Końcówka roku to dla wirtualnych przestępców okres najwyższej aktywności. Black Week, przedświąteczne zakupy oraz poświąteczne wyprzedaże, presja czasu i miliony transakcji tworzą idealne warunki do ataków. Dane pokazują, że aż 12 proc. wszystkich oszustw notowanych w Polsce przypada właśnie na ten czas — od podstawionych sklepów i fałszywych promocji po SMS-y o niedopłatach do paczek czy komunikaty podszywające się pod firmy kurierskie.
W takich warunkach ostrożność nie zawsze wystarcza. Nawet uważni użytkownicy potrafią kliknąć coś w pośpiechu albo w chwili rozproszenia, a to właśnie na takie momenty liczą przestępcy. W dodatku ich techniki ewoluują tak szybko, że trudno za nimi nadążyć.
Terminarz scamera
Za skuteczność wielu oszustw nie odpowiada sama technologia. Coraz większą rolę odgrywa sposób zorganizowania pracy przestępców – z podziałem obowiązków, który z zewnątrz może wyglądać jak praca w zwykłej firmie.
– Widzimy układy podobne do call center: jedne osoby przygotowują scenariusze rozmów, inne prowadzą kontakt z ofiarą, a kolejne tworzą fałszywe strony czy elementy kampanii – mówi Paulina Rosłoń, ekspert w Departamecie Cyberbezpieczeństwa w Banku Pekao SA.
Ten podział obowiązków pozwala planować działania idealnie dopasowane do całorocznego kalendarza
Podobny schemat widać przy wydarzeniach, które mocno żyją w debacie publicznej.
– Przestępcy obserwują, co jest głośne i co wzbudza emocje, bo to zwiększa prawdopodobieństwo, że ktoś kliknie. Dlatego tak ważne jest, by zachować czujność w momentach, gdy w sieci pojawia się wysyp treści odnoszących się do aktualnych wydarzeń – przestrzega Paulina Rosłoń.
Cyberprzestępczość w modelu „as a service”
Rozwój technologii sprawił, że przygotowanie skutecznego oszustwa stało się znacznie prostsze niż kilka lat temu. Wiele zadań, które kiedyś wymagały umiejętności technicznych, dziś można zastąpić gotowymi narzędziami. To właśnie dlatego „karierę” w świecie cyberprzestępczości może zrobić każdy – wystarczy, że potrafi korzystać z dostępnych w sieci zasobów.
– W dark webie dostępne są kompletne poradniki i gotowe szablony: od skryptów rozmów krok po kroku po całe pakiety phishingowe podszywające się pod konkretne banki – wyjaśnia Paulina Rosłoń. – W wielu przypadkach wystarczy kilka dolarów, by zdobyć materiał pozwalający poprowadzić kontakt z ofiarą w sposób na tyle dopracowany, że trudno odróżnić go od rozmowy z legalną instytucją.
Łatwy dostęp do takich pakietów sprawia, że same treści oszustw również są coraz lepiej przygotowane. Narzędzia oparte na AI potrafią nie tylko ułożyć poprawny komunikat, lecz także podpowiedzieć, kiedy najlepiej go wysłać– Choć świadomość cyberzagrożeń w Polsce rośnie, tak naprawdę nikt nie może czuć się w pełni bezpieczny. Dlatego tak ważne są projekty edukacyjne, takie jak Scamming Out czy inicjatywy realizowane przez instytucje finansowe. W Banku Pekao S.A. prowadzimy program cyberPEKAO właśnie po to, by wzmacniać społeczną odporność na oszustwa – podkreśla ekspertka.
Zakupowe pułapki
Okres przedświąteczny to czas, w którym fałszywe sklepy internetowe pojawiają się w sieci w ogromnej skali. Mechanizm jest prosty: pośpiech, duża liczba transakcji i przekonanie, że „promocje szybko znikają”, sprawiają, że użytkownicy rzadziej weryfikują, gdzie naprawdę kupują. Tymczasem znacząca część takich stron jest przygotowana znacznie staranniej, niż mogłoby się wydawać.
– Wiele fałszywych sklepów ma regulamin, zakładkę „o nas”, rozbudowane podstrony i zdjęcia produktów. To nie są już proste, jednowarstwowe witryny, tylko strony udające pełnoprawny e-commerce – mówi Paulina Rosłoń. Jej zdaniem widać to zwłaszcza teraz, gdy oszuści dostosowują poziom „realizmu” do lokalnych oczekiwań. Obniżki nie są przesadnie duże – buty nie kosztują 400 zł, przecenione na 50 – ale sprawiają wrażenie prawdziwej, sezonowej promocji.
Równie łatwo pomylić fałszywy sklep z realną marką, bo przestępcy potrafią kopiować zarówno nazwę, jak i dane rejestrowe firm. Do tego dochodzi presja czasu – ograniczona liczba produktów, liczniki odliczające minuty do końca oferty czy komunikaty o „ostatnich sztukach”, które mają skłonić do kliknięcia przed wykonaniem podstawowej weryfikacji. A ta – jak podkreśla ekspertka – powinna składać się z kilku kroków.
– Sama obecność w KRS czy CEIDG nie jest już potwierdzeniem wiarygodności. Weryfikacja sklepu wymaga sprawdzenia adresu strony litera po literze, przejrzenia polityki zwrotów, regulaminu oraz danych kontaktowych, a także opinii poza samą witryną. Dopiero połączenie tych elementów pozwala ocenić, czy mamy do czynienia z legalnym sklepem, czy z podstawioną stroną – wyjaśnia ekspertka z Banku Pekao S.A.
Fałszywych sklepów przybywa z tygodnia na tydzień, a liczba blokowanych domen utrzymuje się na wysokim poziomie. Oszuści liczą na jeden moment nieuwagi – i często właśnie wtedy osiągają swój cel.
Gdy czujność zawodzi
Mimo powszechnej wiedzy na temat zagrożeń i coraz mocniejszych zabezpieczeń każdy może znaleźć się w sytuacji, w której kliknie w podstawioną stronę lub przekaże dane przestępcy. Kluczowe jest to, co dzieje się później. Im szybciej zareagujemy, tym większa szansa na ograniczenie strat.
– Jeśli zalogowaliśmy się do bankowości przez fałszywy link albo wpisaliśmy dane karty na niezweryfikowanej stronie, pierwszym krokiem powinna być natychmiastowa blokada: zarówno bankowości elektronicznej, jak i kart płatniczych – tłumaczy Paulina Rosłoń. – Kolejny etap to kontakt z infolinią i zgłoszenie incydentu, tak aby uruchomić procedury zabezpieczające.
W przypadku przelewu wykonanego bezpośrednio do oszusta sytuacja jest trudniejsza, ale również wtedy warto działać szybko. Bank może podjąć interwencję, jeśli operacja jest jeszcze w toku, a zgłoszenie na policję stanowi podstawę dalszych działań dowodowych. Ekspertka podkreśla także rolę zgłaszania stron i reklam do CERT – nawet jeśli sami nie ponieśliśmy szkody, możemy uchronić kolejne osoby.
Drugą warstwą bezpieczeństwa pozostaje codzienny kontakt z bliskimi. To szczególnie ważne w przypadku seniorów, którzy – jak pokazuje praktyka – najczęściej stają się celem ataków telefonicznych.
– Regularna rozmowa może zapobiec tragedii – podkreśla Paulina Rosłoń. – Gdy bliska osoba wie, jak się z nami skontaktować i jak się komunikujemy, trudniej ją wprowadzić w błąd. Ze swoimi bliskimi powinniśmy ustalić przy wigilijnym stole wspólne hasło, które podane podczas rozmowy np. prośby o przelew pozwoli nam rozpoznać czy osoba po drugiej stronie jest naprawdę naszym dzieckiem, rodzeństwem czy rodzicem. Takie hasło nie powinno być nigdzie zapisane, a przekazane ustnie i znane tylko członkom rodziny.
Ostatecznie to nie skala oszustw decyduje o ich skuteczności, lecz to, czy pozwolimy przestępcom przejąć kontrolę. Sprzymierzeńcami wyłudzeń są pośpiech i samotność – każde przerwane połączenie, zweryfikowany link czy rozmowa z bliskim odbiera im przewagę. To proste działania, ale w praktyce wyjątkowo skuteczne.
Partnerem publikacji jest Bank Pekao S.A.
