Phishing – kradzież tożsamości online
Jedną z najgroźniejszych form oszustw, które w ostatnim czasie dotykają użytkowników bankowości elektronicznej, jest phishing. Jest to metoda stara jak świat, ale cały czas niezwykle skuteczna. Polega ona na podstawieniu ofierze fałszywej strony internetowej, na której oszukany poda swoje wrażliwe dane. Strona taka na pierwszy rzut oka do złudzenia przypomina oryginał – może to być kopia witryny banku lub bramki do wykonywania płatności.
W ostatnich miesiącach właśnie ten rodzaj ataku stał się szczególnie popularny wśród cyberprzestępców. Oszuści szukają swoich ofiar na portalach z ogłoszeniami, takich jak OLX czy Vinted, wysyłając im linki przez SMS, komunikatory czy e-mail. W tych linkach podany jest adres fałszywej strony, gdzie ofiara wprowadza wrażliwe dane – login, hasło, dane karty płatniczej itp.
Według raportu Komisji Nadzoru Finansowego, przestępcy często wykorzystują również strony udające autentyczne portale płatności, aby wyłudzić dane logowania do bankowości elektronicznej. Fałszywe strony często zawierają błędy, takie jak literówki, co może być sygnałem ostrzegawczym dla uważnego użytkownika.
Aby się bronić przed tego typu atakami, eksperci Banku Pekao SA radzą, aby przed zalogowaniem czy dokonaniem transakcji zawsze weryfikować autentyczność i poprawność adresu witryny, na której wpisujemy dane karty płatniczej lub logujemy się do bankowości elektronicznej, w tym na stronach pośredników płatności. Należy także skontrolować aktualność i wystawcę certyfikatu strony www. Ponadto klikać należy tylko w linki z pewnych, sprawdzonych źródeł, a do logowania nie używać adresu lub linku otrzymanego w wiadomości SMS, e-mail lub w serwisie społecznościowym.
Vishing – oszustwa telefoniczne
Kolejną groźną metodą, którą stosują cyberprzestępcy, jest vishing. Jest to mutacja phishingu, ale za pomocą kontaktu telefonicznego. Oszust podszywa się pod pracownika banku i przekonuje ofiarę do wykonania określonych czynności.
Najczęściej chodzi o to, by poszkodowany zainstalował program do zdalnej kontroli pulpitu, np. Anydesk, za pomocą którego cyberprzestępca może obsługiwać komputer ofiary. Czasami oszuści wybierają inne metody, np. nakłaniają klienta banku do wypłaty i przekazania pieniędzy lub podania kodów BLIK.
Vishing jest szczególnie niebezpieczny ze względu na to, że przestępcy dzwoniąc, podszywają się pod prawdziwy numer telefonu, np. infolinii bankowej. Ten rodzaj ataku, polegający na podszywaniu się pod inny numer telefonu, określany jest jako spoofing.
Jak informuje Santander Bank Polska, podczas rozmowy telefonicznej oszuści mogą próbować wyłudzić dane do logowania do bankowości internetowej lub mobilnej. Mogą się przy tym przedstawiać jako pracownicy banku lub innej zaufanej instytucji.
Aby się bronić przed vishingiowymi atakami, należy zachować ostrożność i ograniczone zaufanie do telefonów, wiadomości e-mail czy na komunikatorach, w których ktoś podaje się za instytucję. Zwłaszcza gdy wiadomość dotyczy żądania opłat, opłacenia faktur czy ostrzeżenia o blokadzie dostępu do bankowości elektronicznej. W razie wątpliwości należy zadzwonić na infolinię danej instytucji i potwierdzić prawdziwość informacji.
Malware – złośliwe oprogramowanie
Cyberprzestępcy nie stronią również od wykorzystywania złośliwego oprogramowania do ataków na użytkowników bankowości elektronicznej. Najczęściej stosują w tym celu metody phishingowe – przekonują ofiarę, że występują w imieniu banku i zalecają zainstalowanie np. programu antywirusowego.
Podczas pandemii COVID-19 odnotowano również przypadki, gdy przestępcy rozsyłali SMS-y z linkami informującymi o rzekomym skierowaniu na kwarantannę domową. Takie linki kierowały do trojana Cerberus, który infekował telefon użytkownika.
Innym przykładem jest nakłanianie do zainstalowania fałszywej aplikacji ProteGO Safe, która zawierała wirusa BlackRock. Wirusy te mogą przechwytywać w tle SMS-y z kodami autoryzacyjnymi, śledzić ruchy użytkownika lub rejestrować działania podejmowane w Internecie.
Aby się uchronić przed tego typu atakami, eksperci Banku Pekao SA radzą, aby nie instalować na komputerze i urządzeniu mobilnym oprogramowania z linku z maila czy wiadomości na komunikatorze. Aplikacje należy pobierać wyłącznie ze sprawdzonych platform, takich jak Google Play czy App Store, a także zwracać uwagę na ilość pobrań danej aplikacji, co może być sygnałem ostrzegawczym.
Fałszywe inwestycje
Cyberprzestępcy nie rezygnują również z prób wyłudzenia pieniędzy poprzez kusząc oferty inwestycyjne. Tworzą fałszywe strony internetowe, na których zachęcają do inwestycji w kryptowaluty lub akcje znanych firm, obiecując ponadprzeciętne zyski. Nierzadko wykorzystują bezprawnie wizerunki znanych osób – celebrytów czy ekspertów.
Często nakłaniają również ofiary do przekazania wrażliwych danych, instalacji oprogramowania na komputerze czy przesłania skanów dokumentów. Zgodnie z poradami ekspertów, należy zachować szczególną ostrożność wobec ofert wyjątkowo zyskownych inwestycji i dokładnie weryfikować każdą taką propozycję u źródła. Pod żadnym pozorem nie należy przekazywać skanów dokumentów czy kart płatniczych.
Oszustwa na wnuczka i policjanta
Cyberprzestępcy często sięgają również po klasyczne metody wyłudzeń, takie jak oszustwa na wnuczka czy na policjanta. W tych schematach sprawcy dzwonią do ofiary, podszywając się pod kogoś zaufanego, i przekonują ją do natychmiastowego wypłacenia i przekazania pieniędzy.
Mogą na przykład poinformować, że krewny ofiary miał wypadek lub podpadł gangsterom i potrzebuje pilnej pomocy finansowej. Innym wariantem jest podawanie się za policjanta lub funkcjonariusza CBŚ, który ostrzega o ataku hakerów na bank i konieczności wypłaty środków.
Aby się ustrzec przed takimi atakami, należy zachować zdrowy rozsądek i niezależnie zweryfikować przedstawianą historię. Policja i inne służby nigdy nie proszą o przekazanie pieniędzy w ramach prowadzonych akcji. W razie wątpliwości co do tożsamości rozmówcy, należy zakończyć połączenie i samodzielnie zadzwonić na numer alarmowy, aby potwierdzić informacje.
Oszustwa e-commerce
Niesłabnącą popularnością wśród cyberprzestępców cieszą się również ataki na użytkowników e-commerce. Metod jest wiele – od tworzenia fałszywych sklepów internetowych po wystawianie oszukańczych aukcji i ogłoszeń na portalach z używanymi rzeczami.
Zazwyczaj takie oferty kuszą konkurencyjną ceną, ponieważ przestępcy chcą w jak najkrótszym czasie zdobyć jak najwięcej zamówień. Następnie wymagają przedpłaty, a później znikają z sieci, a kontakt z nimi się urywa.
Eksperci Banku Pekao SA radzą, aby szczególną ostrożność zachować wobec ofert wyjątkowo atrakcyjnych. Przed dokonaniem transakcji należy dokładnie zweryfikować autentyczność sklepu internetowego i unikać prób nawiązania kontaktu poza oficjalnym kanałem sprzedaży. Podczas płatności online wybierajmy sprawdzone i bezpieczne metody, takie jak BLIK czy tradycyjny przelew bankowy, a nigdy nie podawajmy na stronie sprzedawcy danych logowania do konta bankowego lub hasła e-mail.
Podsumowanie
Cyberprzestępcy nieustannie poszukują nowych, coraz bardziej wyrafinowanych metod wyłudzania pieniędzy od użytkowników bankowości elektronicznej. Od klasycznych schematów phishingowych, przez złośliwe oprogramowanie, po wyrafinowane oszustwa inwestycyjne – wachlarz ich działań jest bardzo szeroki.
Aby się ustrzec przed tymi zagrożeniami, niezwykle istotne jest zachowanie wzmożonej czujności i ograniczonego zaufania w trakcie korzystania z usług finansowych online. Warto również regularnie aktualizować oprogramowanie zabezpieczające na naszych urządzeniach oraz stosować dobre praktyki bezpiecznego korzystania z bankowości elektronicznej.
Pamiętajmy, że cyberprzestępcy nieustannie ewoluują i dostosowują swoje metody. Dlatego też stała czujność i świadomość zagrożeń są kluczowe, aby ustrzec się przed utratą cennych oszczędności. Warto także śledzić aktualne informacje na temat nowych form oszustw i sposobów ochrony przed nimi.
