36–letnia kobieta samotnie wychowuje trzy córki. Założyła konto na portalu Vinted, aby sprzedać ubranka, z których wyrosła jedna z dziewczynek. Wystawiła komplecik: spodnie i kurteczkę za 35 zł. Natychmiast otrzymała wiadomość od osoby zainteresowanej kupnem.
– Prosiła o podanie mojego adresu mailowego. Tłumaczyła, że serwis Vinted wymaga weryfikacji, sprawdzenia, że ja to ja – mówi Barbara. Dlatego go przekazała i po chwili na skrzynce mailowej dostała dwie wiadomości. Pierwszą z potwierdzeniem sprzedaży. – W drugiej był link. Zgodnie z instrukcją miałam w niego wejść i uzupełnić dane do przelewu, aby pieniądze, które kupujący już zapłacił, zostały przekierowane na moje konto – tłumaczy.
Tak zrobiła. Była przekonana, że link prowadzi do serwisu Vinted. Na pierwszy rzut oka wszystko się zgadzało. Nie wiedziała jeszcze, że to nieprawdziwa strona, podłożona przez oszustów. Dlatego wpisała imię, nazwisko, numer karty kredytowej, numer konta, hasło do logowania na stronie banku, nawet panieńskie nazwisko matki, a także kod weryfikacyjny, który przyszedł SMS-em z banku. Kiedy telefon Barbary zadźwięczał i na ekranie pojawiła się informacja o przyznaniu kredytu, kobiecie zapaliła się czerwona lampka. Szybko zalogowała się na konto i zobaczyła, że faktycznie ma kredyt w wysokości 10,3 tys. zł. Złapała komórkę, aby zadzwonić na infolinię banku, a w tym samym czasie oszust zaczął przelewać pieniądze na swoje konto.
Łowienie na COVID–19 i wojnę w Ukrainie
Historia Barbary to typowy phishing, czyli oszustwo polegające na podszywaniu się pod instytucję lub osobę. Bardzo często taką, z którą mamy do czynienia na co dzień. Na przykład: biznes kurierski, dostawcę energii elektrycznej, portal społecznościowy lub instytucję finansową. Celem takiego ataku jest m.in. wyłudzenie danych. Na przykład jak w przypadku Barbary, tych służących do logowania się na internetowej stronie banku. Termin nawiązuje do angielskiego słowa fishing, czyli łowić. Oszust niczym wędkarz zastawia przynętę i czeka aż ofiara ją połknie.
Pracownica banku Anna obsługuje na czacie klientów. Codziennie pomaga od kilku do kilkunastu osobom oszukanym w analogiczny sposób. Jak twierdzi, może to spotkać każdego. – To jest przekrój ludzi od bardzo młodych 15–16 letnich, którzy dopiero zaczynają swoje bankowanie, do osób starszych – wyjaśnia.
Liczba ataków phishingowych od lat regularnie wzrasta. Według najnowszego raportu CERT Polska, który działa w strukturach NASK – Państwowego Instytutu Badawczego i zajmuje się badaniem zdarzeń w cyberprzestrzeni, phishing był najpopularniejszym typem incydentów w 2021 roku, stanowił ponad 76 proc. wszystkich zgłoszonych przypadków. W porównaniu do 2020 roku liczba zajść tego rodzaju zwiększyła się aż o 196 proc.
Zdaniem szefa zespołu bezpieczeństwa Niebezpiecznik.pl Piotra Koniecznego wynika to z tego, że coraz więcej spraw załatwiamy online i jesteśmy bardziej aktywni finansowo w sieci. Ekspert uważa, że trudno za przyczynę wzrostu ataków wskazać akurat pandemię COVID-19. – W pierwszych tygodniach pandemii obserwowaliśmy nie tyle zwiększoną liczbę ataków, co raczej ich dostosowanie do aktualnej sytuacji. SMS–y wysyłane przez przestępców, zamiast prosić o dopłatę za rzekomo zbyt ciężkie przesyłki, informowały o dopłacie ze względu na konieczność dezynfekcji paczek – mówi Konieczny.
– Można powiedzieć, że cyberprzestępcy prowadzą skuteczny real time attacking, tworząc ataki dostosowane do aktualnych wydarzeń – mówi dr Karolina Małgocka z Akademii Leona Koźmińskiego. I dodaje, że kiedy pojawił się COVID-19, ataki odnosiły się do samych zakażeń, potem do różnych ofert związanych z zabezpieczeniem się przed wirusem, chociażby sprzedaży maseczek, termometrów, po różnego rodzaju lekarstwa, aż po szczepienia. Również praca zdalna stała się pożywką dla cyberprzestępców. – Bardzo dobrze posiłkowali się faktem, że część dorosłych udostępniała komputery dzieciom i nie kontrolowała, co z nimi robią. Na sprzęcie pojawiała się informacja, że stracili licencję na Microsoft Office, ponieważ został wykorzystany niezgodnie z warunkami umowy. To oczywiście była nieprawda, ale ludzie klikali, ponieważ obawiali się, że stracą dostęp do pakietu, który był dla nich kluczowy w pracy – tłumaczy dr Małgocka.
Cyberprzestępcy wykorzystali nawet inwazję na Ukrainę, podszywając się pod strony ze zbiórkami. – Za każdym razem, kiedy jest coś, co angażuje większość społeczeństwa, to jest dobry temat do ataków – podsumowuje Małgocka.
To buduje wiarygodność
– To wszystko było takie autentyczne – mówi 30–letnia Małgorzata, nauczycielka z Warszawy, która została oszukana dokładnie w taki sam sposób, jak Barbara. Za pomocą Vinted próbowała sprzedać bluzkę. – Na podstawionej stronie pojawiła się święcąca na zielono ikonka czatu obsługi klienta. Zaczęłam pisać z podłożoną osobą, a czas mijał. Coś przestało mi pasować i zadzwoniłam na infolinię swojego banku. Usłyszałam, że została zerwana lokata długoterminowa i wypłacono kilkukrotnie pieniądze przez bankomat w Londynie. Łączynie 2100 euro – opowiada Małgorzata.
– To klasyka. Właśnie na tym polega pomysł na to oszustwo – komentuje Prezes Fundacji Bezpieczna Cyberprzestrzeń Mirosław Maj. – Wizerunki stron internetowych lub treści prawdziwych komunikatów wysyłanych do użytkowników przez autoryzowane podmioty handlowe lub publiczne, są wszystkim znane. Przestępcy wykorzystują utarte schematy w swoich atakach i strona lub wiadomość, którą podkładają, do złudzenia przypomina prawdziwą. Adres domeny również jest zbliżony. To może być mała literówka, na przykład połączenie litery „r” i „n”, czyli zestawienie, które udaje literę „m”. To wszystko buduje wiarygodność – tłumaczy.
Phishing to atak na człowieka
21-letnia studentka Julia chciała pomóc mamie w sprzedaży telefonu, napisała ogłoszenie na portalu OLX. Dostała wiadomość na WhatsAppie od osoby zainteresowanej kupnem. Ustaliła dokładną cenę i opcję przesyłki. Kupujący przesłał dziewczynie link, twierdząc, że z jego użyciem ma zaakceptować płatność w banku. Julia kliknęła, wpisała login, hasło i kod weryfikacyjny. Z konta zniknęły dwa tysiące. Na infolinii banku dowiedziała się, że zostały wypłacone we Wrocławiu. Wcześniej dziewczyna nie słyszała o oszustwach internetowych na portalach typu Vinted, OLX, Allegro. – Byłam pewna, że jestem bezpieczna – dodaje.
Zdaniem Mirosława Maja dla osób, które zajmują się cyberbezpieczeństwem od wielu lat, ataki phishingowe wydają się banalne i można być zdziwionym, jak to jest możliwe, że ktoś się na nie nabiera? – Ale przeciętny człowiek, który chce korzystać z Internetu, nie jest specjalnie zainteresowany cyberbezpieczeństwem. Nasze podstawowe założenie jest takie, że ci, którzy prowadzą działalność w sieci, stronę internetową, ją zabezpieczają. Co więcej dostawcy usług informują nas, że dokładają wszelkich starań, aby było bezpiecznie. To wszystko jest prawdą. Natomiast dopiero dobre poznanie mechanizmów daje szanse na zrozumienie tego, że w tym skomplikowanym ekosystemie nie wszystko zależy od dostawcy usługi – tłumaczy Maj.
– Phishing to atak na człowieka. A na ludziach, co zrozumiałe, ciężko jest zainstalować firewalla, antywirusa czy też wymusić regularne, automatyczne aktualizowanie stanu wiedzy o bieżących atakach. Nie bez powodu w naszej branży mówi się, że to człowiek jest najsłabszym ogniwem w łańcuchu bezpieczeństwa – dodaje Konieczny. I przyznaje, że kiedy klienci Niebezpiecznik.pl, czyli firmy, do których zespół Koniecznego włamuje się w celu wskazania, co należy uszczelnić w zabezpieczeniach, zezwolą na atakowanie pracowników, to od tego zaczynają. – I na tym kończymy. Zawsze udaje się komuś istotnemu skraść tożsamość, podszyć pod niego i z tej perspektywy zmanipulować innego pracownika. Od takiej ofiary albo wyłudzimy dane dostępowe, przy pomocy których pozyskamy krytyczne z punktu widzenia spółki dane, albo tak na ofiarę wpłyniemy, że sama te dane dla nas pozyska i nam je przekaże. Jednym zdaniem, sprawnie zrealizowany atak phishingowy sprawia, że nikt nie musi atakować czy obchodzić zabezpieczeń firmy, to uprawniony do wszystkiego pracownik sam ją okrada. Nieświadomie. Niestety, to samo dotyczy każdego z nas. Aktualne ataki w sektorze bankowości online, to nie ataki na zabezpieczenia banków, a takie manipulowanie ofiarą, aby okradła się sama, realizując całkowicie dozwolone i normalne z punktu widzenia banku transakcje – tłumaczy Piotr Konieczny.
Smishing i vishing
Bardzo często cyberprzestępcy do ataków phishingowych wykorzystują maile, ale można również wyróżnić phishing z użyciem wiadomości SMS, nazywany smishingiem i phishing z wykorzystaniem połączenie telefonicznego, czyli vishing.
Komenda Wojewódzkiej Policji w Białymstoku przy współpracy z Polskim Radiem Białystok rozpoczęła kampanię społeczną pt. „Nie popełnij tego błędu. Nie daj się oszukać!”. Podczas jednej z audycji przedstawiono historię mężczyzny, który dostał SMS-a, z informacją o niewielkiej zaległości za energię elektryczną, dokładnie 4, 27 zł. Zgodnie z treścią wiadomości, należało ją uregulować, w przeciwnym razie następnego dnia zakład energetyczny odetnie prąd. SMS zawierał link do strony przypominającej domenę PGE. Mężczyzna poprosił o pomoc 21-letniego syna. Zaczęli szukać faktur, ale jednej nie mogli znaleźć. 21-latek próbował dodzwonić się do dostawcy energii elektrycznej, nikt nie odebrał. W strachu i zdenerwowaniu za namową ojca kliknął w link. Wybrał swój bank, zadzwonił do niego automat prosząc o podanie kodu. Stracił 850 zł oszczędności, które miał na koncie.
Fakt, że cyberprzestępcy wykorzystują w komunikatach tak małe kwoty, również nie jest bez znaczenia. – To powoduje myślenie typu: Dobra, czegoś tu nie rozumiem, spieszę się i dla świętego spokoju wykonam tę operację, bo to jest tylko złotówka, tymczasem ta mała transakcja powoduje przejęcie danych klienta i w konsekwencji bardzo poważne straty – tłumaczy Mirosław Maj. Zauważa również, że wszelkie ataki phishingowe bardzo często odnoszą się do sytuacji kryzysowych. – Trzeba wykonać coś szybko i to ze względu na nasze bezpieczeństwo – dodaje.
Potwierdza to pracownica banku Anna, która coraz częściej spotyka się z osobami oszukanymi z wykorzystaniem rozmowy telefonicznej. – Oszust dzwoni i przedstawia się jako przedstawiciel banku. Podaje zmyślony numer pracownika. Mówi, że chce zabezpieczyć konto, bo ktoś próbował wziąć na daną osobę kredyt albo że doszło do ataku hakerskiego – opowiada. Wtedy przekazujemy swoje dane lub za namową oszusta instalujemy aplikację posiadającą oprogramowanie szpiegujące, która gromadzi i przekazuje nasze informacje.
Co więcej, oszuści korzystający z rozmowy telefonicznej, niejednokrotnie uwiarygadniają swoje działanie za pomocą tzw. spoofingu.
– Spoofing polega na fałszowaniu identyfikatora połączenia wywoływanego – mówi dr Maciej Kawecki Prezes Zarządu Instytutu Polska Przyszłości im. Stanisława Lema. I tłumaczy, że znając numer telefonu osoby, której chcemy zrobić krzywdę i numer telefonu osoby lub instytucji, pod którą chcemy się podszyć, chociażby banku, z wykorzystaniem bramki internetowej jesteśmy w stanie zadzwonić do danej osoby, jako przedstawiciel banku. – Jeżeli mamy wpisany w telefonie numer banku, to w takim momencie wyświetli się nam na ekranie informacja, że dzwoni bank – tłumaczy.
To jest codzienność
– Na komisariacie usłyszałam, że to jest codzienność i trzeba być ostrożnym. Funkcjonariusz stwierdził, że doszło do przestępstwa, ale sprawcy są nie do ujęcia – opowiada Julia. Z bardzo podobnym stwierdzeniem ze strony policjantów spotkała się Małgorzata i Barbara.
– To nie jest zła wola policji – stwierdza dr Małgocka. – Te sprawy nie są łatwe również dla nich, ponieważ wyśledzenie takiego ataku i znalezienie sprawców, to jest bardzo żmudna praca, wiążąca się również ze współpracą międzynarodową, bo niezwykle rzadko cyberprzestępcy siedzą obok nas, mogą być w dowolnej części świata – dodaje.
Kobiety złożyły również reklamacje w banku. Wszystkie zostały odrzucone. – Bank stwierdził, że nie popełnił żadnego błędu i nie poczuwa się do winy. Mam na własną rękę szukać sprawiedliwości – mówi Barbara, która następnie zwróciła się o pomoc u adwokata. Julia i Małgorzata zgodnie z poradami, które znalazły na forach dotyczących internetowych oszustw, złożyły wniosek z prośbą o pomoc do Rzecznika Finansowego. Czekają na odpowiedz.
W 2021 roku do Rzecznika Finansowego wpłynęło 1608 wniosków o podjęcie interwencji dotyczących nieautoryzowanych transakcji. – Jest to skala dotycząca wszelkich kradzieży z kont bankowych. Z mojej perspektywy mogę powiedzieć, że znacząca część tych spraw to phishing. Zaryzykowałabym stwierdzenie, że nawet 80–90 proc. podanych zgłoszeń – tłumaczy Paulina Krakowska z Biura Rzecznika Finansowego. W ramach postępowania interwencyjnego eksperci tworzą argumentację, której celem jest przekonanie instytucji finansowej do zmiany stanowiska. – Jeśli takie działanie nie przyniesie skutku, to można wytoczyć powództwo przed sądem cywilnym – mówi. I dodaje, że aktualnie orzecznictwo jest korzystne dla płatnika. – Przed sądem są duże szanse na wygraną, o ile to nie klient dokonał transakcji i bank nie wykaże rażącego niedbalstwa płatnika. Droga sądowa oznacza jednak konieczność wniesienia opłaty sądowej, skonstruowania pozwu, co dla niektórych nie jest łatwe i wiąże się z potrzebą skorzystania z pomocy prawnika – wyjaśnia. Podkreśla, że każda ze spraw jest rozpatrywana bardzo indywidualnie. – Sąd bierze pod uwagę różne aspekty w zależności od zarzutów i wniosków stron procesu np. może oceniać mechanizm oszustwa, a zatem także czynić porównanie detali strony właściwej banku ze stroną fałszywą, odnosić się do tego czy nikomu nie udostępnialiśmy haseł, czy sprzęt płatnika posiadał antywirusa, a także czy bank ostrzegał nas o podobnych oszustwach – mówi.
– Dwa tygodnie przepłakałam. Jestem wściekła, że dałam się tak podejść – komentuje Barbara.
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS