Jak oszuści kradną pieniądze z kont, czyli vishing, phishing i smishing w akcji

Vishing, phishing, smishing. Nawet jeśli nie znasz tych słów, to mogą dotyczyć Ciebie. Mowa o oszustwach, w ramach których przestępcy próbują wyłudzić dane niezbędne np. do zlecenia przelewu. Jak się przed tym bronić?
około min czytania

Polacy kochają aplikacje i serwisy bankowe. Z danych Związku Banków Polskich za III kwartał 2019 r. wynika, że 18 mln Polaków jest aktywnych w bankowości internetowej (przynajmniej raz w miesiącu logują się do niej), przy czym ponad połowa (57,6 proc.) bankuje przez telefon. Samo IKO PKO Banku Polskiego na koniec 2019 r. miało już 4,2 mln aktywnych aplikacji, a w 2020 r. ich liczba może zwiększyć się do 5 mln.

Nasza aktywność w sieci nie uchodzi uwadze przestępców, którzy wietrzą w niej możliwość łatwego zarobku. Wykorzystują przy tym przyzwyczajenia, roztargnienie i niewiedzę użytkowników internetu i smartfonów.

Nieświadoma Nadia, Bojaźliwy Błażej i Rezolutny Ryszard

Według badania użytkowników systemów bankowości elektronicznej w Polsce, które w 2019 r. przeprowadzili naukowcy z Politechniki Wrocławskiej, można wyróżnić trzy archetypy klientów:

  • Bojaźliwy Błażej (10 proc. badanych reprezentuje postawę charakterystyczną dla tego archetypu),
  • Rezolutny Ryszard (45 proc. badanych),
  • Nieświadoma Nadia (45 proc.).

– Typ Bojaźliwy Błażej to wcale nie jest starszy człowiek – opowiada dr Wojciech Wodo. – Użytkownicy zakwalifikowani do tej grupy charakteryzują się paranoicznym lękiem przed utratą pieniędzy, atakiem i są na tym punkcie przewrażliwieni. Zapewne wynika to z faktu braku odpowiedniej wiedzy w tej dziedzinie. Bojaźliwy Błażej woli robić zakupy za gotówkę, aby minimalizować ryzyko, ale jednocześnie nie chce być odcięty od świata i chciałby kupować on-line. Dlatego trzeba mu zapewnić rozwiązania, które go uspokoją, dadzą poczucie bezpieczeństwa – wyjaśnia naukowiec.

Rezolutny Ryszard to osoba, która przoduje, jeśli chodzi o wiedzę i zrozumienie pewnych technologii. Czuje się swobodnie i bezpiecznie w internecie. Jest świadomy swoich działań w sieci i je kontroluje. Potrafi zrezygnować z podejmowania pewnych działań on-line, ale to wynika z jego wiedzy, a nie strachu.

Najbardziej narażona na ataki w sieci, czyli utratę kontroli nad swoim kontem, jest Nieświadoma Nadia. W tej grupie znalazły się osoby, które chcą korzystać z usług bankowości elektronicznej, robić zakupy przez internet, ale nie interesuje ich bezpieczeństwo. Nie mają żadnej wiedzy (bądź znikomą) na ten temat, i co ważniejsze, nie odczuwają potrzeby jej zdobycia.

To ludzie, którzy chcą otrzymać wszystko tu i teraz, bez wprowadzania skomplikowanych systemów dotyczących bezpieczeństwa. Chcą zrobić przelew, wejść na konto, zrobić zakupy i nie interesuje ich ani bezpieczeństwo, ani procedury. Liczą na to, że to zajmujący się ich produktami odpowiednio je zabezpieczą – zaznacza dr Wojciech Wodo.

Z zaskoczenia

Niezwracanie uwagi na podstawowe chociażby zasady bezpieczeństwa w sieci może mieć katastrofalne skutki dla naszych finansów. Cyberprzestępcy stosują bowiem metody, które pozwalają im dostać się na konta i ukraść pieniądze albo zdobyć dane osobowe, by zaciągać kredyty na nieświadome niczego osoby.

Jednym ze sposobów jest phishing, czyli próby wyłudzenia danych za pomocą fałszywej korespondencji. Rzadziej spotykanymi metodami są vishing (wyłudzanie danych w trakcie rozmowy telefonicznej) oraz smishing (wyłudzanie danych za pomocą SMS-ów). Na czym dokładnie polegają?

W przypadku phishingu przestępcy wysyłają np. maila z prośbą o aktualizację danych użytkownika, niezbędną dla właściwego działania systemu bankowego. W liście załączają link kierujący do strony łudząco podobnej do strony banku. Próba zalogowania się do serwisu jest równoznaczna z pozyskiwaniem przez przestępców loginów i haseł, które mogą wykorzystać do opróżnienia bankowego konta.

Bywa że oszuści dzwonią do klientów, podając się za pracowników banku i prosząc w trakcie rozmowy o podanie loginu oraz hasła do bankowości internetowej, a potem kodu SMS. Wykorzystują te informacje do zmiany numeru telefonu niezbędnego do autoryzacji transakcji. W efekcie kody SMS trafiają na telefon przestępcy i może on wyczyścić konto z pieniędzy. To właśnie vishing. Czujność osłabia w tym przypadku magia autorytetu pracownika poważnej instytucji finansowej, który dzwoni w sprawie kluczowej dla naszych pieniędzy. Pretekst do ich podania może być różny, np. awaria systemów, prowadzone przez policję śledztwo czy zagrożenie utratą pieniędzy lub danych poufnych.

Zdarza się również (mowa o smishingu), że przestępcy wysyłają wiadomości SMS zawierające prośbę o podanie informacji lub wykonanie przelewu, np. w związku z przebudową serwisu transakcyjnego.

Czujność i ostrożność to podstawa

Marcin_Ganclerz_w srodek.jpgMarcin Ganclerz, ekspert w Departamencie Cyberbezpieczeństwa PKO Banku Polskiego, zwraca także uwagę na rosnącą popularność prób wyłudzenia pieniędzy za pomocą social mediów i komunikatorów takich jak Messenger. Oszuści podszywaj się pod członka rodziny lub znajomego, używając jego konta np. na Facebooku (wcześniej zhakowanego) i proszą o wsparcie finansowe.

W przekazie, jaki kierujemy do użytkowników, nie skupiamy się na nazwach ataków, tylko pokazujemy im, na co zwracać uwagę, żeby zwiększyć swoje bezpieczeństwo. W tym przypadku kluczowa jest ochrona swojego konta, a co za tym idzie – loginu i hasła. Jeśli ktoś zdobędzie dostęp do naszej skrzynki mailowej, może przejąć wszystkie „miejsca”, gdzie logujemy się, korzystając z tego adresu mailowego. Dlatego najlepiej mieć silne hasło i nie używać tego samego w różnych miejscach. Nie wolno też podawać swoich danych do logowania postronnym osobom – zaznacza Marcin Ganclerz.

– A jeśli dostaniemy prośbę o wsparcie finansowe, np. poprzez podanie kodu BLIK osobie, która jest na zakupach i akurat zabrakło jej pieniędzy, wystarczy zadzwonić do członka rodziny czy znajomego z pytaniem, czy na pewno potrzebuje pożyczki. W ten prosty sposób możemy się upewnić, czy mamy do czynienia z oszustwem czy nie. Trzeba pamiętać o tym, że w sieci obowiązuje zasada ograniczonego zaufania – podkreśla ekspert z Departamentu Cyberbezpieczeństwa.

Maciej Pobocha

10 zasad cyberbezpieczeństwa

  • Nie otwieraj załączników z niepewnych źródeł i nie klikaj w podejrzane linki.
  • Sprawdzaj adresy stron www, na których się logujesz, a także ich certyfikaty.
  • Regularnie aktualizuj urządzenia i oprogramowanie na komputerze i telefonie (system, aplikacje, przeglądarkę, antywirusy).
  • Twórz skomplikowane hasła trudne do odgadnięcia przez postronne osoby.
  • Nie używaj tego samego hasła do różnych kont oraz nie zapisuj haseł na kartkach ani w plikach na komputerze.
  • Nie podawaj / nie wysyłaj swoich loginów i haseł innym osobom.
  • Nie loguj się przez publiczne, niezabezpieczone wi-fi do serwisu internetowego iPKO i aplikacji mobilnej IKO.
  • Nie loguj się do bankowości elektronicznej na urządzeniach publicznie dostępnych np. w kafejkach, hotelach.
  • Czytaj treść SMS przed potwierdzeniem transakcji.
  • Nie podłączaj zewnętrznych nośników danych do swojego urządzenia, jeśli nie masz pewności co do ich bezpieczeństwa.