Cyberoszuści nieustannie wymyślają nowe sposoby, by zdobyć loginy i hasła do bankowości elektronicznej, dane kart płatniczych albo nakłonić jak najwięcej osób do wykonania przelewów na należące do nich rachunki. Schemat działań dostosowany jest do aktualnych wydarzeń oraz sytuacji w kraju i na świecie. Choć zmienia się scenariusz i towarzysząca mu otoczka, to cel zawsze jest ten sam – wyłudzenie środków finansowych. Na co zwracać uwagę, jak rozpoznać niebezpieczeństwo?
W ludzkiej naturze leży chęć pomnażania zgromadzonych oszczędności, najlepiej jak najszybciej i bez większego wysiłku. Właśnie do tego pragnienia odwołują się przestępcy, oferując możliwości wysokich zysków, przy jednoczesnym niskim ryzyku straty. Wykorzystują przy tym różne techniki manipulacji, by skłonić ofiarę do podjęcia określonych działań; bywa, że potrafią wyłudzać od niej pieniądze nawet przez kilka miesięcy.
Fałszywe sklepy internetowe
Z tą metodą może się zetknąć każdy, kto robi zakupy w Internecie. Opiera się ona na tworzeniu witryn internetowych łudząco podobnych do oficjalnych stron znanych sklepów internetowych, ale nie brak też przykładów tworzenia zupełnie nowych stron.
Oferowany asortyment na ogół dostosowany jest do pory roku, wydarzeń będących pretekstem do zakupów. Na początku roku są to artykuły związane z karnawałem i walentynkami, z nadejściem wiosny pojawia się odzież letnia, sprzęt sportowo-turystyczny a w lecie artykuły szkolne. Jesienią jest to odzież zimowa, później artykuły świąteczne, następnie zimowy sprzęt sportowy. Magnesem przyciągającym kupujących jest zazwyczaj zaniżona w stosunku do ofert innych sklepów cena; chodzi o wykorzystanie chęci kupienia czegoś jak najtaniej.
Na podrobionych stronach oszuści wyłudzają bezpośrednio pieniądze (zapłata za nieistniejący towar) lub dane kart płatniczych, które później służą im do wyprowadzenia z rachunku jak największej ilości pieniędzy. Chcąc ustrzec się przed oszustwem trzeba zachować zdrowy rozsądek, zastanowić się, czemu ktoś oferuje dany towar w cenie znacznie odbiegającej od średniej rynkowej. Druga rzecz, to spokojne spojrzenie na adres strony internetowej i sprawdzenie, czy nie ma w niej literówki wskazującej, że nie jest to „oryginalna” witryna, ale podróbka stworzona przez oszustów. Inne rzeczy, które powinny wzbudzić czujność, to brak możliwości wyboru sposobu zapłaty (na pewno nie będzie opcji płatności za pobraniem), brak informacji o firmie prowadzącej witrynę (nazwa, adres, numer NIP) – jeśli nawet są, to warto je zweryfikować za pośrednictwem wyszukiwarki CEiDG lub KRS. Wskazane jest też poszukanie opinii internautów o odwiedzonym sklepie.
Jeśli mimo zachowania środków ostrożności dopiero po zakupie zorientujemy się, że zostaliśmy oszukani, to jak najszybciej trzeba zastrzec kartę płatniczą, której dane podaliśmy i zgłosić sprawę na policję. Warto też przekazać adres oszukańczej strony do CERT Polska.
Celebryci wzorem do naśladowania
Wielu z nas pewnie pamięta reklamy pojawiające się w Internecie przed kilku laty z wizerunkami ludzi, którzy ciężko pracowali na różnych stanowiskach, ale po zainwestowaniu w proponowany sposób opływają w bogactwa, pławią się w luksusie. Kontynuacją tego pomysłu są obecne aktualnie na wielu stronach internetowych i w mediach społecznościowych reklamy odwołujące się do doświadczeń celebrytów, znanych sportowców czy artystów. Mieli oni ponoć skorzystać z reklamowanej oferty i gwarantują, że jest ona uczciwa, przynosi faktycznie deklarowane zyski. Bywa, że w tego typu reklamach proponowane są inwestycje w duże, państwowe spółki, przywoływany jest autorytet różnych instytucji rządowych. Chodzi o to, aby wzbudzić u odbiorców zaufanie, uruchomić mechanizm skoro oni zainwestowali i są zadowoleni, polecają tę ofertę, to i ja skorzystam wykorzystujący chęć naśladowania znanych i popularnych osób.
Po kliknięciu w reklamę internauta jest przenoszony na stronę, gdzie powinien zostawić swoje dane, by doradca inwestycyjny/broker mógł się z nim skontaktować i przedstawić szczegółowe informacje. Taki kontakt faktycznie następuje, oszust – wykorzystując socjotechniki i brak wiedzy o inwestowaniu ofiary – przekonuje o wysokich zyskach możliwych do osiągnięcia, braku ryzyka, odwołuje się do doświadczeń innych inwestorów, często powołuje się przy tym na znane nazwiska, podaje adres strony internetowej, na której zamieszczone są rzekomo wyniki dotychczasowych inwestycji. Kiedy ofiara zdecyduje się już na przesłanie pieniędzy, pozostaje z nią w kontakcie, nakłania do kolejnych przelewów, na ogół na konto innego inwestora. Nierzadko, aby uwiarygodnić historię, ofiara dostaje drobne wypłaty (z pieniędzy innych inwestorów), co ma ją skłonić do wykonywania kolejnych przelewów.
Z biegiem czasu pojawia się coraz większa różnica między wpłatami a wypłatami, co skłania wiele osób do chęci wycofania się z inwestycji. Wówczas oszuści, pod pretekstem pomocy w wycofaniu pieniędzy, proszą o zainstalowanie na komputerze legalnych programów pozwalających na zdalne kontrolowanie pulpitu (np. AnyDesk, TeamViewer, które wykorzystują informatycy do usuwania usterek na odległość) i zalogowanie się do bankowości internetowej. Wszystkie operację ofiary są widoczne dla przestępców, którzy skrzętnie zapisują dane i po zakończeniu połączenia opróżniają konto z pieniędzy. Trafiają one na konto innego inwestora (w razie wyśledzenia transakcji, to on będzie podejrzanym), rachunek zagraniczny lub są inwestowane w kryptowaluty.
Inną formą zdobycia danych bankowych jest informacja o konieczności uwierzytelnienia się na specjalnej stronie internetowej, by możliwa była wypłata znacznej kwoty zarobionej na inwestycji. Witryna, na której pojawia się niekiedy logo instytucji zaufania publicznego (np. Komisji Nadzoru Finansowego) jest oczywiście pod kontrolą przestępców. Po wpisaniu na niej danych następuje przekierowanie do strony internetowej przypominającej witrynę banku wskazanego przez ofiarę. Podanie tutaj danych do logowanie skutkuje przejęciem ich przez oszustów.
Nadzwyczajne okoliczności – przystąp do działania
Bardzo często można się spotkać z wiadomościami e-mail, które wzywają nas do podjęcia szybkich, konkretnych działań, bez których stracimy dane lub pieniądze, przepadnie nam jakaś specjalna okazja czy nagroda. Wykorzystane w treści sformułowania opierają się na sile perswazji i są tak skonstruowane, by wywołać u odbiorcy przekonanie, że tylko wykonanie otrzymanych poleceń uratuje go od zgubnych skutków bezczynności. Tymczasem jest wręcz odwrotnie. Takie wiadomości należy zignorować, nie wykonywać żadnych czynności, nie klikać w podane linki i absolutnie nie otwierać załączników. Link prowadzi zapewne do zainfekowanej strony a załącznik uaktywni na komputerze wirusa, który może dać znać o sobie dopiero po wielu tygodniach, gdy już zapomnimy o wiadomości, z w której się znajdował.
Konieczność pilnej zapłaty
Kolejny scenariusz bazuje na wykorzystaniu dyscypliny służbowej lub uczciwości ofiary. W pierwszym przypadku oszuści podszywają się pod członka zarządu, dyrektora finansowego, właściciela firmy czy inną osobę decyzyjną i informują osobę zajmującą się finansami o konieczności wykonania przelewu na wskazane przez nich konto. Otrzymując takie polecenie służbowe, dotyczące kontrahenta lub rachunku, na który nie były dotąd wykonywane transfery, trzeba uzyskać pewność, że zlecający dyspozycję faktycznie ją wydał, że z całą pewnością przelew ma być wykonany na wskazany rachunek.
W drugiej opcji wysyłane są maile z przypomnieniem o niezapłaconej fakturze lub o wystawieniu jej do złożonego zamówienia. Ten scenariusz często wykorzystywany jest wobec osób prowadzących jednoosobową działalność gospodarczą, zwłaszcza jeśli w Centralnej Ewidencji i Informacji o Działalności Gospodarczej można wyczytać, iż dany podmiot ma bardzo rozległy zakres działalności. Przestępcy liczą, że przedsiębiorca w pośpiechu po prostu opłaci należność. Przy tej metodzie nie chodzi o wyłudzenie jednorazowo dużej kwoty, ale ściągnięcie niewielkich kwot od wielu ofiar.
W tej kategorii można też umieścić podszywanie się pod pracownika firmy i wysłanie „w jego imieniu” e-maila do działu personalnego z informacją o zmianie rachunku bankowego i prośbą o przelewanie odtąd wynagrodzenia na nowe konto. Na ewentualność takiej sytuacji w firmach powinny być wypracowane procedury weryfikacji tego typu zgłoszeń. Nie wystarczy zapytanie pracownika w odpowiedzi na otrzymaną wiadomość, wszak adres, z którego ją przesłano może być kontrolowany przez oszustów.
Spadek, ciężka choroba, miłość
Pomysłowość oszustów nie zna granic, nie mają przy tym żadnych skrupułów w dążeniu do osiągniecia swego celu. Podszywają się pod prawników, którzy kontaktują się w imieniu swego klienta, który pozostawił spadek albo przedstawiają się jako przedstawiciele fundacji zbierającej pieniądze na operację ciężko chorego dziecka. Nie brak też przykładów udawania weterana wojennego z USA, który najpierw rozbudza miłość, potem deklaruje chęć przyjazdu, a gdy zbliża się termin spotkania informuje o tym, że został okradziony / zapadł na ciężką chorobę i potrzebuje wsparcia.
Najlepszym zabezpieczeniem przed staniem się ofiarą jest zachowanie zdrowego rozsądku, poskromienie chęci szybkiego i łatwego wzbogacenia się. Zawsze trzeba pamiętać, że szybkie zyski związane są dużym ryzykiem, że nie ma cudownego sposobu, który zostanie zdradzony tylko wybranym, którzy skontaktują się jako pierwsi po obejrzeniu reklamy.
Trzeba też przestrzegać elementarnych zasad bezpieczeństwa – nie klikać w linki pochodzące z nieznanych źródeł, nie podawać obcym danych dostępowych do bankowości elektronicznej oraz otrzymanych kodów sms. Należy też zwracać uwagę na komunikaty pojawiające się w trakcie potwierdzania operacji, upewniać się, czy kwota i rachunek są zgodne z tymi, na które chcemy zrealizować przelew.
