Złodzieje nie potrzebują już do kradzieży dynamitu, kominiarek i pistoletów wystarczy telefon i dostęp do internetu. W wyniku ich działań w kilka minut można stracić oszczędności życia lub wpaść w gigantyczne długi. Cyberprzestępcy są coraz skuteczniejsi: skala ich ataków stale rośnie, a ofiarami padają zarówno osoby starsze, jak i młodzi.

Phishing (fałszywa korespondencja, np. e-mailowa z linkiem do podrobionej strony banku), vishing (próba kradzieży w trakcie rozmowy telefonicznej), smishing (kradzież za pomocą wiadomości SMS), skimming (kiedyś skopiowanie paska magnetycznego w karcie płatniczej, dzisiaj także podmiana konta bankowego w poleceniu zapłaty lub na fakturze) – warto zapamiętać te słowa. Opisują one bowiem sposoby kradzieży pieniędzy, często wykorzystywane w dzisiejszych cyfrowych czasach przez cyberprzestępców.

Praktyka dobrze poznana

Sam mechanizm e-kradzieży nie jest nowy i powinien być on użytkownikom internetu i smartfonów już dobrze znany. Nie warto jednak bagatelizować starych sposobów na kradzież pieniędzy, które wciąż są zmieniane i dopasowywane do potrzeb zarówno czasu, jak i odbiorcy. Tak jak konsumenci stale się uczą bezpiecznego bycia w sieci, tak przestępcy nie ustają w staraniach, by być bardziej skutecznymi i nieprzerwanie doskonalą swoje metody i techniki. Nawet jeśli nie zmienia się sam sposób, w jaki złodzieje kradną nasze pieniądze za pomocą wyżej wspomnianych metod, to ich forma – dopasowywana do bieżących wydarzeń i rynkowych trendów – wciąż ewoluuje.

Pandemia cyberprzestępczość tylko nasiliła. Zamiast wyjść do kina, byliśmy zmuszeni obejrzeć film w domowym zaciszu, uruchamiając na komputerze lub telewizorze jedną z popularnych aplikacji do streamingu wideo. Zakupy online robiliśmy często ze względu na wprowadzone ograniczenia epidemiczne, w tym m.in. zakaz przemieszczania się. Złodzieje próbowali wykorzystać nasze preferencje i zmiany zachowań w czasie lockdownu i odpowiednio dopasować swoje przestępcze działania.

Przed oszustwami „na Netfliksa” i „na PayPala” ostrzegała niedawno Komisja Nadzoru Finansowego, zwracając uwagę, że przestępcy, podszywając się pod te firmy, wysyłali e-maile, nakłaniali do opłacenia subskrypcji i późniejszego zwrotu środków. W obu przypadkach chodziło o kradzież pieniędzy, po tym jak ofiara na fałszywych witrynach udostępniła swoje dane płatnicze. SMS od kuriera z oczekującą paczką, konieczność dopłaty ze względu na zmieniające się przepisy celne lub wyższą wagę przesyłki; innym znów razem SMS informacyjny o akcji szczepień lub teście na COVID-19 – to kolejne sposoby, by niepodejrzewająca niczego ofiara kliknęła w link i podała swoje dane osobowe lub – co gorsza – zalogowała się do bankowości elektronicznej.

Skala problemu rośnie

Z danych Komendy Głównej Policji wynika, że w 2020 r. odnotowano łącznie 6,7 tys. przestępstw sklasyfikowanych jako oszustwa dotyczące e-bankowości lub phishingu. Dla porównania rok wcześniej było ich 6,3 tys., a w 2018 r. – 3,6 tys. Trend wzrostowy jest wyraźny. Według raportu „2020 Phishing and Fraud Report” w ubiegłym roku odnotowano 15-proc. wzrost liczby przypadków phishingu w porównaniu z 2019 r. W szczytowym okresie obaw związanych z pandemią na świecie liczba oszustw tego rodzaju wzrosła aż o 220 proc. w porównaniu ze średnią za cały rok.

Na popularności zyskują ataki DDoS (ang. distributed denial of service, rozproszona odmowa usługi, czyli ataki na system komputerowy lub usługę sieciową w celu ich zablokowania) i akcje phishingowe, ale wciąż pojawiają się nowe sposoby na kradzież, wykorzystujące luki w popularnych komunikatorach, w rozwiązaniach, tj. VPN czy na tzw. zdalny pulpit lub „pracownika banku”.

Jak to działa? Złodzieje korzystają z bramki internetowej (dzięki temu mogą dzwonić z dowolnego wręcz numeru) i przedstawiają się jako pracownik banku, w którym mamy konto. Nierzadko uwiarygadniają się, podając informacje, których nie powinni znać. I nie mowa tu tylko o tych podstawowych, jak imię i nazwisko, ale również o danych z karty kredytowej, które wcześniej zostały wykradzione z baz sklepów internetowych.

Dzwonią często z informacją dla większości z nas stresującą: „doszło do podejrzanej transakcji”, „został zlecony nieautoryzowany przelew”, „złożono wniosek o pożyczkę gotówkową”... Złodzieje są bardzo wiarygodni, próbują uspokoić rozmówcę, przekonać, że sytuacja jest już pod kontrolą, bo w końcu bank wykrył sprawę i pieniądze uda się odzyskać.

Przekonują oni klienta, że jeśli będzie postępować zgodnie ze wskazówkami, nic złego się nie stanie. A całość uda się jeszcze odkręcić. Trzeba jednak działać szybko. W trakcie kradzieży złodzieje korzystają z podobnego schematu: konto jest rzekomo blokowane, a żeby ocalić pieniądze, trzeba założyć nowy rachunek, na który środki będą przelane. Mało tego, przekonują ofiarę, że wniosków o kredyty i pożyczki nie da się już wycofać, trzeba je zaakceptować i od razu spłacić. Tym zajmie się jednak – podkreślają – bank, więc kosztów żadnych nie będzie. Do tego potrzebne są jednak zgoda klienta i kody autoryzujące.

Na tym etapie cały proces kradzieży mógłby się zakończyć. W końcu złodzieje do kodów SMS dostępu mieć nie powinni. Jest jednak inaczej, bowiem na etapie rozmowy nalegają, by m.in. zgodnie z regulaminem banku zainstalować specjalne oprogramowane (co jest oczywiście nieprawdą) – Anydesk lub Teamviewer QuickSupport. Dzięki temu przejmują kontrolę nad telefonem i mogą bez problemu odczytać przychodzące kody zabezpieczające. Przed kradzieżą pieniędzy nic ich już nie powstrzymuje. Innym znów razem klient jest proszony o przekazywanie kodów BLIK, które to mają służyć anulowaniu kredytów. Przy ich wykorzystaniu przestępcy wypłacają środki pozyskane z kredytu w bankomacie.

Można zapytać: kto jest ich celem; jaki jest profil ofiary? Rzecz w tym, że takiego nie ma. Nie będzie jednego wzorca: na ich techniki łapią się zarówno starsi, jak i młodzi, którzy z technologiami – zdaje się – są lepiej obyci.

Problem nie leży w technologii

Metoda na „pracownika banku” w ostatnim czasie jest niezwykle popularna. Ale to niejedyny sposób na kradzież pieniędzy wykorzystywany przez złodziei „na zdalny pulpit”. Ofiary instalując wspomniane aplikacje na telefonie lub komputerze, otwierają złodziejom drzwi do swoich kont bankowych i wszystkich informacji, które na urządzeniu mają i przechowują.

Złodzieje są coraz bardziej wyrafinowani i skuteczni. Obietnica wysokiej stopy zwrotu z inwestycji w czasie, gdy rynki finansowe odbijały po załamaniu na początku pandemii – to jedna z ofert, z którą docierali do swoich ofiar. „Dwóch mężczyzn z powiatu kluczborskiego zdecydowało się na inwestycję giełdową. Po zarejestrowaniu się – opisuje sytuację tamtejsza policja – w witrynie internetowej w krótkim czasie otrzymali instrukcje, jak korzystać z programu umożliwiającego transakcje. Dodatkowo pokrzywdzeni zainstalowali na swoim komputerze aplikację, do której link otrzymali w wiadomości” – ostrzega policja. Złodzieje nie tylko wyczyścili konta, ale też zaciągnęli pożyczki. Łącznie mężczyźni stracili ok. 60 tys. zł. Suwalczanin, który zainstalował aplikację do „obsługi oszczędności”, stracił 40 tys. zł. Mieszkanka Gorzowa Wielkopolskiego, skuszona szybkim zarobkiem na kryptowalutach, po zainstalowaniu na komputerze zdalnego pulpitu straciła 50 tys. zł. To tylko wybrane przykłady opisywane przez policję, by przestrzec innych.

Skala problemu stale rośnie. Niemal 1200 wniosków o interwencję w sporze dotyczącym nieautoryzowanej transakcji bankowej trafiło w 2020 r. do Rzecznika Finansowego. To prawie dwa razy więcej niż w 2019 r.

Oczywiście można powiedzieć, że to wina technologii, że takich sytuacji by nie było, gdyby nie bankowość elektroniczna, karty płatnicze czy aplikacje mobilne. Jest to jednak podejście niewłaściwe, oddalające nas od źródła problemu. A ten leży – na co zwracają uwagę eksperci ds. cyberbezpieczeństwa – w nas samych. To człowiek jest i będzie najsłabszym ogniwem.

Można temu przeciwdziałać

Dlatego podczas „bycia w sieci” podstawową zasadą jest i zawsze powinno być ograniczenie zaufania odnośnie do wszystkich czynności, które w niej wykonujemy. Dotyczy to zarówno publikowania zdjęć w sieciach społecznościowych, jak i realizacji płatności. Pamiętajmy też, że pracownik banku nie będzie nigdy prosić o podanie kodów autoryzacyjnych, haseł czy nakłaniać do instalowania jakiegokolwiek oprogramowania. Nigdy.

Nie będzie prosić też o podanie kodu CVC z kart płatniczych ani kodu BLIK. Te są wyłącznie dla płacącego i nie powinny być nikomu udostępniane. Tym bardziej przez telefon czy SMS. W sytuacjach stresowych, niepewnych lub nagłych daj sobie czas na zebranie myśli. Kluczowa w starciu z cyberprzestępcami jest rozwaga i zachowanie spokoju. Ze szczególną ostrożnością powinniśmy podchodzić do wszystkich linków, które otrzymujemy drogą e-mailową lub SMS-ową, i zwracać uwagę, gdzie i komu przekazujemy nasze dane osobowe lub płatnicze. Dobrą praktyką jest nieinstalowanie żadnego oprogramowania pod namową innych osób lub z nieznanego źródła. Pamiętajmy także, że zawsze możemy domagać się czasu na podjęcie decyzji, przeanalizowanie oferty lub jej skonsultowanie. Jeśli mamy wątpliwości, czy dzwoniący jest rzeczywiście pracownikiem banku, możemy po prostu udać się do oddziału i na miejscu próbować wszystkie wątpliwości wyjaśnić. Często jest to najlepsze rozwiązanie.

bj

Materiały prasowe
Szanowni Czytelnicy,
Powyższy artykuł ukazał się w ramach cyklu edukacyjnego „Rozumiem, Oszczędzam. Inwestuję”, przygotowanego we współpracy z Narodowym Bankiem Polskim. Mamy nadzieję, że informacje w nim zawarte okażą się pomocne – poszerzą Państwa wiedzę na temat oszczędzania oraz inwestycji i ryzyka, które się z nim wiąże.
Gorąco zachęcamy do wypełnienia poniżej krótkiej, anonimowej ankiety, która pozwoli nam udoskonalić nasze materiały edukacyjne w przyszłości.