Oszustwa "na Orlen", "na PGNiG" i "na inwestycje". "Mechanizm jest prosty, straty - ogromne"

Zgodnie z raportem Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego CSIRT KNF, fałszywe inwestycje to najczęściej spotykany rodzaj ataku, wymierzony w osoby korzystające z ofert na rynku finansowym. Od 1 stycznia do 31 sierpnia 2022 roku Zespół zgłosił 11 411 fałszywych reklam. Aż 72 proc. z nich dotyczyło podszywania się pod spółkę PKN Orlen. Od początku 2023 roku trend się nieco zmienił - w fałszywych reklamach dominować zaczęły głównie PGNiG, Baltic Pipe czy Tesla. Tylko w kwietniu zgłoszono ponad 1400 fałszywych stron podszywających się pod te podmioty (łącznie 82 proc. zgłoszeń).

Każdy incydent związany z podejrzeniem oszustwa i stratą pieniędzy powinniśmy w pierwszej kolejności zgłosić w najbliższej jednostce policji. Specjalista CSIRT KNF podkreśla, że straty finansowe ofiar sięgają milionów złotych.

Problemem brak wiedzy i… chciwość

Wbrew pozorom oszuści - zwłaszcza ci internetowi - nie używają na co dzień wyspecjalizowanych technik czy najwyższej jakości sposobów manipulacji. Mechanizm jest bardzo prosty: wpływają na nas poprzez emocje, jednocześnie korzystając z naszej niewiedzy. Potwierdza to Bartosz Biderman, specjalista CSIRT KNF, którego zdaniem sposób działania oszustów (w większości przypadków) jest taki sam.

- Oszuści wykorzystują dwa elementy: naszą potrzebę i niewiedzę. Grupą docelową są zatem osoby, których wiedza np. z dziedziny ekonomii nie jest mocno rozwinięta, a które chcą szybko pomnożyć swój majątek, np. ustrzec go przed inflacją. Nierzadko są to także osoby, którymi kieruje chciwość, chęć osiągania niewyobrażalnie wysokich zysków. - 230 tys. w cztery tygodnie: to scam, a nie inwestycja - podkreśla Biderman.

Ofiarą może zostać zatem każdy, kto, chcąc pomnożyć posiadane środki albo w łatwy sposób się wzbogacić, ulegnie atrakcyjnym reklamom.

Banalny mechanizm, skutki opłakane

Jak wygląda takie oszustwo? Po wpisaniu w wyszukiwarkę internetową np. hasła "Baltic Pipe" otrzymujemy wynik w postaci stron, które oznaczone są jako "sponsorowane". Zazwyczaj nie budzi to naszego podejrzenia, gdyż wiele portali korzysta z możliwości "podbijania" zasięgów.

Strony te nie są jednak powiązane z prawdziwym projektem, a prezentowane inwestycje to zwykłe oszustwo. Obiecując szybką możliwość zarobku i wysokich zysków bez ryzyka utraty środków, oszuści zachęcają do przejścia do kolejnych formularzy. Wystarczy podanie maila czy telefonu, a "konsultant" momentalnie skontaktuje się z nami, by przedstawić nam "niezwykle atrakcyjną ofertę".

Następnie, już przez telefon, oszust manipuluje ofiarą dla swoich korzyści. Namawia do fałszywych inwestycji, przelewów za granicę, zakupu kryptowalut na założonych przez siebie portfelach, zaciągania kredytów lub zainstalowania aplikacji do zdalnego zarządzania pulpitem.

Najczęściej oszustwa dotyczą podszywania się pod markę PKN Orlen, PGNiG lub Baltic Pipe. Imitujący stronę inwestycyjną spółki portal zachęca chcących pomnożyć swoje środki do skorzystania z oferty.

Oszuści, próbując uwiarygodnić fałszywą stronę, posługują się dobrze nam znanym logotypem spółki, dodając logo Ministerstwa Energii - które… nie istnieje. Strona jest przejrzysta, łatwa w obsłudze i bardzo prosta. Wystarczy wypełnić krótki formularz.

Jak podkreśla specjalista CSIRT KNF, wchodząc na taką stronę, potencjalne ofiary często starają się w prosty sposób zweryfikować, czy jest ona prawdziwa. Bezprawnie wykorzystywane logotypy, zamieszczone na niej fałszywe opinie innych osób czy filmy reklamowe powodują, że dużo osób daje się nabrać oszustom.

• Próby kradzieży danych i szkodliwe oprogramowanie. NASK ostrzega przed cyberatakami

- Nie sprawdzają na stronie KNF, czy firma inwestycyjna, dany doradca lub makler faktycznie istnieją. Ofiary robią przelew "autoryzacyjny" [który potrzebny jest często do samej rejestracji na stronie - red.], a następnie otrzymują specjalny link, pod którym widnieją fałszywe wykresy o zyskach. Po dwóch-trzech dniach z tysiąca dolarów, które zostały zainwestowane, robi się 10 czy 20 tys. dolarów zysku - tłumaczy Biderman.

Taki zysk zwiększa zaufanie do platformy i zachęca użytkowników do dalszego inwestowania i wpłacania coraz większych sum. - Tutaj pojawia się chciwość. Oszuści wykorzystują to, proponując pomoc inwestycyjną poprzez instalację np. aplikacji TeamViewer (pozwala przejąć kontrolę nad drugim pulpitem), a następnie zaciągają kredyty - dodaje. Ofiara może nie tylko stracić oszczędności życia, ale także zostać z kredytem. - Taka forma oszustwa to rodzaj phishingu - wyjaśnia Biderman.

Oszustwa dotyczą także innych spółek Skarbu Państwa i najbardziej rozpoznawalnych marek.

- Oszuści działają na zasadzie reklamy - używają w niej nazw znanych przeciętnemu Polakowi spółek: PKN Orlen, PGNiG, PGE, Tesla, popularnych osób, kojarzonych z telewizji - zaznacza ekspert CSIRT KNF.

Rozpoznawalne spółki Skarbu Państwa czy osoby kojarzone z nimi, jak np. prezes PKN Orlen Daniel Obajtek, to zaledwie wierzchołek góry lodowej. Reklam są dziesiątki tysięcy, najczęściej pojawiają się w wyszukiwarce Google oraz na Facebooku.

• Ataki hakerskie Rosjan na polskie media. Janusz Cieszyński: poinformowaliśmy redakcje z wyprzedzeniem

Walka z wiatrakami

Jak zaznacza Biderman, oszustwa w postaci reklam nie są skomplikowane w swojej formie. Wręcz widać, że reklama jest dość "kiczowata". - Prosta grafika, pozwalająca dostrzec, że nie została profesjonalnie stworzona - wyjaśnia. Połączone ze sobą zdjęcia są często słabej jakości, czcionka jest krzykliwa, a reklama mało przejrzysta. Wręcz krzyczy hasłami.

Walka z fałszywymi inwestycjami przypomina jednak bardziej walkę z wiatrakami. Tylko w kwietniu 2023 roku CSIRT KNF zgłosiło ponad 1,4 tys. fałszywych domen oraz ponad 360 fałszywych reklam.

- Jako CSIRT KNF fałszywe reklamy raportujemy do kilku miejsc, między innymi bezpośrednio do właściciela platformy, czyli Google lub Facebook (Mety). Coraz częściej takie reklamy pojawiają się na znanych nam portalach informacyjnych - za pośrednictwem Google Ads lub innych systemów reklamowych - wyjaśnia Biderman. - Współpracujemy także z CERT Polska, który posiada listy kilkuset tysięcy zablokowanych domen i reklam - dodaje.

Codziennie do CERT Polska z CSIRT KNF trafia "paczka" kilkuset adresów, które wykorzystywane są przez oszustów.

Reklamy pojawiają się najczęściej za pośrednictwem Google Ads, w wyszukiwarce Google oraz na Facebooku i Instagramie. - Są targetowane [celowane - red.] w konkretną grupę odbiorców. Najczęściej są to osoby po 40. roku życia - wyjaśnia specjalista CSIRT KNF.

Często razem z reklamą pojawia się wideo. Materiał filmowy, sklejony z kilku klipów, opatrzony spokojnym głosem lektora. Prezentuje fragmenty przemówień czy np. polityków, rzekomo zapowiadających start nowego programu inwestycyjnego i zachęcających do rejestracji. Taki krótki film jest zdecydowanie bardziej wiarygodny i lepiej wykonany niż większość reklam.

• "Rosja chce szerzyć w Polsce chaos". Stanisław Żaryn o atakach hakerskich a media

***

CSIRT KNF za pośrednictwem mediów społecznościowych - Twittera - oraz swojej strony internetowej https://www.knf.gov.pl/dla_rynku/CSIRT_KNF ostrzega przed coraz to nowymi metodami oszustów internetowych. Oszuści podszywają się pod praktycznie każdą możliwą instytucję i stronę: od banków, przez kurierów, po portale obsługujące płatności internetowe i zakupy.

CSIRT KNF, twitter/as