie ma dnia, by w serwisie Bankier.pl nie pojawiła się informacja o kolejnym cyberataku i próbach wyłudzenia danych osobowych. Oszuści podszywają się pod banki, informując o blokadach kont lub niesamowitych okazjach inwestycyjnych.
Policja regularnie informuje o kolejnych rozbitych szajkach cyberoszustów, ale działania służb przypominają walkę z mitologiczną Hydrą. W miejsce uciętej głowy natychmiast wyrastają dwie lub trzy kolejne. Z tego względu warto zapoznać się z najczęstszymi technikami stosowanymi przez złodziei i uodpornić się na kuszące propozycje.
Jeśli będziemy znali stosowane przez nich socjotechniki, nie damy się nabrać i prawdopodobieństwo kradzieży środków z naszego konta bankowego spadnie do zera.
Wybrałem i opisuję 10 najczęściej spotykanych metod oszustów. Oczywiście nie jest to pełny katalog, bo nowe metody wyrastają jak grzyby po deszczu. Warto jednak wiedzieć, że znakomita większość ataków opiera się na tych samych mechanizmach, choć mogą się one różnić w szczegółach.
1. Spreparowane e-maile. Niby korespondencja z banku, ale...
Wciąż jedną z najgroźniejszych technik cyberprzestępców jest phishing. Metoda ta polega na podstawieniu ofierze fałszywej strony logowania do banku lub innego serwisu. Zazwyczaj oszuści rozsyłają na losowo wybrane adresy e-mail lub numery telefonów wiadomości z prośbą o pilne zalogowanie się do konta bankowego lub podjęcie innej czynności, np. zainstalowanie podrobionej aplikacji mobilnej. Dostarczana korespondencja do złudzenia przypomina oryginał z banku.
2. Podrobione SMS-y. Straszą, żebyś kliknął
Za każdym razem celem oszustów jest próba wydobycia wrażliwych informacji, takich jak login czy hasło do banku. Coraz częściej zdarzają się też próby zainfekowania urządzenia mobilnego wirusem, który sam wyciągnie takie dane. Ataków SMS-owych jest coraz więcej. Przykładowa fałszywa wiadomość „z banku” może brzmieć następująco (zachowano pisownię oryginalną): „Ograliczylismy dostep do Twojego konta ze wzgledu na podejrzana aktywnosc, aby uweirzytelnic odzwiedz strone [link]".
Po wejściu na stronę użytkownik proszony jest o wpisanie danych do logowania do bankowości elektronicznej. Jeśli je poda, oszuści wyczyszczą mu konto z pieniędzy. Metoda ataków z wykorzystaniem SMS-ów nazywa się smishingiem (od ang. SMS phishing).
Uwaga! Ostrzegamy przed kolejnym oszustwem, w którym cyberprzestępcy podszywają się pod @BankMillennium. Na fałszywych stronach poza poświadczeniami logowania do bankowości elektronicznej wyłudzają także informacje o karcie płatniczej. Chrońcie swoje dane i nie dajcie się okraść! pic.twitter.com/uWa62q1y4I
— CSIRT KNF (@CSIRT_KNF) July 1, 2022
3. Telefony „z banku”. Weryfikują dane, proszą o hasło
Cyberprzestępcy są coraz bardziej bezczelni. Chętnie wykorzystują też połączenia telefoniczne, podając się za pracowników sektora bankowego. W trakcie rozmowy przekonują o konieczności zainstalowania dodatkowego oprogramowania na komputerze (np. programu AnyDesk, który służy do zdalnej obsługi komputera). Jeśli uda im się skutecznie namówić ofiarę, zdobywają narzędzia, które umożliwiają im przejęcie kontroli nad urządzeniem.
Dzwoniący wykorzystują też inne techniki – czasami wprost proszą o podanie loginów i haseł, wrażliwych danych z kart lub kodów Blik. Podają się za pracowników banków, ale także za policję czy inne służby. Przypominam, że takich danych nie należy nikomu udostępniać.
Metoda ataków z wykorzystaniem połączeń telefonicznych nazywa się vishingiem (od Voice phishing).
4. „Dopłaty do paczki”. Dopłacasz grosze, ale tracisz tysiące
Oszuści podszywają się nie tylko pod banki. Kolejnym często stosowanym atakiem są wszelkiego rodzaju techniki opierające się o tzw. dopłatę do paczki. Złodzieje podszywając się pod firmę kurierską, informują w SMS-ie, że dostawa paczki została wstrzymana ze względu na brak pełnej opłaty za usługę. Z reguły chodzi o drobną kwotę, np. 2 zł. Jednak nie o kradzież dwuzłotówki im chodzi.
Ofierze podstawiany jest link kierujący do fałszywej bramki płatniczej z prośbą o uregulowanie zaległości. W rzeczywistości osoba, która wprowadzi w takiej bramce swoje wrażliwe dane, przekaże je oszustom. A to w linii prostej prowadzi do utraty pieniędzy na rachunku bankowym.
5. Fałszywe inwestycje i loterie. "U nas gwarantowany wysoki %"
W dobie szalejącej inflacji klienci banków szukają sposobów na ochronę swoich oszczędności przed utratą wartości. W sukurs idą im oszuści, którzy tworzą fałszywe platformy inwestycyjne kuszące ponadprzeciętnymi zyskami. Zazwyczaj podszywają się pod znane marki bankowe i zachęcają do zainwestowania pieniędzy w innowacyjne narzędzia szybko pomnażające oszczędności.
Tworzą profesjonalnie wyglądające witryny, na których zbierają dane i próbują nakłonić swoje ofiary do wpłaty pieniędzy. Oczywiście przekazanie tam jakichkolwiek środków jest równoznaczne z ich utratą. Tak samo groźne jest wyłudzenie danych osobowych lub loginów i haseł. Na pozyskane dane oszuści mogą próbować zaciągać kredyty w bankach lub instytucjach pożyczkowych.
Uwaga na kolejne oszustwo inwestycyjne w nowej odsłonie! Cyberprzestępcy do dystrybucji fałszywych ofert wykorzystują reklamy w mediach społecznościowych. W tym przypadku podszywają się pod firmę Apple i zachęcają do zainwestowania środków w cyfrową walutę. Nie dajcie się okraść! pic.twitter.com/oKMUWl2u5e
— CSIRT KNF (@CSIRT_KNF) July 12, 2022
6. Konkursy w serwisach społecznościowych. Wystarczy jeden klik
Jeszcze inną metodą, z którą ostatnio mogli spotkać się klienci banków, są różnego rodzaju fałszywe konkursy zamieszczane w serwisach społecznościowych. Na przykład informujące o wygranej w loterii banku, specjalnej promocji, w ramach której można otrzymać bonus za aktywność (np. „Zaloguj się do banku, żeby otrzymać 1000 zł na konto”) itp.
Ofiary dostają też SMS-y z linkami wysyłane rzekomo przez państwowe służby (np. w imieniu Ministerstwa Finansów), informujące o wygranej w loterii. Oczywiście są to oszustwa, które tradycyjnie polegają na wyłudzeniu danych osobowych lub kodów Blik. Ofiarom podstawiane są fałszywe strony służące do wyciągania takich danych.
7. Wyłudzanie danych do platform streamingowych. Para-Disney w natarciu
Cyberprzestępcy idą z duchem czasu. Do oszustw wykorzystują nie tylko wizerunki banków, instytucji finansowych czy firm kurierskich. W ostatnich tygodniach użytkownicy internetu mogli natknąć się na kampanie phishingowe, w których złodzieje podszywali się pod znane serwisy streamingowe, np. Disney Plus czy Netflix. Ofiary są proszone o wprowadzenie danych w celu aktywacji usługi. Oprócz danych osobowych takie e-maile zawierają prośby o dane z kart, z których rzekomo mają zostać pobrane środki za aktywację abonamentu.
Uważajcie na pojawiające się w ostatnim czasie fałszywe strony podszywające się pod @disneyplus. Cyberprzestępcy wyłudzają poświadczenia logowania do konta oraz dane kart płatniczych.
— CSIRT KNF (@CSIRT_KNF) June 29, 2022
Nie dajcie się okraść – to próba oszustwa! pic.twitter.com/SPabdyrH1h
8. Kradzieże tożsamości. Wklepujesz hasło w podstawioną stronę
Wciąż groźną techniką pozostają wszelkiej maści próby wyłudzenia danych do serwisów społecznościowych. Oszuści podstawiają fałszywe strony logowania do samych serwisów lub do platform pozwalających logować się danymi np. z Facebooka.
Utrata takich danych, czyli przekazanie ich przestępcom, może być równie groźna jak utrata samych pieniędzy z rachunku bankowego. Kiedy oszust skradnie naszą tożsamość, może się pod nas podszyć, prosząc znajomych o drobne pożyczki, np. za pomocą Blika.
9. Fałszywe ogłoszenia o wynajmie. Płacisz i... tyle
W okresie wakacji nasilają się ataki polegające na oferowaniu np. miejsc noclegowych. Oszuści preparują witryny podobne do tych, które oferują oferty najmu i tworzą fałszywe ogłoszenia. Ofiara, która zdecyduje się na wynajem, jest proszona o podanie danych i dokonanie wpłaty tytułem rezerwacji lokalu. Oczywiście wpłata zostaje zaksięgowana na rachunku cyberprzestępców (który zakładany jest na tzw. słupy, więc nie do namierzenia). Po wpłacie pieniędzy słuch o najmującym ginie. Tak samo jak pieniądze.
🌴Uważajcie w wakacje!
— CSIRT KNF (@CSIRT_KNF) June 20, 2022
Cyberprzestępcy wykorzystują ten okres do tworzenia fałszywych kampanii podszywających się pod znane serwisy oferujące wynajem krótkoterminowy.
Poniżej prezentujemy listę niebezpiecznych domen, które udało nam się zidentyfikować. Bądźcie bezpieczni! https://t.co/uOl4EJrl8V pic.twitter.com/c8D1oKO4sZ
10. Ataki na użytkowników serwisów z ogłoszeniami
Prawdziwą plagą są wszelkiej maści oszustwa, na które mogą natknąć się osoby sprzedające lub kupujące w sieci. Oszuści czyhają na użytkowników serwisów z ogłoszeniami, gdzie podszywają się pod kupujących lub sprzedających i podstawiają linki do fałszywych bramek płatności.
Zazwyczaj przekierowują rozmowę z oficjalnych kanałów na zewnętrzne komunikatory, np. WhatsApp, gdzie podstawiają link służący do "odbioru płatności” lub „uregulowania należności” (w zależności od tego, czy atakują sprzedającego, czy kupującego). Oczywiście wprowadzenie tam jakichkolwiek danych może skutkować kradzieżą środków z konta bankowego.
