Cyberataki na użytkowników bankowości elektronicznej. Jakie metody najczęściej stosują oszuści?

Jak informuje serwis bankier.pl Policja regularnie informuje o kolejnych rozbitych szajkach cyberoszustów, ale działania służb przypominają walkę z mitologiczną Hydrą - w miejsce uciętej głowy natychmiast wyrastają dwie lub trzy kolejne. Z tego względu warto zapoznać się z najczęstszymi technikami stosowanymi przez złodziei i uodpornić się na kuszące propozycje.

"Jeśli będziemy znali stosowane przez nich socjotechniki, nie damy się nabrać i prawdopodobieństwo kradzieży środków z naszego konta bankowego spadnie do zera" - podkreśla bankier.pl.

Spreparowane e-maile

Wciąż jedną z najgroźniejszych technik cyberprzestępców jest phishing. Metoda ta polega na podstawieniu ofierze fałszywej strony logowania do banku lub innego serwisu. Zazwyczaj oszuści rozsyłają na losowo wybrane adresy e-mail lub numery telefonów wiadomości z prośbą o pilne zalogowanie się do konta bankowego lub podjęcie innej czynności, np. zainstalowanie podrobionej aplikacji mobilnej. Dostarczana korespondencja do złudzenia przypomina oryginał z banku.

Podrobione SMS-y

"Za każdym razem celem oszustów jest próba wydobycia wrażliwych informacji, takich jak login czy hasło do banku. Coraz częściej zdarzają się też próby zainfekowania urządzenia mobilnego wirusem, który sam wyciągnie takie dane" - czytamy na portalu.

Ataków SMS-owych jest coraz więcej. Przykładowa fałszywa wiadomość "z banku" może brzmieć następująco (zachowano pisownię oryginalną): "Ograliczylismy dostep do Twojego konta ze wzgledu na podejrzana aktywnosc, aby uweirzytelnic odzwiedz strone [link]".

Po wejściu na stronę użytkownik proszony jest o wpisanie danych do logowania do bankowości elektronicznej. Jeśli je poda, oszuści wyczyszczą mu konto z pieniędzy. Metoda ataków z wykorzystaniem SMS-ów nazywa się smishingiem (od ang. SMS phishing).

Telefon "z banku" weryfikujący dane

Bankier.pl zwraca także uwagę, że złodzieje chętnie wykorzystują też połączenia telefoniczne, podając się za pracowników sektora bankowego. W trakcie rozmowy przekonują o konieczności zainstalowania dodatkowego oprogramowania na komputerze (np. programu AnyDesk, który służy do zdalnej obsługi komputera). Jeśli uda im się namówić ofiarę, zdobywają narzędzia, które umożliwiają im przejęcie kontroli nad urządzeniem.

Dzwoniący czasami wprost proszą o podanie loginów i haseł, wrażliwych danych z kart lub kodów Blik. Podają się za pracowników banków, ale także za policję czy inne służby. Takich danych nie należy nikomu udostępniać. Metoda ataków z wykorzystaniem połączeń telefonicznych nazywa się vishingiem (od Voice phishing).

SMS: "Dopłata do paczki"

"Oszuści podszywają się nie tylko pod banki. Kolejnym często stosowanym atakiem są wszelkiego rodzaju techniki opierające się o tzw. dopłatę do paczki. Złodzieje, podszywając się pod firmę kurierską, informują w SMS-ie, że dostawa paczki została wstrzymana ze względu na brak pełnej opłaty za usługę. Z reguły chodzi o drobną kwotę, np. 2 zł. Jednak nie o kradzież dwuzłotówki im chodzi" - czytamy także. 

Ofierze podstawiany jest link kierujący do fałszywej bramki płatniczej z prośbą o uregulowanie zaległości. W rzeczywistości osoba, która wprowadzi w takiej bramce swoje wrażliwe dane, przekaże je oszustom. A to w linii prostej prowadzi do utraty pieniędzy na rachunku bankowym.

Fałszywe inwestycje i loterie

W dobie szalejącej inflacji klienci banków szukają sposobów na ochronę swoich oszczędności przed utratą wartości. W sukurs idą im oszuści, którzy tworzą fałszywe platformy inwestycyjne kuszące ponadprzeciętnymi zyskami. Zazwyczaj podszywają się pod znane marki bankowe i zachęcają do zainwestowania pieniędzy w innowacyjne narzędzia szybko pomnażające oszczędności.

Bankier.pl zwraca uwagę, że oszuści tworzą profesjonalnie wyglądające witryny, na których zbierają dane i próbują nakłonić swoje ofiary do wpłaty pieniędzy. Oczywiście przekazanie tam jakichkolwiek środków jest równoznaczne z ich utratą. Tak samo groźne jest wyłudzenie danych osobowych lub loginów i haseł. Na pozyskane dane oszuści mogą próbować zaciągać kredyty w bankach lub instytucjach pożyczkowych.

Konkursy w serwisach społecznościowych

Jeszcze inną metodą, z którą ostatnio mogli spotkać się klienci banków, są różnego rodzaju fałszywe konkursy zamieszczane w serwisach społecznościowych. Na przykład informujące o wygranej w loterii banku, specjalnej promocji, w ramach której można otrzymać bonus za aktywność (np. "Zaloguj się do banku, żeby otrzymać 1000 zł na konto") itp.

Ofiary dostają też SMS-y z linkami wysyłane rzekomo przez państwowe służby (np. w imieniu Ministerstwa Finansów), informujące o wygranej w loterii. Ofiarom podstawiane są fałszywe strony służące do wyciągania takich danych.

Wyłudzanie danych do platform streamingowych

"Cyberprzestępcy idą z duchem czasu. Do oszustw wykorzystują nie tylko wizerunki banków, instytucji finansowych czy firm kurierskich. W ostatnich tygodniach użytkownicy internetu mogli natknąć się na kampanie phishingowe, w których złodzieje podszywali się pod znane serwisy streamingowe, np. Disney Plus czy Netflix" - podał portal.

Ofiary są proszone o wprowadzenie danych w celu aktywacji usługi. Oprócz danych osobowych takie e-maile zawierają prośby o dane z kart, z których rzekomo mają zostać pobrane środki za aktywację abonamentu.

Kradzieże tożsamości

Wciąż groźną techniką pozostają wszelkiej maści próby wyłudzenia danych do serwisów społecznościowych. Oszuści podstawiają fałszywe strony logowania do samych serwisów lub do platform pozwalających logować się danymi np. z Facebooka.

Utrata takich danych, czyli przekazanie ich przestępcom, może być równie groźna jak utrata samych pieniędzy z rachunku bankowego. Kiedy oszust skradnie naszą tożsamość, może się pod nas podszyć, prosząc znajomych o drobne pożyczki, np. za pomocą Blika.

Fałszywe ogłoszenia o wynajmie

W okresie wakacji nasilają się ataki polegające na oferowaniu np. miejsc noclegowych. Oszuści preparują witryny podobne do tych, które oferują oferty najmu i tworzą fałszywe ogłoszenia. Ofiara, która zdecyduje się na wynajem, jest proszona o podanie danych i dokonanie wpłaty tytułem rezerwacji lokalu. Oczywiście wpłata zostaje zaksięgowana na rachunku cyberprzestępców (który zakładany jest na tzw. słupy, więc nie do namierzenia). Po wpłacie pieniędzy słuch o najmującym ginie. Tak samo jak pieniądze.

Ataki na użytkowników serwisów z ogłoszeniami

"Prawdziwą plagą są wszelkiej maści oszustwa, na które mogą natknąć się osoby sprzedające lub kupujące w sieci. Oszuści czyhają na użytkowników serwisów z ogłoszeniami, gdzie podszywają się  pod kupujących lub sprzedających i podstawiają linki do fałszywych bramek płatności" - czytamy dalej. 

Zazwyczaj przekierowują rozmowę z oficjalnych kanałów na zewnętrzne komunikatory, np. WhatsApp, gdzie podstawiają link służący do "odbioru płatności" lub "uregulowania należności" (w zależności od tego, czy atakują sprzedającego, czy kupującego). Oczywiście wprowadzenie tam jakichkolwiek danych może skutkować kradzieżą środków z konta bankowego.

• Oszustwo "na kwaterę". Jak nie dać się nabrać?
• Oszustwo na BLIKA – na czym polega i jak nie dać się nabrać?
• Zagrożenie terroryzmem i cyberterroryzmem w Polsce. Premier przedłużył obowiązywanie stopni alarmowych

Polskieradio24.pl/Bankier.pl/PAP/mk