Fałszywe SMS-y, e-maile i ankiety w Internecie.
Grupa Detektywistyczna ALERT ostrzega przed nowymi metodami wyłudzeń w Internecie. [1]
Wielokrotnie na łamach naszego bloga zwracaliśmy uwagę na różne, coraz to nowsze i często bardzo cyniczne metody cyberprzestępczości. Pisaliśmy o internetowym szantażu jakim jest Sextortion – przestępstwie należącym do kategorii wykorzystywania seksualnego, w którym środkiem przymusu jest groźba udostępnienia obrazów lub informacji o charakterze seksualnym nagranych podstępem przez sprawców (vis: https://grupa-alert.pl/sextortion-oraz-sexting-czyli-jak-blyskawicznie-stracic-twarz-reputacje-i-pieniadze.html). Zwracaliśmy uwagę na nowe formy przemocy w sieci pod postacią tzw. Deepfake ( https://grupa-alert.pl/deepfake-metoda-przerabiania-wideo-w-niecnych-celach.html ), który stał się zalążkiem kolejnej odmiany przemocy i szantażu internetowego jakim jest „Deep porn” (vis: https://grupa-alert.pl/jak-sztuczna-inteligencja-pomaga-przestepcom-.html). Cyberprzestępcy jednak „nie zasypują gruszek w popiele” i co chwilę pojawiają się nowsze, często bardzo wyrafinowane odmiany wyłudzeń i oszustw w Internecie, w niniejszy blogu zajmiemy się scam-em i phishing-iem.
Czym jest oszustwo pishing-u oraz scam-u?
Phishing - (ang. wyłudzanie informacji) to rodzaj ataku, do którego przeprowadzenia oszuści wykorzystują pocztę e-mail lub wiadomości SMS. Nazwa phishing kojarzy się z angielskim słowem „fishing", czyli odławianiem ryb, ponieważ w tym przypadku tzw. „modus operandi” przestępców czyli sposób ich działania porównywane jest właśnie do łapania na wędkę. Przestępcy jak wędkarze chcą „złowić" swoją ofiarę na przygotowaną wcześniej przynętę. Intencją ataku phishingowego jest skłonienie adresata do podania swoich danych logowania do kont bankowych lub mediów społecznościowych. Cyberprzestępcy w takich przypadkach często podszywają się pod różne urzędy, firmy kurierskie bądź operatorów internetowych. Oszuści preparują wysyłane ofiarom wiadomości w taki sposób, aby ich autentyczność była jak największa i nie wzbudzała podejrzeń u ofiary. Nierzadko na potrzeby phishingu tworzone są specjalne strony internetowe, np. banku, operatora telekomunikacyjnego lub innej instytucji, które wyglądają identycznie jak te prawdziwe.
Scam – (ang. oszustwo) to z kolei oszustwo internetowe, w którym cyberprzestępca nawiązuje z wytypowaną osobą pewną relację, starając się wzbudzić w niej zaufanie i poprzez wyszukane stosowanie socjotechnik nakłania swoją ofiarę do podania swoich danych, wysłania pieniędzy na określone konto lub innego zachowania obiecując w zamian pewne korzyści „gwarantując” szybki i duży zarobek.
Agencja Detektywistyczna ALERT radzi jak nie stać się ofiarą
Jeśli otrzymamy widomość, która wzbudza w nas przynajmniej zdziwienie lub zaskoczenie swoją treścią istotne jest, by po otrzymaniu tego rodzaju informacji nie wchodzić w podany w niej link ani nie ściągać ewentualnych załączników, które może ona zawierać. Jeśli to jednak zrobimy i zorientujemy się że jednak nie mamy do czynienia z instytucją za którą podawano się - niezwłocznie należy zgłosić sprawę na policję oraz skontaktować się ze swoim bankiem w celu zablokowania dostępu do konta. Jednym z przykładów pishingu jest fałszywy SMS od firmy kurierskiej, w którym przestępcy najczęściej piszą o konieczności dokonania dodatkowej dopłaty i wstrzymaniu przesyłki do momentu uregulowania płatności. Stosowane są również warianty z podanym linkiem do śledzenia paczki, którego kliknięcie może się skończyć instalacją szkodliwego oprogramowania. Powszechne są też kampanie phishingowe, w których oszuści podszywają się pod bank. W takim przypadku najczęściej niczego nieświadoma ofiara otrzymuje maila od „banku” z informacją, że ktoś zalogował się do konta z nieznanego urządzenia. W treści maila jest dostępny link o treści "sprawdź aktywność", a po jego kliknięciu pojawia się fałszywa strona logowania do banku. Po wpisaniu danych logowania trafiają one w ręce oszustów. Zamiast danych logowania, przestępcy mogą również chcieć wyłudzić numery kart płatniczych. Natomiast przykładem wyłudzenia typu scam, mogą być różnego rodzaju oferty pracy gwarantujące natychmiastowy i niemały zarobek. Bardzo często działają one na zasadzie piramidy finansowej. Nierzadko zdarzają się również oferty pracy przy wypełnianiu ankiet czy oglądaniu reklam. Wówczas fałszywy pracodawca wymaga uiszczenia pewnego rodzaju „opłaty wstępnej" za założenie konta niezbędnego do wykonywania określonych działań. Jednym z najbardziej znanych scamów jest oszustwo zwane "na nigeryjskiego księcia". Zasadza się one na tym, że ofiara jest wciągana w transfer dużej sumy pieniędzy z jednego z państw afrykańskich w zamian za jej podział. Zachęcona możliwością szybkiego zarobku osoba wspiera te działania również finansowo – oszuści np. wymagali pomocy przykładowo w opłaceniu prawnika i praktycznie natychmiast po otrzymaniu wpłaty od ofiary, zrywają z nią kontakt. Bardzo częstym też scamem, na który są narażeni użytkownicy portali społecznościowych, jest oszustwo na tzw. BLIK-a (jest to system płatności mobilnych, który umożliwia użytkownikom smartfonów płacenie bezgotówkowo w sklepach stacjonarnych i internetowych, wypłacanie i wpłacanie gotówki w bankomatach oraz realizowanie przelewów na numer telefonu i generowanie czeków z cyfrowym kodem). W pierwszej kolejności oszuści włamują się na konto danej osoby i rozsyłają w jej imieniu prośby o szybką pożyczkę. Następnie, niczego nieświadomi znajomi wysyłają im kody BLIK, a po ich zaakceptowaniu, tracą pieniądze. Okazuje się, że odzyskanie wyłudzonych środków może być niestety niezwykle trudne, dlatego Agencja Detektywistyczna ALERT apeluje, aby przed pożyczeniem pieniędzy danemu znajomemu warto skontaktować się z nim, choćby telefonicznie, i upewnić się, że to naprawdę on jest w potrzebie. Cyberprzestępcy używają coraz to bardziej wyrafinowanych metod. Do swoich ofiar docierają nie tylko za pomocą wiadomości SMS czy maili, ale również telefonicznie podszywając się pod pracowników banków. Biuro Detektywistyczne ALERT zarejestrowało taką rozmowę z oszustem podającym się za pracownika banku:
zatem warto być ostrożnym i zachować czujność – dzięki temu można uniknąć sporych problemów związanych między innymi z utratą pieniędzy czy dostępu do konta bankowego, a każde podejrzane zachowanie należy zgłaszać zespołowi CERT, który w roku 1996 został powołany w Polsce do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet, a od roku 1997 jest też członkiem FIRST (Forum of Incidents Response and Security Teams) i w ramach tej organizacji współpracuje z podobnymi zespołami na świecie.
[1] Przy pisaniu niniejszego bloga korzystałem z artykułu Tomasza Krompa jaki ukazał się 13.11.2023 r. na portalu Interia.pl pt. „Na co Polacy dają się nabierać w Internecie?”.
Wojciech Szczurek
Detektyw Koordynator Operacyjny Grupy ALERT