Choć każdy przynajmniej raz słyszał o jakimś oszustwie finansowym, to problem nie tylko nie znika, ale zdaje się rosnąć w siłę. Liczba internetowych przestępstw finansowych wzrosła od 2022 roku. Jak działają oszuści i jak się przed nimi bronić?
W samym 2023 roku zespół ds. cyberbezpieczeństwa CERT Polska, działający w ramach NASK – Państwowego Instytutu Badawczego, dodał aż ponad 32 tysiące fałszywych adresów internetowych wykorzystywanych do oszustw finansowych do swojej stale aktualizowanej listy ostrzeżeń. To prawie 4 razy więcej niż w roku 2022. Przestępcy finansowi nie śpią, a co więcej, stają się coraz bardziej zorganizowani i odważni.
Lista ostrzeżeń CERT na bieżąco gromadzi fałszywe domeny powstałe w celu wprowadzania użytkowników w błąd i wyłudzania ich danych osobowych oraz pieniędzy za pomocą wiadomości SMS, poczty elektronicznej i innych metod komunikacji.
Przestępcy finansowi posługują się obietnicami szybkich zysków albo podszywają się pod inne osoby, by przekonać swoje ofiary do pozostawienia im pieniędzy w ramach „inwestycji”. Kończy się to zwykle utratą dużych kwot, których nie sposób odzyskać, ponieważ oszuści zapadają się pod ziemię.
W takiej sytuacji bardzo ważne jest, by każdy obywatel mogący paść ofiarą oszustwa wiedział, jak rozpoznać próbę wyłudzenia i w jaki sposób może ochronić siebie oraz swoich bliskich przed utratą pieniędzy i danych osobowych.
Metody przestępców internetowych
Większość internetowych przestępców wcale nie przypomina zakapturzonego, stereotypowego hakera spędzającego noce przed komputerem, którego znamy z filmów i seriali. Wiele efektywnych oszustw wcale nie wymaga zaawansowanej wiedzy informatycznej. Socjotechnika, czyli zespół metod służących do manipulacji jednostką lub grupą, doskonale sprawdza się w roli narzędzia do wyłudzania danych.
Przestępcy posługujący się metodami socjotechnicznymi podszywają się pod inne osoby lub instytucje – najczęściej takie, które z góry obdarzamy zaufaniem, na przykład pracowników banków albo policjantów. Takie działanie jest znane jako phishing i jest współczesną plagą, ponieważ choć problem jest nagłaśniany, to wciąż dla wielu osób samo przedstawienie się jest wystarczającym dowodem na to, że osoba, z którą rozmawiają, jest tym, za kogo się podaje.
Banki i policja to oczywiście niejedyne instytucje służące przestępcom jako fasada. Oszuści wykorzystują też między innymi:
- wizerunki znanych osób, celebrytów, sportowców reklamujących fałszywe usługi;
- spreparowane wizerunki „ekspertów” – osób, które rzekomo osiągnęły sukces w danej dziedzinie i chcą się nim podzielić.
Oszuści wybierają różne metody kontaktu – maile, telefony, SMS-y czy wiadomości prywatne na platformach społecznościowych. W przypadku kontaktu tekstowego popularne jest nakłanianie do klikania odnośników załączonych w wiadomości. Linki te kierują do stron internetowych, które mogą przypominać prawdziwe (np. strony logowania do bankowości online), ale nimi nie są. W rzeczywistości są stworzone do wykradania danych logowania ofiar.
W przypadku kontaktu telefonicznego przestępcy mogą przedstawiać się jako pracownicy banków albo innych instytucji finansowych. Rozmowa ma często na celu przekonanie ofiary do podjęcia działania, na przykład przesłania pieniędzy na podane konto pod pretekstem zainwestowania ich. Mogą też nakłaniać do zainstalowania na urządzeniu oprogramowania do zdalnej kontroli komputera.
Przestępcy chętnie tworzą również fałszywe strony internetowe udające platformy inwestycyjne, zarówno do złudzenia przypominające istniejące i legalne witryny, jak i takie, które reklamują się jako nowe na rynku. W rzeczywistości firmy te nie istnieją, a jedynym celem stron jest wyłudzenie danych i pieniędzy od ofiar skuszonych obietnicą dużego i szybkiego zysku z inwestycji w kryptowaluty czy gry na giełdzie.
Jak nie paść ofiarą przestępcy?
Mogłoby się wydawać, iż o oszustach finansowych słyszy się tyle, że społeczeństwo powinno być już odporne na ich zagrywki. Mimo to liczba odnotowywanych prób wyłudzenia rośnie z roku na rok. Ofiarami padają najczęściej osoby mniej obeznane z działaniem technologii, w tym seniorzy, ale nie tylko. Każdy z nas może zostać oszukany, dlatego dobrze wiedzieć, jak uniknąć zostania ofiarą jeszcze zanim wydarzy się coś złego.
1. Uważaj na okazje, loterie i konkursy
W internecie zawsze warto kierować się prostą zasadą: jeśli coś brzmi zbyt pięknie, by było prawdziwe, to zapewne jest to oszustwo. W życiu rzadko dostaje się cokolwiek za darmo, dlatego wszelkie oferty proponujące nowe smartfony, samochody czy inne wartościowe nagrody powinny budzić w nas wątpliwości.
2. Zabezpiecz dane na wypadek kradzieży
Czujność należy zachowywać zawsze – nie tylko wtedy, gdy ktoś podejrzany się z nami kontaktuje. Dane, które przesyłamy przez internet, w niektórych sytuacjach mogą być zagrożone, a ich kradzieży wcale nie musimy się spodziewać. Może się tak zdarzyć na przykład wtedy, gdy jesteśmy połączeni z publiczną siecią Wi-Fi i używamy jej w celu zalogowania się do bankowości internetowej.
Publiczne sieci na lotniskach, w hotelach czy w supermarketach mogą, ale nie muszą być odpowiednio zabezpieczone. Jeśli akurat będą podsłuchiwane przez hakera przeprowadzającego atak typu man-in-the-middle, wszelkie przesyłane przez nas dane (w tym loginy i hasła) będą mogły zostać przez niego przechwycone.
Można się przed tym zabezpieczyć, pobierając i instalując darmowy VPN na urządzeniu. VPN, czyli wirtualna sieć prywatna, to technologia przekierowująca dane przez zewnętrzne serwery przy jednoczesnym nałożeniu na nie dodatkowego szyfrowania. Dzięki takiemu zabezpieczeniu stają się one nieczytelne dla osób postronnych nawet w przypadku wycieku.
3. Strzeż się inwestycji „bez ryzyka”
Gdy napotkamy kogoś, kto zagwarantuje nam zysk z inwestycji w krypto albo gry na giełdzie, jeśli tylko powierzymy mu nasze środki, to możemy być pewni, że mamy do czynienia z oszustem. Nie istnieje coś takiego, jak inwestowanie bez ryzyka, a każda legalna platforma inwestycyjna poinformuje nas bez ogródek, że jeśli decydujemy się na zainwestowanie środków, musimy być przygotowani na ich utratę.
Przestępcy kreujący się na wybitnych inwestorów i graczy giełdowych z niebagatelnymi zyskami na koncie chcą jedynie wyłudzić pieniądze. Niektórzy mogą snuć dalekosiężne plany i pokazywać nam, że nasza pierwsza wpłata została zwielokrotniona tylko po to, byśmy „zainwestowali” więcej. Zawsze jednak kończy się to zniknięciem „inwestora” i utratą środków.
4. Nie daj się oszukać przez telefon
Vishing (voice phishing) to rodzaj phishingu, czyli oszustwa polegającego na podszywaniu się, wykorzystujący kontakt telefoniczny. Oszuści dzwoniący do ofiar mogą udawać na przykład pracowników banków, by nakłonić ofiary do podjęcia określonych działań – przekazania personalnych danych, zainstalowania oprogramowania do zdalnej obsługi komputera i tak dalej.
Kiedy odbieramy połączenie telefoniczne, musimy pamiętać, że każdy może podać się za każdego, a to, że ktoś brzmi profesjonalnie, nie jest dowodem jego prawdomówności. Niestety w dobie sztucznej inteligencji umiejącej naśladować ludzkie głosy problem oszustw telefonicznych będzie jedynie rósł w siłę, dlatego już teraz warto wyrobić w sobie nawyk bycia nieufnym w stosunku do każdego rozmówcy.
Jeśli nie prosiliśmy o kontakt ze strony instytucji, miejmy się na baczności. Nie podawajmy żadnych danych i nie wykonujmy instrukcji dyktowanych przez rozmówcę. Możemy się upewnić, czy osoba rzeczywiście jest tym, za kogo się podaje: rozłączmy się i zadzwońmy na infolinię instytucji z pytaniem, czy próbowała się z nami przed chwilą skontaktować.
Wiele banków udostępnia dziś także funkcję weryfikacji rozmówcy przez aplikację mobilną. Kiedy zadzwoni do nas pracownik banku, w aplikacji zobaczymy powiadomienie o kontakcie.
5. Ustaw weryfikację dwuetapową
Weryfikacja dwuetapowa (2FA) jest dostępna w coraz większej liczbie usług i powinniśmy z niej korzystać, gdy to możliwe. Ten typ weryfikacji sprawia, że by zalogować się do serwisu, musimy podać nie tylko swoje dane logowania (login i hasło), ale również dodatkowe potwierdzenie tożsamości, na przykład jednorazowy kod przesłany SMS-em.
Nie wszyscy użytkownicy włączają weryfikację dwuetapową, gdyż jest ona dla nich niewygodna. To duży błąd. Konieczność dodatkowego potwierdzenia tożsamości chroni nasze konta na wypadek wycieku danych logowania. Bez weryfikacji dwuetapowej ktoś, kto uzyskałby nasze hasło, mógłby po prostu zalogować się do serwisu w naszym imieniu.
6. Uważaj na odnośniki i załączniki w wiadomościach
Dla własnego bezpieczeństwa zawsze warto dwa razy zastanowić się przed otwarciem linku lub załącznika, szczególnie od nieznanego nadawcy. Załączniki mogą zawierać różne złośliwe programy, natomiast odnośniki od oszustów zazwyczaj kierują do podrobionych witryn przypominających te, które znamy i z których regularnie korzystamy – na przykład strony logowania do banków.
Jeśli znamy nadawcę wiadomości, i tak zachowajmy czujność. Ktoś może się pod niego podszywać. Zawsze sprawdzajmy numery i adresy e-mail pod kątem literówek, a wiadomości dokładnie czytajmy i analizujmy.
Podejrzewam, że ktoś próbuje mnie oszukać – co zrobić?
Jeśli napotkamy na swojej drodze podejrzaną stronę internetową, kampanię mailową lub cokolwiek, co budzi nasze wątpliwości, zgłośmy to zespołowi CERT za pośrednictwem specjalnego formularza. Zespół CERT weryfikuje wszystkie zgłoszone incydenty i stale aktualizuje listę ostrzeżeń, z której korzystają także wszyscy najważniejsi polscy dostawcy mediów. Dzięki temu fałszywe witryny są blokowane, a zasięg przestępców — redukowany.
Podejrzane SMS-y natomiast można łatwo przekazać zespołowi CERT, kierując je na numer 8080. Wystarczy użyć opcji „Przekaż” w opcjach wiadomości. CERT stale monitoruje kampanie mające na celu wyłudzenie danych, minimalizuje ich zasięg, a także edukuje internautów na temat bezpiecznego korzystania z internetu i nie tylko.