Postępująca cyfryzacja powoduje, że coraz częściej korzystamy z nowoczesnych usług finansowych świadczonych przez internet. Jednak jesteśmy narażeni na działania cyberprzestępców.

Inwencja oszustów internetowych jest nieograniczona, a ich przestępcze metody działania są coraz bardziej wyrafinowane. Najczęściej przestępcy starają się uzyskać dostęp do kont bankowych. Bezpieczeństwo w sieci zależy nie tylko od zabezpieczeń bankowych ale również od naszej wiedzy i rozsądku.

Najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek. Oszuści wykorzystują nasze słabości, jak brak wiedzy, łatwowierność, nieostrożność, niecierpliwość czy niefrasobliwość. Korzystając z usług świadczonych przez internet należy przede wszystkim kierować się ograniczonym zaufaniem.

Popularne metody działania cyberprzestępców

1. Na skrzynkę poczty elektronicznej lub w postaci komunikatu SMS/MMS oszuści wysyłają fałszywe informacje. Mogą dotyczyć na przykład rzekomej niedopłaty za przesyłkę kurierską, nieuregulowanego rachunku za media, nadzwyczajnie zyskownej inwestycji czy zawierać fałszywe pliki z wyciągiem bankowym. Oszuści podszywają się również pod znane osobistości ze świata sportu, biznesu, artystów czy celebrytów, a także instytucje zaufania publicznego takie jak urzędy państwowe, centralne i lokalne. Komunikaty mogą zawierać linki do stron ze złośliwym oprogramowaniem, prowadzić do specjalnie spreparowanych stron bankowości internetowej lub zawierać kod powodujący przejęcie urządzenia ofiary w celu wyłudzania danych osobowych, loginu, hasła do serwisu bankowego i kodów autoryzacyjnych do zatwierdzenia przelewów (ang. phishing).

Kwoty przelewów mogą być niewielkie, aby ofiara nie zorientowała się, że jest stopniowo okradana. Dlatego należy często sprawdzać historię rachunku bankowego i czas ostatniego logowania. Warto też ustalić odpowiednio niski limit płatności internetowych.

Jeżeli otrzymasz wiadomość, która wzbudza podejrzenie oszustwa, nie klikaj na załączony link i niezwłocznie ją skasuj. Dla wspólnego bezpieczeństwa  powiadom instytucję, na którą powołują się oszuści. Podmioty te (np. PGNiG, Orlen, Ministerstwo Zdrowia, UPC, banki) zbierają wszystkie zgłoszenia i publikują ostrzeżenia na swoich stronach internetowych.

2. Oszust kontaktuje się przez email lub dzwoni do wybranej losowo osoby i przedstawia się jako pracownik banku. W trakcie rozmowy informuje o rzekomym włamaniu na konto bankowe. Jednocześnie nakłania do pobrania i zainstalowania wskazanej aplikacji na smartfonie, która miałaby rozwiązać problem. W rzeczywistości oferuje złośliwe oprogramowanie do śledzenia aktywności użytkownika smartfonu w celu kradzieży danych do logowania serwisu internetowego. Użytkownik telefonu może uwierzyć oszustowi, bowiem jest wyświetlany prawidłowy numer telefonu jego banku. W rzeczywistości jest to podszywanie się pod numer banku z wykorzystaniem technologii VoIP i luk w systemach operatorów komórkowych.

W takiej sytuacji należy przerwać połączenie telefoniczne lub usunąć otrzymaną wiadomość i niezwłocznie skontaktować się z bankiem. 

3. Możesz otrzymać z nieznanego źródła email ze sfałszowanym adresem nadawcy (ang. spoofing). Aby poznać rzeczywisty adres należy przesunąć na niego myszkę. Jeżeli link kieruje do innego serwisu to mamy do czynienia z próbą oszustwa. W kanale poczty elektronicznej przestępcy tworzą również domeny podobne do domeny firmy, pod którą się podszywają licząc, że ofiara tego nie zauważy. W takich sytuacjach należy skasować otrzymaną pocztę i powiadomić podmiot, na którego powołują się oszuści.

4. Oszuści mogą wysoko wypozycjonować w wyszukiwarce Google fałszywą stronę internetową przypominającą do złudzenia stronę banku. Logując się na takiej stronie nieświadomie przekazujesz oszustowi login i hasło. W związku z tym zawsze upewniaj się, że logujesz się do serwisu banku, sprawdzając czy strona zawiera oznaczenie protokołu HTTPS (ang. Hypertext Transfer Protocol Secure) i ikonkę w postaci kłódki. 

5. Oszuści publikują fałszywą stronę e-commerce, na której wystawiają fikcyjne towary po nadzwyczaj atrakcyjnych cenach. Wymaganą formą płatności jest karta płatnicza. Nieświadomy oszustwa internauta wpisuje w podstawionym formularzu dane karty bankowej, które trafiają do oszustów. Dlatego nie ufaj serwisom sprzedażowym, których nie znasz, w szczególności jeżeli wystawiają ceny znacząco odbiegające od rynkowych. Jeżeli jedyną formą płatności jest karta płatnicza, to zrezygnuj z zakupów.

Zawsze sprawdzaj czy strona jest prawdziwa, a ponadto sprawdź w rejestrze przedsiębiorców, czy dana firma istnieje. Warto też poszukać w internecie opinii internautów, mogą zawierać ostrzeżenia przez oszustwem.

6. Możesz otrzymać wiadomość od nieznanego nadawcy, który chce przechować na Twoim koncie wielomilionową sumę za sowitym wynagrodzeniem, np. będącą rzekomo spadkiem po bogatym krewnym (tzw. Nigerian scam). Oszust będzie chciał abyś podał mu numer Twego rachunku bankowego. Stąd już prosta droga do fraudu. Taką wiadomość należy zignorować i nie wdawać się w konwersację.

7. Płatności przy pomocy kodu BLIK należą do najbezpieczniejszych. Jednak również tutaj przestępcy znaleźli pole do działania, wykorzystując ludzkie błędy.

O przestępstwach na BLIK pisaliśmy w artykule „To musisz wiedzieć o BLIK-u” (czytaj TUTAJ).

Dobre rady na przyszłość

1. Bank nigdy nie wyśle Ci wiadomości e-mail, która będzie zawierała link do logowania i nie poprosi o zainstalowanie dodatkowego oprogramowania. Bank również nie poprosi Ciebie o dane poufne, jak: login, hasło, kod autoryzacyjny, kod BLIK, pełne dane kart płatniczych lub cały numer PESEL. Jeżeli otrzymasz prośbę o podanie tych danych to oznacza, że prawdopodobnie masz do czynienia z oszustem. Takie żądanie zignoruj i skontaktuj się z bankiem aby wyjaśnić, czy faktycznie korespondencja pochodziła z banku.
2. Korzystaj tylko z legalnego oprogramowania i je na bieżąco aktualizuj. Zainstaluj profesjonalny program antywirusowy. Hasło do logowania musi być silne, nie oczywiste, odpowiednio długie, zawierać duże i małe litery, cyfry oraz znaki specjalne. Co pewien czas je zmieniaj. W przypadku utraty dokumentu tożsamości, karty płatniczej, telefonu z zainstalowaną aplikacją bankową niezwłocznie powiadom bank, zablokuj kartę i jeżeli doszło do przestępstwa - powiadom policję.
3. Cyberprzestępcy mogą przechwytywać informacje z niewystarczająco zabezpieczonych publicznych sieci internetowych i modemów. Nie należy więc wykonywać transakcji bankowych poprzez ogólnie dostępne hotspoty.
4. Nie odczytuj smartfonem kodów QR z nieznanych źródeł, np. na tablicach ogłoszeń. Mogą zawierać linki prowadzące do złośliwego oprogramowania.
5. Pobieraj aplikacje na smartfon lub komputer tylko z autoryzowanych sklepów oraz stron internetowych, np. Sklep Play. 

Podsumowanie

Aby bezpiecznie korzystać z usług w sieci konieczne jest ciągłe zdobywanie wiedzy w zakresie zagrożeń, czytać ostrzeżenia publikowane przez banki, dostawców mediów, policję, prasę a także przeglądać specjalistyczne portale internetowe jak: niebezpiecznik.pl, sekurak.pl, fincert.pl, cert.pl. 

Działając w swoim i publicznym interesie zgłoś stronę, która może wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych do serwisu rządowego (https://www.gov.pl/web/gov/zglos-przestepstwo) lub Bankowego Centrum Cyberbezpieczeństwa ZBP (https://incydent.cert.pl/phishing).

Jeśli jesteś ofiarą internetowego oszustwa, zgłoś ten fakt jak najszybciej do swojego banku, policji i zespołowi reagowania na incydenty w NASK CERT.PL (pod adresem https://incydent.cert.pl/). Tą drogą można zgłosić strony, maile i smsy rozsyłane w celu oszustwa lub wyłudzenia.

Tylko wspólne działanie może ukrócić skuteczność działań cyberprzestępców.