Oszukani przez internet

Oszukani przez internet

Jeżeli ktoś ma dostęp do naszej poczty, to na podstawie wcześniejszej korespondencji może zrobić prawie wszystko

Jarosław Bartniczuk

Jakie metody najczęściej stosują oszuści działający przez internet? Wiemy, że próbują wyłudzać dane, śląc do nas mejle i SMS-y z wirusami czy trojanami.
– Od jakiegoś czasu raczej nie pojawiają się nowe metody, ale ludzie są już uczuleni na te istniejące, więc stają się one coraz bardziej wyrafinowane. Najczęściej mamy do czynienia z phishingiem, czyli z przesyłaniem mejli lub SMS-ów, w których oszuści, podszywając się pod różne firmy, nakłaniają użytkowników do otwarcia załącznika ze złośliwym oprogramowaniem. Takie oprogramowanie po uruchomieniu umożliwia cyberprzestępcom kradzież wrażliwych informacji. Oszuści wysyłają również mejle czy wiadomości SMS z linkami do fałszywych stron banków lub usług umożliwiających wykonanie szybkich płatności. W większości przypadków celem jest wyłudzenie danych kart kredytowych, loginów i haseł do bankowości elektronicznej.

Kto jest narażony na tego rodzaju ataki?
– Są dwa rodzaje tego typu wiadomości. Pierwszy rozsyłany jest przez automaty, podobnie jak reklamy, do przypadkowych osób – oszuści korzystają tu z baz danych adresów mejlowych czy numerów telefonów pochodzących z przeróżnych wycieków, np. przejętych stron czy portali. Takie mejle/SMS-y mogą udawać wiadomości z banku, poczty, od kuriera. Ostatnio częste są wiadomości od PZU, PGE, ENEA czy PGNiG, zwykle zawierające wezwanie do pilnego uregulowania niewielkiej zaległości. Jeżeli ktoś kliknie w podany w nich link lub otworzy załącznik, stwarza zagrożenie dla przetwarzanych przez niego informacji. O ile nie zadziała jeden z systemów bezpieczeństwa, czyli antywirus, firewall (zapora, która filtruje dane wychodzące i przychodzące do komputera – przyp. red.), ewentualnie filtr w przeglądarce. Często jednak taki system nie działa, ponieważ każda taka „kampania” jest przygotowywana indywidualnie przez oszustów.

Czyli antywirusy chronią nas jedynie przed częścią wirusów – tych już znanych.
– Tak. Programy antywirusowe są potrzebne, ale okazują się niewystarczające, ponieważ w większości opierają działanie na bazie sygnatur wirusów już wykrytych. Wystarczy więc, że oszuści zmienią trochę kod danego wirusa, i program antywirusowy może go nie wykryć, bo nie ma odpowiedniej sygnatury. Taka sygnatura pojawi się dopiero po ataku, jeżeli oprogramowanie antywirusowe prześle do producenta jego próbkę. Poza tym niektóre rozsyłane programy nie są wirusami, tylko zwykłymi programami, więc antywirus nie zareaguje na nie.

A drugi rodzaj?
– To atak na upatrzoną ofiarę, spersonalizowany, poprzedzony zwykle tzw. białym wywiadem, czyli zbieraniem danych o celu, na podstawie informacji dostępnych w internecie. Ataki tego rodzaju są trudniejsze do wykrycia i mają większą szansę powodzenia. Załóżmy, że jest to kancelaria prawnicza w Warszawie. Oszuści zaczynają działanie od mejli, w których przedstawiają się jako konkretna firma. Zakładają nawet fikcyjną stronę internetową, by wszystko wyglądało wiarygodnie, i udają, że szukają kancelarii do obsługi prawnej. Potem przez tydzień czy dwa prowadzą niby zwykłą korespondencję, ustalając warunki współpracy. W końcu wysyłają kancelarii ankietę do wypełnienia „na potrzeby działu księgowości”. Osoba z atakowanej firmy niczego nie podejrzewa i otwiera załącznik. Wtedy w komputerze ofiary instalowane jest złośliwe oprogramowanie.

Co ono robi?
– Wyprowadza dane, takie jak loginy i hasła, np. do poczty albo kont w banku. Jeżeli ktoś ma dostęp do naszej poczty, to na podstawie wcześniejszej korespondencji może zrobić prawie wszystko: podszywać się pod nas czy naszą firmę. W ten sposób oszuści pozyskują też dane do logowania do banku.

Ale do jakiejkolwiek operacji potrzebujemy np. kodów z banku, a te są przesyłane SMS-em lub generowane przez BLIK. Tymczasem oszuści nie mają naszych telefonów w ręku.
– Mogą jednak, mając nasz numer telefonu, który jest łatwy do zdobycia, zhakować telefon dzięki oprogramowaniu działającemu na systemy mobilne. Lub pójść do operatora z fałszywym dowodem osobistym lub innym dokumentem tożsamości i pod pozorem uszkodzenia karty SIM wyrobić jej kopię. Ponadto oszuści mogą wykorzystać fałszywy BTS, czyli podstawioną stację bazową, dzięki której cała korespondencja – a więc i SMS-y z hasłami potwierdzającymi operacje w banku – jest przez nich przechwytywana. Takie działanie jest jednak bardzo trudne, bo tu trzeba zastosowania kilku systemów.

To wymaga od oszustów zaawansowanych umiejętności czy sprzętu.
– Tak, dlatego ataki tego rodzaju spotyka się najrzadziej.

I dotyczą raczej firm, nie przeciętnych Kowalskich?
– Oszuści namierzają przede wszystkim ofiary z dużymi pieniędzmi. O wiele łatwiej, niż podstawić BTS, jest wprowadzić trojana do komputera i uzyskać dostęp do poczty, by znaleźć historię kontaktów, korespondencję z klientami itp. Taki upatrzony człowiek, np. prezes firmy, ma liczne relacje biznesowe. Podszywając się pod kontrahenta – a oszuści stosują również taką metodę jak tworzenie adresów mejlowych łudząco podobnych do adresów naszych klientów czy znajomych – piszą do upatrzonej firmy ofiary wiadomość, że za dwa dni przyślą fakturę za jakąś usługę, z której ta firma korzysta. Jednocześnie w mejlu zamieszczają informację: „Ponieważ zmieniliśmy ostatnio bank, kolejną fakturę proszę już opłacić na nowy numer konta”. Nic niepodejrzewająca księgowa wysyła na to konto pieniądze, często niemałe. Mieliśmy wiele takich spraw, w których pomagaliśmy klientom ustalić, gdzie przelano te środki.

Da się je odzyskać?
– To zależy. Często oszuści wysyłają te „faktury” w taki sposób, byśmy musieli dokonać płatności w piątek. Po pierwsze, wtedy ludzie są już zmęczeni i rozkojarzeni, chcą jak najszybciej iść do domu, więc są mniej czujni. Po drugie, znaczenie ma czas, bo aż do poniedziałku nie zorientują się, że coś jest nie tak. A trzeba wiedzieć, że te pieniądze zwykle trafiają na konta zagraniczne, w Turcji czy Rumunii, przez chwilę zatem są najpierw zatrzymywane na tzw. kontach międzybankowych czy międzytransferowych. Jeśli więc uda się w miarę szybko zauważyć, że padliśmy ofiarą oszustów, można te środki uratować. Takim klientom pomagamy, często skutecznie.

Czy klienci indywidualni też padają ofiarą takich oszustów?
– Na szczęście zabezpieczenia bankowe są tak skonstruowane, by nie opłacało się przeznaczać dużych sił i środków na okradzenie Kowalskiego. Dlatego jestem bardzo daleki od straszenia ludzi. Bądźmy realistami. Banki te systemy zabezpieczają dobrze. To, że musimy potwierdzać każdą transakcję kodem z SMS-a, wynika już nawet z dyrektywy unijnej. Szczególnie dobrze zabezpieczone są aplikacje mobilne, z których coraz częściej korzystamy do robienia przelewów. Co ważniejsze – nawet gdy dojdzie do kradzieży, bank bierze to na siebie. Jeśli ktoś wykorzysta błąd systemu, bank zwraca pieniądze. Nie robi tego tylko wtedy, gdy ktoś rażąco zaniedbał bezpieczeństwo, np. zgubił kartę z napisanym na niej kodem PIN. Z naszego doświadczenia wynika jednak, że jeśli ktoś zeskanuje nam kartę – np. gdy płacimy nią w sklepie – i użyje jej potem do płatności w sieci albo oszuka nas w inny sposób, banki pokrywają nasze straty. Choćby z powodów wizerunkowych. Nie chcą negatywnego PR-u w internecie.

Wiemy jednak, że zwykli śmiertelnicy także dostają SMS-y lub wiadomości na FB z podejrzanymi linkami. Ja dostałam taki: „Chyba widziałem cię przez moment w telewizji, zobacz tu” – i link do strony udającej stronę telewizji. Wiemy, że klikając w to, możemy ściągnąć trojana czy inny szkodliwy program. Ale co zrobić, jeśli kliknęliśmy?
– Trzeba przeskanować telefon. Im lepszy i nowszy, tym lepiej – i nie chodzi o gadżeciarstwo, lecz o wsparcie od producenta. Większość nowych telefonów ma zainstalowaną nakładkę na system – to zwykle zakładka o nazwie „bezpieczeństwo” – która umożliwia przeskanowanie telefonu w każdej chwili, ale też dość często skanuje go automatycznie, bez naszego udziału. Gdy pojawi się coś podejrzanego, również możemy to zrobić.

Warto wspomnieć o higienie używania telefonów komórkowych. Jeżeli przekazujemy stary telefon dziecku, które go potem często gubi lub wysyła z niego jakieś dane, bądź sprzedajemy go do lombardu i nie wyczyścimy go dokładnie, zostają w nim rozmaite dane i hasła do kont. Poza tym zdjęcia, którymi ktoś może nas później szantażować. Trzeba to wyczyścić i przywrócić w telefonie ustawienia fabryczne. To dobra wskazówka dla każdego użytkownika.

Wróćmy do SMS-ów czy wiadomości na Facebooku z linkami. Czy jest realne ryzyko, że indywidualny konsument straci na tym pieniądze?
– Niewielkie, bo dla przestępcy taki SMS to pierwszy krok. Oszust na tym etapie nie wie nawet, jaki mamy typ telefonu, jak zabezpieczony jest nasz sprzęt. Taką wiadomość najlepiej więc usunąć, przeskanować telefon i na wszelki wypadek zmienić hasła do banku czy poczty.

Jakie jeszcze metody stosują oszuści?
– Wykorzystują bluetoothwi-fi. Jeśli mamy je włączone, ktoś może się podszyć pod naszą sieć domową i przejąć dane płynące na nasz telefon. Nie można więc chodzić z włączonym bluetoothem czy wi-fi. Nie należy też nigdy oddzwaniać na nieznane numery – na te kosztowne połączenia ludzie tracą bardzo duże pieniądze. To o wiele poważniejsze zagrożenie niż mejle czy SMS-y z trojanami.

To zwykle zagraniczne numery.
– Tak, ale czasami trudno je odróżnić od tych polskich, więc bądźmy czujni i nie oddzwaniajmy nigdzie, jeśli nie mamy pewności, dokąd dzwonimy.

Ostatnio słyszałam o metodzie „na kuriera”. Ktoś podszył się pod sprzedającego na portalu sprzedażowym, po czym wysłał kupującemu link przekierowujący na stronę, gdzie ten miał dokonać opłaty za paczkę.
– To również typowy phishing, czy raczej jego drugi rodzaj, jak w przykładzie z oszukiwaną kancelarią. Tu też mamy do czynienia z wcześniejszą „prezentacją” fałszywej firmy, czyli podszyciem się pod kontrahenta lub, jak w tym przypadku, sprzedawcę, by uśpić czujność klienta. Podobnie działają oszuści, tworząc fikcyjne sklepy internetowe, np. z markową odzieżą po atrakcyjnych cenach. Adresy stron tych sklepów – podobnie jest z ich szatą graficzną – często przypominają te topowe, znane zakupowiczom. W sieci można znaleźć listę takich fałszywych sklepów, ale oszuści tworzą nowe. Wiele osób daje się oszukać w ten sposób – sam kiedyś prawie się nabrałem. Co mnie zaalarmowało – i co powinno zaalarmować wszystkich – to podejrzany adres internetowy sklepu i forma płatności za towar. Zwykle nie ma tam bowiem opcji płacenia za pobraniem, wyłącznie przelewem z góry, no i brakuje fizycznego adresu sklepu.

Czyli tego rodzaju oszustwa stanowią dla konsumentów większe zagrożenie niż zaawansowane technologie i wirusy?
– Tak. Najbardziej zagrażają nam ataki przeprowadzane w taki socjotechniczny sposób, by ofiara sama przelała oszustowi pieniądze. Korzystanie z zaawansowanych systemów łamiących bankowe zabezpieczenia to dla oszustów niesamowita orka – i udaje się jedna na sto prób. Te skoki opłacają się tylko wtedy, gdy chodzi o naprawdę duże pieniądze.

Słyszałam też o innej metodzie „na kuriera”: oszuści podszywają się pod firmę, która przyjeżdża po towar do magazynu sklepu internetowego. Taki „kurier” odjeżdża w siną dal z towarem o wartości tysięcy złotych. Jeśli ktoś coś sprzedaje, powinien się upewniać, komu wydaje paczkę. Ale wróćmy do Facebooka. Funkcjonują tam ostatnio zbiórki, np. urodzinowe – użytkownicy zbierają środki na wybrany cel charytatywny.
– Tak, popularne są poza tym crowdfunding (internetowa zrzutka na realizację ciekawego projektu, wydanie książki itd. – przyp. red.) czy zbiórki na projekty startupowe.

Aby dokonać wpłaty, musimy podać dane karty kredytowej. Jeżeli ją potem zostawimy zapisaną w ustawieniach konta na FB, to jeśli ktoś włamie się na moje konto na portalu, może wyprowadzić pieniądze, póki tej karty nie zablokuję.
– Tak, oczywiście. Ale nie ma czegoś takiego jak „włamanie się na Facebooka” – ktoś musi najpierw poznać hasło i zwyczajnie na to konto się zalogować.

Czyli zdobyć hasło poprzez trojany lub inne programy śledzące?
– Właśnie. Na FB nie da się tak łatwo włamać.

Co zrobić, jeśli chcemy wziąć udział w zbiórce? Wystarczy, że po dokonaniu wpłaty usuniemy dane karty z naszych ustawień konta na portalu społecznościowym?
– Poprosiłbym raczej zbierającego o numer konta i wpłacił pieniądze przelewem. Podawanie danych naszej karty na FB to znowu zostawianie śladów w sieci. Dodam jednak, że jeśli usuniemy dane karty, to rzeczywiście ślad po niej zostanie już tylko w zasobach FB. Facebook gromadzi zaś tak ogromne ilości danych, że nikt nie będzie tam szukał śladów zwykłych Kowalskich. Ale warto pamiętać, że sama zbiórka może być oszustwem – przecież na konto znajomego, który ją organizuje, także mógł się zalogować oszust.

Jakich jeszcze rad udzieliłby pan czytelnikom?
– Pozostańmy czujni, bo internet niesie nowe rodzaje zagrożeń. Ale też nie wpadajmy w panikę. W bezpiecznym korzystaniu z portali społecznościowych czy internetu bardziej niż program antywirusowy pomagają rozsądek i stare jak świat zasady, które można zastosować współcześnie. Jeśli np. jedziemy na wakacje i zaczniemy w ich trakcie umieszczać w sieci zdjęcia, a przy tym mieszkamy w pięknym domu, to obserwujący go domyślą się, że nikogo w nim nie ma. Zdjęciami z wakacji chwalmy się więc po powrocie.

Dwa – jeśli dużo informacji o mnie samym przedstawiam na Facebooku, LinkedIn czy innych portalach, a jestem prezesem firmy, obserwujący złodzieje zbierają te dane i tworzą mój portret psychologiczny. Wiedzą dużo o moich nawykach, upodobaniach czy hobby, mają zatem większy wachlarz możliwości podejścia mnie. Jeżeli wiedzą, że lubię nurkować i kupuję sprzęt nurkowy, a do tego dowiedzą się, że mój sprzęt się popsuł, łatwo mogą stworzyć model skutecznego ataku na mnie.

Czyli wysłać panu fikcyjną, atrakcyjną ofertę zakupu sprzętu i pan sam zrobi im za ten sprzęt przelew?
– Właśnie tak. Dlatego jeśli mamy potrzebę ujawniania wielu informacji w sieci, miejmy świadomość konsekwencji. Nie mylmy jednak tych podejrzanych ofert, które dostajemy na mejla, z reklamą kontekstową. Z tym też często się spotykamy – a konkretnie z paniką klientów, którzy szukali w sieci jakiegoś produktu, a potem wyszukiwarka internetowa wyświetliła im jego reklamy. To nie jest groźne – te reklamy wyświetlają nam automaty, działając na bazie plików cookies, które powstają, gdy szukamy czegoś w internecie. Dzięki temu legalnemu i niegroźnemu procesowi zwykłe i prawdziwe reklamy trafiają do osób, które mogą być konkretnym produktem zainteresowane.

Kto najczęściej pada ofiarą oszustów internetowych? Młodsi, zawodowo aktywni, czy starsi, nieświadomi zagrożeń?
– Raczej młodsi. Ci drudzy są bardziej podatni na tradycyjne metody, jak „na wnuczka” czy kupowanie zdrowotnych kołder za niebotyczną cenę.


Jarosław Bartniczuk – prezes zarządu spółki CyberBlock, absolwent WAT, specjalista ds. bezpieczeństwa teleinformatycznego i korporacyjnego w zakresie ochrony informacji. Wykładał na Wydziale Informatyki Uniwersytetu Śląskiego w Chorzowie (kierunek bezpieczeństwo informacji niejawnych) i z prof. Brunonem Hołystem na Uczelni Łazarskiego. Autor publikacji na temat bezpieczeństwa.


Fot. Krzysztof Żuczkowski

Wydanie: 12/2020, 2020

Kategorie: Wywiady

Napisz komentarz

Odpowiedz na treść artykułu lub innych komentarzy