Koleżanka kliknęła w link, który otrzymała w SMS-ie zachęcającym do obejrzenia jakiegoś filmiku. Była przekonana, że SMS dostała od męża przyjaciółki. Nie miała zapisanego jego numeru, więc uznała, że pisze do niej właśnie on, bo kilka dni wcześniej mówił, że będzie jej coś wysyłał. Jej partner w panice kazał jej natychmiast zmienić hasło do konta bankowego, powiedział, że następnego dnia odda telefon do serwisu w celu wyczyszczenia danych.
To jedna z popularniejszych ostatnio metod wyłudzania pieniędzy – infekcja złośliwym oprogramowaniem Flubot. Jeszcze jakiś czas temu w SMS-ie proszono o odsłuchanie poczty głosowej, później mowa była o konieczności sprawdzenia pod przesłanym linkiem informacji związanych z przesyłką. Natomiast obecnie wykorzystywanym sposobem jest rozsyłanie SMS-a rzekomo od znajomego z linkiem do jakiegoś filmiku czy zdjęcia. A pod linkiem jest prośba o zainstalowanie aplikacji.
Również zdarzyło mi się kliknąć w podejrzany link w SMS-ie – w grudniu, w okresie przedświątecznym, zaczęłam dostawać mnóstwo wiadomości od rzekomych firm kurierskich z informacją o mojej paczce i linkiem przekierowującym na jakąś stronę. A wtedy rzeczywiście moja paczka się spóźniała.
Czy po kliknięciu w link cokolwiek pani instalowała?
Nie.
To nic złego nie powinno się wydarzyć. Samo kliknięcie w link nie oznacza, że telefon został zainfekowany złośliwym oprogramowaniem czy że nasze dane, na przykład logowania do konta, zostały skradzione. Małe jest prawdopodobieństwo, że zwykły użytkownik trafi na atak typu "zero click" czy "one click", który oznacza, że wystarczy jedno kliknięcie, żeby urządzenie zostało zainfekowane. Taka technologia jest poza zasięgiem oszustów atakujących zwykłych użytkowników internetu. Zagrożenie pojawia się wtedy, gdy zainstalujemy aplikację i damy jej uprawnienia do sterowania urządzeniem.
Czyli partner koleżanki trochę przesadził z reakcją?
Jeżeli rzeczywiście koleżanka tylko kliknęła w link, to tak. Ale często otrzymujemy zgłoszenia od ludzi, którzy mówią, że "tylko w coś kliknęli", a potem, jak prześledzimy całą operację, okazuje się, że to nie było tylko jedno kliknięcie, bo pojawiła się informacja, że aby zobaczyć film, trzeba coś zainstalować – i oni to zrobili. Czasem tak jest, że użytkownik wykonuje pewne działania bardzo szybko i nawet nie zauważa, że instaluje jakąś aplikację lub wyraża na coś zgodę. A takie oprogramowanie jest bardzo niebezpieczne, ponieważ umożliwia oszustowi przejęcie całkowitej kontroli nad naszym urządzeniem, w tym nad odbieraniem SMS-ów, które do nas przychodzą.
Wszystkich?
Wszystkich. Nawet tych potrzebnych do uwierzytelniania konta – w przypadku dwuetapowego logowania.
To co zrobić, gdy już zainstalujemy takie szkodliwe oprogramowanie?
Należy jak najszybciej wyłączyć telefon lub odłączyć go od internetu, od razu skontaktować się z bankiem i poinformować o zdarzeniu. Bank musi podjąć próbę zablokowania konta. Pytanie, jak szybko zorientujemy się, że ktoś przejął kontrolę nad naszym telefonem. Bo oszuści działają bardzo szybko.
Gramy dla WOŚP! Polecamy naszą zbiórkę.
Możemy też spróbować pozbyć się szkodliwego oprogramowania poprzez zresetowanie telefonu do ustawień fabrycznych.
Czy to da gwarancję, że oprogramowanie się odinstaluje?
Systemy w urządzeniach mobilnych są tak skonstruowane, żeby żadna aplikacja, nawet złośliwa, nie miała dostępu do części pamięci zawierającej system operacyjny. Podczas przywracania urządzenia do ustawień fabrycznych usuwana jest większość sekcji pamięci poza tą. Istnieje pewne ryzyko, że w systemie znajdowała się luka, która została wykorzystana przez złośliwe oprogramowanie do uzyskania zapisu do tej części pamięci. Jeśli jednak regularnie aktualizujemy oprogramowanie urządzenia i jest ono nadal wspierane przez producenta, ryzyko jest bardzo małe.
Pytanie jednak, jakie informacje uda się oszustowi w międzyczasie zdobyć. W przypadku Flubota jest jeszcze jeden problem.
Jaki?
Nie tylko my jesteśmy narażeni na utratę środków. Gdy dojdzie do zainstalowania oprogramowania, SMS z fałszywym linkiem zostaje automatycznie wysłany do innych osób, których mamy w naszych kontaktach.
Przerażające.
Dlatego lepiej zachować ostrożność, niż potem gasić pożar.
Kolejnym bardzo popularnym oszustwem, o którym wspomniałem wcześniej, jest wysyłanie SMS-ów z informacją o konieczności dopłaty za przesyłkę bądź za energię elektryczną. Zazwyczaj prośba dotyczy bardzo niskiej kwoty, więc ludzie się specjalnie nie zastanawiają nad tym, czy jest to podejrzany komunikat.
Oszustom nie chodzi jednak o to, żeby zdobyć tę niską kwotę.
Rzeczywiście. Po kliknięciu w link podany w SMS-ie zostajemy przekierowani na fałszywą stronę dokonywania płatności, gdzie jesteśmy proszeni o wpisanie danych z karty płatniczej lub danych logowania do konta. Jeśli to zrobimy, automatycznie prześlemy te wszystkie informacje do oszustów, którzy uzyskają dostęp do zgromadzonych na naszym koncie środków.
I w tym przypadku jakie mamy możliwości reakcji?
Podobnie jak w przypadku Flubota ważny jest natychmiastowy kontakt z bankiem. Niestety, oszuści stosują czasem tak sprytne metody, że ludziom nawet nie przyjdzie do głowy, że mogło dojść do kradzieży ich danych.
Na przykład?
To tzw. phishing, czyli sytuacja, w której ktoś się podszywa pod kogoś innego w celu wyłudzenia danych. Dzwoni do nas na przykład osoba, która podaje się za konsultanta bankowego. Mało tego, dzwoni z numeru telefonu prawdziwej infolinii banku. Niestety, w przypadku telefonii komórkowej czy stacjonarnej bardzo łatwo oszustom zrobić tak, żeby wyświetlał nam się inny numer niż ten, z którego faktycznie przychodzi połączenie. Już na wstępie jesteśmy więc przekonani, że mamy do czynienia z prawdziwym konsultantem, który w dodatku mówi, że chce pomóc nam w zabezpieczeniu się przed atakami lub w zainwestowaniu pieniędzy.
Jaki jest następny krok?
Osoba dzwoniąca prosi o zainstalowanie aplikacji, która pozwoli jej na sterowanie naszym telefonem. Co więcej, jest to oprogramowanie w pełni legalne. Dzwoniący nie mówi oczywiście, jakie ta aplikacja ma funkcje, a jedynie informuje, że to oficjalna aplikacja banku.
Jak to legalna?
Na rynku są dostępne aplikacje umożliwiające zdalne zarządzanie swoim urządzeniem i nie ma nic złego w tym, że istnieją. Oszustwo jest więc tym bardziej skuteczne, bo ofiara widzi, że nie instaluje niczego podejrzanego, tylko oprogramowanie, które znajduje się w oficjalnym sklepie, w dodatku ma wysokie oceny wśród użytkowników. Zajęty rozmową użytkownik nie sprawdza, co to za aplikacja, mimo że w jej opisie jest dokładnie powiedziane, że służy do zdalnego kontrolowania urządzenia. Gdy się ją zainstaluje, otrzymuje się kod, który należy wpisać na innym urządzeniu, aby przejąć kontrolę nad tym pierwszym. Konsultant prosi więc o ten kod.
Zapewne bardzo trudno się uchronić przed takim oszustwem.
Zasada jest taka: jeśli ktokolwiek poprosi nas o zainstalowanie czegokolwiek – odmawiamy. Najlepiej w ogóle przerwać rozmowę z dzwoniącym i od razu skontaktować się z bankiem, aby potwierdzić, czy z jego strony była próba kontaktu.
Dlaczego?
Taką legalną aplikację można bez problemu odinstalować. Dlatego jeśli szybko się zorientujemy, co się wydarzyło, warto od razu to zrobić. Pozostaje oczywiście pytanie, jakie informacje udało się oszustowi w międzyczasie przechwycić. Kontakt z bankiem jest nieunikniony.
Jak się okazuje, bank nie zawsze jest w stanie zablokować konto. Inna koleżanka została oszukana na jednej z platform zakupowych – przekazała dane do swojego konta i potem obserwowała, jak kolejne tysiące złotych z niego znikają. Bank nie był w stanie zatrzymać procederu, straciła wszystko, co miała, czyli 40 tys. zł.
Mechanizm jest taki: zazwyczaj sprzedawca zostawia do siebie kontakt na stronie produktu, który sprzedaje. Wówczas oszust kontaktuje się z nim, na przykład przez WhatsApp, i podaje się za osobę zainteresowaną ofertą, a nawet taką, która już dany produkt kupiła, i wysyła link do strony, na której rzekomo można odebrać środki lub nadać przesyłkę. Jest to oczywiście fałszywa strona. Jeśli podamy na niej dane z karty bankowej lub hasło do logowania do bankowości elektronicznej, oszust je dostanie i w ten sposób uzyska dostęp do naszego konta bankowego i zgromadzonych na nim środków.
W takiej sytuacji trzeba być bardzo uważnym i sprawdzić adres strony, na którą przekierowuje nas potencjalny nabywca. Nawet jeśli strona używa tych samych logotypów co popularna marka i wygląda niemalże tak samo, to musi się różnić od prawdziwej strony.
Czym?
Domeną, czyli tym elementem w pasku adresowym, który jest wyróżniony innym kolorem. Niestety, wiele osób wciąż nie wie, czym jest domena, i nie ma pojęcia, że należy ją weryfikować, bo właściwie tylko domena określa, na jakiej stronie się znaleźliśmy. Sam fakt, że na stronie pojawia się logo, jeszcze nie oznacza, że mamy do czynienia z prawdziwą stroną danej firmy.
Gramy dla WOŚP! Polecamy naszą aukcję. Sprawdź>>>
Domena fałszywej strony może także niewiele różnić się od domeny strony prawdziwej.
Ale czymś różnić się musi – pojawić się tam może jakaś litera z innego alfabetu albo znak specjalny, który przypomina daną literę.
Popularne są także oszustwa w portalach społecznościowych. Zamieszczane są tam reklamy wykorzystujące wizerunki celebrytów lub znanych koncernów, które namawiają do inwestycji w kryptowaluty. Są to oczywiście fałszywe inwestycje. Oszuści na początku wysyłają nam nawet jakąś drobną kwotę, żeby uwiarygodnić inwestycję, co zachęca ludzi do przekazywania większych pieniędzy.
Kilkorgu znajomym w ostatnim roku ktoś włamał się na konto...
Mogło się tak stać, że zalogowali się do Facebooka przez fałszywy panel do logowania. Być może atak wyglądał następująco: na Facebooku pojawiała się jakaś sensacyjna wiadomość, rzekomo udostępniona przez policję, o gwałcie czy porwaniu lub – w przypadku celebryty – z prośbą o pomoc, na przykład w zidentyfikowaniu sprawcy. W ten sposób ludzie są zachęcani do wejścia na daną stronę, która przypomina oczywiście prawdziwą stronę policji. Jest tam wideo. Żeby można je było odtworzyć, trzeba zalogować się na Facebooka lub pojawia się informacja o tym, że treści są przeznaczone dla osób powyżej 18. roku życia, więc trzeba potwierdzić swój wiek za pomocą portalu. Przenoszeni jesteśmy na fałszywy panel, który wygląda identycznie jak panel Facebooka, różni się oczywiście domeną.
Gdy już się zalogujemy, nasze konto przechodzi w ręce oszustów, którzy mogą publikować w naszym imieniu posty lub – co gorsza – pisać do naszych znajomych, podszywając się pod nas. Mogą na przykład prosić ich o pomoc finansową z powodu stłuczki albo blokady karty płatniczej i przelanie jakiejś kwoty blikiem. W takiej sytuacji ludzie najczęściej pomagają. Powinni jednak być czujni i jeśli dostaną taką wiadomość, skontaktować się z rzekomym znajomym innym kanałem, aby potwierdzić, że rzeczywiście jest w potrzebie.
Każdy z nas może stracić czujność i nie zauważyć, że dana strona rzeczywiście nie jest prawdziwa.
Dlatego warto zainstalować aplikację menedżera haseł, która oprócz tego, że zapamiętuje hasła, to między innymi posiada funkcję powiązania hasła z daną stroną. W takiej sytuacji hasło pojawi się wyłącznie na prawdziwej stronie, a na fałszywej już nie. Tylko nie zapomnijmy utworzyć hasła do samego menedżera!
To hasło będziemy już musieli zapamiętać.
Niestety tak. Sugerujemy tutaj skorzystanie z naszego poradnika o hasłach, w którym wyjaśniamy, jak budować bezpieczne i łatwe do zapamiętania hasła.
Coraz bardziej popularna staje się także technologia FIDO, która ma w ogóle wyeliminować posługiwanie się hasłami. Ludzie wciąż wykorzystują te same hasła do wielu kont, a jest to bardzo niebezpieczne. Wykradanie haseł jest w tej chwili na porządku dziennym.
Jak dokładnie działa FIDO?
To tzw. fizyczny klucz do internetu, który przypomina pendrive, wkłada się go do portu USB lub zbliża do telefonu. Można go kupić w sklepie komputerowym, kosztuje od 100 zł w górę. Gdy chcemy się gdzieś zalogować, korzystamy właśnie z tego klucza, który stanowi dodatkowy składnik uwierzytelniania. Logowanie zadziała tylko wtedy, gdy znajdujemy się na właściwej stronie.
Gramy dla WOŚP! Polecamy naszą aukcję. Sprawdź>>>
Te klucze działają jednak wyłącznie w sytuacjach logowania. Technologia ta nie ochroni nas przed wpisaniem innych danych na fałszywej stronie.
Czy są bezpieczniejsze i mniej bezpieczne telefony?
Oprogramowanie iOS, które działa na urządzeniach firmy Apple, czyli na przykład na iPhone’ach, uniemożliwia ściągnięcie aplikacji z innego źródła niż z oficjalnego sklepu Apple’a, co z jednej strony zapewnia bezpieczeństwo, ale z drugiej jest też bardzo ograniczające – czasem mamy potrzebę zainstalowania jakiejś aplikacji spoza tego sklepu.
Koleżanka poleciła mi, abym zainstalowała sobie program antywirusowy w telefonie, który rzekomo ma blokować instalację złośliwego oprogramowania. Po raz pierwszy spotkałam się z tym, żeby w telefonie instalować taki program!
To nie jest zalecane. Telefony działają zupełnie inaczej niż komputery. Program antywirusowy nie zatrzyma działania innej aplikacji.
Co robić, kiedy natkniemy się na fałszywą stronę lub padniemy ofiarą oszustów?
Jeśli dojdzie do oszustwa, konieczne jest zgłoszenie sprawy na policję. Bez względu na to, czy staliśmy się jego ofiarą, czy nie, warto to zgłosić, na przykład do CERT, poprzez formularz na stronie. Nasz zespół ma techniczne możliwości na przykład zablokowania strony oszustów. Wiadomo, że mogą w ciągu kilkudziesięciu minut stworzyć nową, ale jest to zawsze jakieś utrudnienie.
Mam wrażenie, że te sposoby na wyłudzanie pieniędzy, nowe formy cyberataków są coraz doskonalsze i co chwila pojawia się coś nowego. Trudno za tym nadążyć. Czy też macie takie wrażenie?
Nie do końca. To, co się przede wszystkim zmienia, to scenariusz, natomiast cel działania jest zawsze taki sam – albo chodzi o zainstalowanie aplikacji, albo podanie swoich danych do konta. Dlatego tak ważne jest, aby nie instalować nic spoza oficjalnego sklepu oraz być bardzo ostrożnym przy nadawaniu uprawnień, czytać opis aplikacji, sprawdzać domenę. A gdy tylko zorientujemy się, że mogliśmy paść ofiarą oszustwa, reagować błyskawicznie – wyłączyć telefon, skontaktować się z bankiem.
W czasie pandemii przestępcy znacząco zwiększyli liczbę prób wyłudzenia pieniędzy w internecie i wzrosła ich skuteczność - tak wynika z raportu CERT z 2020 roku. Według najnowszego raportu firmy NOKIA "2021 Threat Intelligence" rosną zagrożenia związane ze złośliwym oprogramowaniem bankowym. Cyberprzestępcy wykorzystują ataki mające na celu kradzież osobistych danych bankowych i informacji o kartach kredytowych. Z badania "Złapani w sieć - jak Polacy radzą sobie w cyberrzeczywistości", przeprowadzonego na zlecenie Fundacji Citi Handlowy w 2021 roku, wynika z kolei, że aż 43 proc. Polaków zdarza się odwiedzać podejrzane portale, wielu otwiera też linki nieznanego pochodzenia.
Licytujemy dla WOŚP! Oto nasze aukcje. Sprawdź>>>
Ewa Jankowska. Dziennikarka. Redaktorka. W mediach od 2011 roku. W redakcji magazynu Weekend od 2019 roku. Współautorka zbioru reportaży "Przewiew". Jedna z laureatek konkursu "Uzależnienia XXI wieku" organizowanego przez Fundację Inspiratornia. Jeśli chcesz się podzielić ze mną swoją historią, napisz do mnie: ewa.jankowska@agora.pl.
JedenDzieńDłużej z WOŚP!
Gazeta.pl kolejny już raz gra #JedenDzieńDłużej dla Wielkiej Orkiestry Świątecznej Pomocy. Każde dodatkowe wsparcie dla tej akcji jest bezcenne. Licytujcie książkę lekcję rysowania z Tomaszem Smolikiem, pakiet polskiej literatury pięknej z autografami czy statuetkę Joanny Jędrzejczyk. Aukcji jest więcej - wystarczy sprawdzić.
