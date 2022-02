Cyberoszuści działają z coraz większym wyrafinowaniem – w sposób „profesjonalny” zastawiają na klientów banków dziesiątki pułapek, usiłując ich oszukać. Po przejęciu pieniędzy z konta, znikają bez śladu.

Okres pracy zdalnej i zdominowania kontaktów służbowych, także prywatnych przez telekonferencje, emaile, komunikaty wysyłane przez aplikacje, np. WhatsApp, sprzyja cyberoszustom i uprawianemu przez nich procederowi wprowadzania klientów banków w błąd i wyłudzania od nich danych, co jest wstępem do kradzieży pieniędzy.

- Temat ten nie tylko jest wciąż aktualny. Jego znaczenie rośnie nieustannie. Jak pokazują nasze badania, zjawisko oszustw online jest już powszechne. Już co drugi Polak i Polka zetknęli się z jakąś formą zagrożenia. Problem narasta, dlatego mBank po raz kolejny prowadzi kampanię edukacyjną, która ma na celu uwrażliwienie użytkowników internetu na czyhające w sieci niebezpieczeństwa. Przypominamy, że przestępcy internetowi są naprawdę przebiegli a zachowanie zdrowego rozsądku może pomóc uratować własne pieniądze. O metodach przestępców oraz sposobach, jak się przed nimi chronić, mówimy na stronie www.ludziesaniesamowici.pl – mówi Kinga Wojciechowska-Rulka, corporate PR/CSR w mBanku.

Krytyczne punkty

Wykorzystując możliwość ustalania dowolnego numeru wyjściowego na bramce VoIP, oszuści kontaktują się telefonicznie z klientami banku i podają się za jego pracownika, przedstawiciela Komisji Nadzoru Finansowego (KNF), Związku Banków Polskich (ZBP), Biura Informacji Kredytowej (BIK) lub policjanta, prokuratora, a nawet funkcjonariusza CBA. Numer przychodzącego połączenia jest identyczny z tym, który wspomniane strony oficjalnie udostępniają, co uwiarygadnia oszusta.

Cyberprzestępcy wykorzystują słabości systemów telekomunikacyjnych, które pozwalają im na spoofing, czyli podszywanie się pod dowolny numer telefonu, np. infolinię banku, infolinię różnych instytucji państwowych lub podmiotów gospodarczych. Z analizy specjalistów webserwisu Niebezpiecznik.pl wynika, że tego rodzaju podstępny trik wyrządza szkodę dwóm stronom – klientowi banku, który jest wprowadzany w błąd co do tego, kto do niego dzwoni i abonentowi, pod którego numer telefonu sprawca się podszywa.

Próbują nakłaniać klienta banku do podania danych osobowych, danych karty płatniczej, danych niezbędnych do korzystania z bankowości internetowej oraz zachęcać do instalacji dodatkowego oprogramowania, np. AnyDesk, QuickSupport, TeamViewer, itp. Po uzyskaniu danych czy zainstalowaniu wskazywanego oprogramowania dysponują już narzędziami do wykonania operacji na koncie bądź do przejęcia kontroli nad komputerem lub smartfonem. A jest to zaledwie wstęp cyberprzestępczego procederu, którego końcowym celem jest wyłudzenie bądź kradzież pieniędzy.

Zasadzki w sieci

Z badań wynika, że 40 proc. dorosłych Polaków już miało do czynienia z fałszywymi SMS-ami, które przede wszystkim zawierały obiecującą treść, np. o szansie inwestycyjnej, o tajemniczej mobilnej wpłacie, itp. A następnie link prowadzący rzekomo do strony umożliwiającej przyjęcie „wygranej”. Co 3. Polak doświadczył próby kradzieży danych lub pieniędzy podczas zakupów w fikcyjnym sklepie internetowym i doświadczył bądź zna kogoś, kto zetknął się z oszustwem polegającym na wyłudzaniu kodu niezbędnego do dokonania płatności.

20 proc. Polaków zadeklarowało, że doświadczyło osobiście bądź zna osoby, których dotknęło oszustwo polegające na podszywaniu się oszusta pod pracownika banku lub funkcjonariusza służb państwowych.

– Cyberprzestępcy stosują wyrafinowane zabiegi socjotechniczne, żeby skłaniać ludzi do podejmowania z góry określonych działań – mówi Łukasz Polikowski, Managing Director & Founder w Network Office.

Mówi się, że młodzi ludzie, którzy od wczesnego dzieciństwa mieli kontakt z cyfrowym światem, cechują się relatywnie dużymi umiejętnościami posługiwania się narzędziami technologicznymi. Paradoksalnie to właśnie młodzież w wieku 18 – 24 lata jest najbardziej podatna na triki cyberoszustów, bo charakteryzuje się relatywnie małym wyczuleniem na cyberzagrożenia, które mogą sparaliżować ich obecność i działania w cyfrowym świecie, a także poważnie im zaszkodzić.

Klasycznym dowodem podatności młodych na cyberpułapki są dane o zabezpieczaniu haseł dostępowych i ochrony przed wirusami. Z badań przygotowanych na zlecenie Komisji Europejskiej wynika, że 28 proc. nastoletnich Europejczyków straciło swoje hasło, a aż 35 proc. doświadczyło zainfekowania ich urządzenia przez wirusa w czasie pandemii. W statystycznej klasie składającej się z 30 uczniów, przynajmniej statystycznie 9 stało się ofiarą nielegalnego wykorzystywania ich tożsamości w sieci.

Triki cyberoszustów

Socjotechniki cyberosztustów są tworzone na solidnej podstawie wiedzy o psychologicznych i socjologicznych prawidłowościach postępowania ludzi. Wykorzystując znajomość typologii indywidualnych i społecznych działań tworzone są metody wpływania i sterowania ich opiniami, postawami i – w końcu – konkretnymi zachowaniami. Oszust za pomocą socjotechniki usiłuje wywołać u adresata przekazu oczekiwane przez niego postępowanie.

– W przypadku cyberoszutów socjotechnika staje się ładniejszą, dla zmyłki, nazwą praktyk, które w istocie polegają na manipulowaniu i wprowadzaniu w błąd. Wielu użytkowników serwisów transakcyjnych nie ma odpowiedniej wiedzy i świadomości zagrożeń. Są więc podatni na manipulacje. Hakerom taniej i łatwiej jest „włamać się” do umysłów i emocji, by dokonać sprytnego oszustwa i w ten sposób uzyskać dane, niż zdobywać je metodą łamania technologicznych zabezpieczeń – ostrzega Łukasz Polikowski.

Sieciowi manipulatorzy opierają swój proceder na dwóch kluczowych mechanizmach psychologicznych. Pierwszym jest zdobycie zaufania. W tym celu podszywają się pod budzące zaufanie instytucje czy osoby, np. bank, policję, urząd skarbowy, znanego społecznika czy artystę, itp. Dla uwiarygodnienia się oszuści potrafią nawet ostrzegać swoją ofiarę („proszę nie podawać żadnych haseł przez telefon, to niebezpieczne”), by w ten sposób skierować ją na podaną stronę w sieci, która służy im do przechwycenia danych.

Drugim mechanizmem jest wzbudzenie poczucia konieczności natychmiastowego podjęcia określonych działań. Dlatego wywoływana jest presja, by wzbudzić czynności wykonywane w trybie przyspieszonym. Motywem jest przykładowo uniknięcie kary, zapłaty wysokich odsetek, odblokowania środków czy zdobycie nadzwyczajnej nagrody.

Oszuści potrafią przełączać rozmowę z ofiarą pozorując, że zostanie ona przekierowana do specjalistów, np. do wsparcia technicznego. Ofiara trzymana jest na linii tak długo, jak się da by przypadkiem nie zaczęła rozsądnie, logicznie myśleć. Im dłużej oszust ma ofiarę na linii tym bardziej prawdopodobna staje się kradzież środków.

Przejęcie środków

Celem hakerskiego ataku jest wyłudzenie danych, niezbędnych do realizacji nieautoryzowanych działań bądź zainstalowanie na urządzeniu ofiary oprogramowania służącego częściowemu lub całkowitemu przejęciu nad nim kontroli. To dlatego oszuści manipulacyjnie zwodzą ofiarę, że w celu udaremnienia kradzieży środków z jej konta powinna jak najszybciej zainstalować „aplikację bezpieczeństwa” czy odwiedzić zalecaną stronę w sieci klikając na nadesłany link i podając swoje dane, np. PESEL, nazwisko panieńskie matki, hasło do bankowości elektronicznej itd.

Niekiedy wyrafinowanie oszustwa i wprowadzenie w błąd zwiedzionego internauty są tak wielkie, że pojawia się polecenie wykonania przelewu na rachunek, który jest wskazany jako „konto bezpieczeństwa” bądź nakaz wypłaty gotówki, wpłacenia jej do wpłatomatu przez usługę BLIK lub nawet wprost podania kodów BLIK.

W 2021 r. najczęstszą próbą wymuszenia płatności w internecie były fałszywe powiadomienia wysyłane SMS–em lub emailem o konieczności przelania opłaty za energię elektryczną – informuje KNF. Przestępcy podstawiając fałszywą bramkę płatności z kwotą „dopłaty” do rachunku usiłowali przechwycić dane do kont i kart płatniczych podczas wykonywania podstępnej transakcji.

– Brak opłaty za energię połączony z groźbą jej odcięcia jest czynnikiem, który motywuje do natychmiastowego działania. Jednak poddanie się manipulacyjnemu scenariuszowi umożliwia oszustom uzyskanie danych i przejęcie środków z konta ofiary – ostrzega Łukasz Polikowski.

Dekalog bezpieczeństwa w internecie 1. Nie otwieraj podejrzanych emaili, a zwłaszcza umieszczonych w nich załączników. 2. Uważaj na linki wysyłane mailem, SMS-em lub przez komunikatory, np. WhatsApp. 3. Korzystaj z programów chroniących komputery i urządzenia mobilne. 4. Korzystaj wyłącznie z oryginalnego oprogramowania i regularnie je aktualizuj. 5. Aplikacje i programy pobieraj wyłącznie z oficjalnych źródeł. 6. Stosuj różne i skomplikowane hasła, regularnie je zmieniaj. 7. Zanim klikniesz, przeczytaj uważnie to, na co się zgadzasz. 8. Nie podawaj swoich poufnych danych jeśli cokolwiek wzbudza Twoje wątpliwości. 9. Sprawdzaj certyfikaty bezpieczeństwa stron www. 10. Miej ograniczone zaufanie do publicznych sieci Wi-Fi. Źródło: mBank, LudzieSaNiesamowici.pl