Prawo wita na blogu!

#003 Jak nie dać się oszukać przez telefon i ochronić swoje konto bankowe

wrz 30, 2022 | Prawne Rozmaitości

ODCINEK SPONSOROWANY – powstał z inicjatywy PKO Banku Polskiego, który chce w ten sposób zwiększać świadomość ludzi na temat cyberbezpieczeństwa i chronić osoby korzystające z bankowości elektronicznej przed oszustwami. Pozostawiono mi pełną swobodę twórczą w zakresie jego treści, więc mam nadzieję, że Ci się spodoba!

W skrócie: jak oszuści próbują wyłudzać dostęp do Twojego konta bankowego? Kiedy masz największe szanse stać się ofiarą telefonicznego przekrętu? Jak się przed tym chronić, a jakie zabezpieczenia nie zadziałają? I co ma albański wirus komputerowy do współczesnych kont bankowych.

Kampania edukacyjna na temat cyberbezpieczeństwa

Korzystasz z bankowości elektronicznej i nie lubisz tracić swoich pieniędzy? W takim razie ten odcinek powinien Cię zainteresować. Dziś opowiem Ci o tym, w jaki sposób oszuści próbują wyłudzać dostęp do Twojego konta bankowego, kiedy masz największe szanse stać się ofiarą telefonicznego przekrętu i jak się przed tym ochronić – a także o tym, jakie techniki ochrony najzwyczajniej w świecie nie zadziałają.
Wydaje Ci się, że temat Cię nie dotyczy, bo Ty przecież ogarniasz technologię, zachowujesz ostrożność i działasz racjonalnie, więc to wystarczy? A czy wiesz co z Twoją elektroniką może zrobić albański wirus komputerowy? W jakich godzinach możesz się spodziewać podejrzanych SMS-ów, jaki jest najskuteczniejszy sposób dostania się do strzeżonego budynku? Jeśli nie, to zapraszam do słuchania.

Bo między innymi o tym będzie odcinek numer 003 podcastu PrawoWita, w którym porozmawiamy sobie o oszustwach telefonicznych. Ja nazywam się Karina Kunc-Urbańczyk i uczę ludzi, jak tworzyć, działać i promować się w Internecie zgodnie z prawem. Dziś skupię się właśnie na DZIAŁANIU – a dokładniej na tym, co robić i czego nie robić, żeby nie złapać się na przestępcze działania innych!

Miałam ostatnio wymuszoną przerwę w nadawaniu, jak pewnie słyszysz, z moim głosem jeszcze nie do końca wszystko okej, ale jeżeli PKO Bank Polski chce być sponsorem Twojego odcinka podcastu, to po prostu siadasz i nagrywasz odcinek podcastu! Zwłaszcza jeśli idea jest naprawdę szczytna!
Tak jest, nagranie tego odcinka zawdzięczamy PKO Bankowi Polskiemu, który chce w ten sposób zwiększyć świadomość ludzi na temat cyberbezpieczeństwa i chronić osoby korzystające z bankowości elektronicznej przed oszustwami. Ja to pragnienie podzielam, uważam, że temat jest ważny i należy jak najwięcej o nim mówić, a że znam się na temacie cyberbezpieczeństwa i cyberprzestępczości to postanowiłam nagrać kilka słów na ten temat.
Miejmy więc nadzieję, że głos da radę. I że informacje, ciekawostki i przydatne wskazówki, jakie zyskasz dzięki temu odcinkowi, będą warte tego wysiłku z mojej strony.

Największe zagrożenie dla systemów komputerowych

Być może teraz pomyślisz sobie, dlaczego masz się jeszcze męczyć i „zwiększać swoją świadomość”, skoro przecież już używasz tych wszystkich kodów, autoryzacji, dwuskładnikowych uwierzytelnień, antywirusów i haseł na kilkanaście znaków (koniecznie z cyfrą i znakiem specjalnym!)..?
Czy to naprawdę nie wystarczy?

No właśnie niekoniecznie…

Bo widzisz, może Cię zaskoczę, ale do łamania haseł nie zawsze potrzeba superkomputerów z gigantycznymi mocami przerobowymi czy zaawansowanych wirusów komputerowych. Włamania na konta bankowe to nie tylko złośliwe oprogramowanie, zainfekowany smartfon, pegasusy czy inne programy szpiegujące.

Wiesz, jakie jest najsłabsze ogniwo systemu zabezpieczeń w całych tych skomplikowanych krzemowych strukturach komputerowych procesorów?
Tak zwany „czynnik białkowy”. Czyli po prostu człowiek, który z tych systemów korzysta.

Niejedne badania pokazywały już, że największe zagrożenie dla bezpieczeństwa firm stanowią ich pracownicy. I analogicznie – największym zagrożeniem dla bezpieczeństwa Twojego konta bankowego jesteś… Ty.
Bo nawet najlepszy system zabezpieczeń nie zda się na nic, jeśli nie będzie przez ludzi używany właściwie.

I oszuści wykorzystują właśnie ten słaby punkt zabezpieczeń – hackując nie system komputerowy, a człowieka, który do tego systemu ma dostęp.

Czym jest socjotechnika?

Jak takie „hackowanie człowieka” się odbywa? O tym właśnie dziś poopowiadam, starając się opisać Ci, jak przestępcy bezlitośnie wykorzystują różne mechanizmy psychologiczne. Zabiegi tego typu nazywamy socjotechniką (trudne słowo na dziś).

Postawmy sprawę jasno – te metody kompletnie pomijają zabezpieczenia techniczne! Nie oddziałują na sprzęt czy oprogramowanie – a na umysły ludzi. Mają na celu takie zmanipulowanie Twojej osoby, żeby sprawić, że zachowasz się dokładnie tak, jak chcą tego oszuści. Wykorzystują do tego różne słabości natury ludzkiej, nasze emocje, uczucia czy przyzwyczajenia.

Dlatego są takie groźne! Bo nie da się ich jakoś odgórnie zablokować, zneutralizować, uczynić mniej szkodliwymi, bez względu na poziom technicznego zaawansowania Twojego sprzętu lub oprogramowania! Tylko Ty możesz się im przeciwstawić – jakkolwiek górnolotnie to nie zabrzmi. A najskuteczniejszą bronią przeciwko nim jest właśnie wiedza! Zwłaszcza znajomość wykorzystywanych przez oszustów mechanizmów.
Dlatego właśnie, żeby Cię w tej walce wesprzeć, nagrywam ten odcinek podcastu. I właśnie dlatego pomaga mi w tym PKO Bank Polski – bo też dobrze wie, że zwiększanie poziomu zabezpieczeń kont, systemu bankowości elektronicznej czy aplikacji bankowych na nic się nie zda, póki klienci będą sami dawać do nich dostęp oszustom.

Kurierzy, duże paczki i kody dostępu

To może coś na rozgrzewkę – wiesz, jak dostać się do zamkniętego biurowca, którego drzwi otwiera zaawansowany czytnik na imienne karty dostępowe? Filmy sensacyjne nauczyły nas, że trzeba komuś taką kartę ukraść albo skopiować za pomocą bardzo specjalistycznego urządzenia.
Tymczasem doświadczenie osób zajmujących się takimi zabezpieczeniami pokazuje, że jest dużo prostszy, zdecydowanie mniej spektakularny sposób.
Bierzesz jakąś wielką paczkę, najlepiej wyglądającą na ciężką i niewygodną, dla lepszego efektu może to być piramidka paczek. Idealnie by było, gdyby jeszcze do tego spektakularnie się chwiały, jak na kreskówkach! … no dobra, teraz to już trochę popuszczam wodze fantazji, ale mniej więcej chyba wyobrażasz sobie teraz, jaki efekt chcemy osiągnąć. Ogólnie taki człowiek ma wyglądać tak, jakby z trudem je niósł i naprawdę nie miał możliwości na zrobienie czegokolwiek poza ich trzymaniem.
I ten człowiek z paczką zbliża się do drzwi zamykanych na ten specjalistyczny, wysoce zaawansowany system zabezpieczeń, otwierany na kartę albo indywidualnie nadawany kod.
Wiesz co w takiej sytuacji prawdopodobnie się stanie?
Ktoś przed nim te drzwi najprawodpodobniej po prostu otworzy. Z grzeczności. Bo kultura nakazuje, bo warto pomagać, bo człowiekowi i tak już jest przecież trudno, a skoro wnosi jakieś pudło do budynku, to pewnie tu pracuje, więc można mu jeszcze zaoszczędzić kłopotu z odkładaniem tego gdzieś na bok, szukaniem karty po kieszeniach i tak dalej…

Tak samo kurierzy są dla ludzi jakby przezroczyści. To znaczy są tak oczywistym elementem otoczenia, bywają w różnych miejscach, pojawiają się i znikają, że prawdopodobnie wpuszczenie do zamkniętej placówki osoby przebranej za kuriera i trzymającej pod pachą jakąś paczkę też nie będzie dla ludzi czymś dziwnym czy nietypowym. A że na szkoleniu z cyberbezpieczeństwa mówili, żeby nikogo nie wpuszczać? No wiadomo, przecież nikogo nie wpuszczam! A kuriera? No kuriera tak, ale to kurier, tylko na chwilę wejdzie, poda paczkę i wyjdzie.
Takie sytuacje, takie podejście i takie nasze przyzwyczajenia to jest właśnie samograj dla oszustów.

Nawet jeśli ludzie znają procedury, regulaminy i zasady, to jest bardzo duża szansa, że wygra z nimi ten wyuczony ludzki odruch i chęć poprawienia sobie humoru myślą o tym, że się komuś pomogło i trochę ulżyło w trudnej sytuacji.

Ale jeśli masz świadomość takiego sposobu omijania zabezpieczeń, to być może dwa razy pomyślisz, zanim wykonasz taki miły gest wobec kogoś z paczkami. Dlatego, według mnie, niezmiernie ważne jest nie tylko uczenie suchych reguł, ale i wyjaśnianie, dlaczego te reguły warto wdrożyć.

No okej, ale co taki człowiek przebrany za kuriera może zrobić? Dotrze pewnie najdalej do recepcji i tyle!
… jeśli w Twojej głowie zaświtała taka myśl, to może posłuchaj, jaki jest najskuteczniejszy sposób na zainfekowanie systemu komputerowego firmy!

Metoda „na porzucony pendrive”

Podrzucasz pendrive’a ze złośliwym oprogramowaniem. I nie musisz wcale – znów jak w szpiegowskich filmach – włamywać się gdzieś pod osłoną nocy i wtykać go do głównego serwera. Po prostu zostawiasz go gdzieś na podłodze korytarza, może w aneksie kuchennym. Ktoś na pewno go znajdzie i jest naprawdę bardzo duża szansa, że zaniesie go do swojego służbowego komputera, podpiętego pod wewnętrzną firmową sieć, zaloguje się, żeby móc z tego komputera skorzystać, po czym tego pendrive’a sam tam wetknie – żeby zobaczyć co na nim jest i ustalić właściciela (albo podejrzeć, czy koledzy nie wymieniali się przypadkiem jakimiś ciekawymi pikantnymi plikami). Ot, nasza ciekawska ludzka natura, która wygrywa z suchymi zasadami bezpiecznego korzystania z sieci.

Tak samo nawet najsilniejsze hasło nie pomoże, jeśli będzie przypięte na karteczce przy monitorze albo pod klawiaturą, prawda?
Albo jeśli w każdym możliwym miejscu będziesz ustawiać to samo hasło…

Skąd przestępcy biorą Twoje dane?

W mediach regularnie pojawiają się informacje o wycieku haseł z jakichś portali internetowych. Może taka sprawa dotyczyła też Twoich danych, ale myślisz sobie, że oj tam, oj tam, to była jakaś strona z memami, od kilku lat nie odwiedzana, nie było tam żadnych wrażliwych danych. Albo to tylko jakiś sklepik internetowy, więc jedyne informacje na Twój temat, jakie stamtąd wyciekną, to informacja o tym, że lubisz trampki i jaki masz rozmiar buta. No okej, może taki wyciek danych nie zniszczy Ci życia i kariery tak, jak robiły to nieraz wycieki z portali do umawiania pozamałżeńskich spotkań czy sklepów z gadżetami dość precyzyjnie wskazujących na Twoje preferencje. Ale to wcale nie znaczy, że nie będą dla Ciebie groźne.

Przestępcy doskonale zdają sobie sprawę z tego, że ludzie nie lubią zapamiętywać miliona różnych loginów i haseł – więc często tymi danymi, które wyciekły, próbują się logować w innych miejscach. Jeśli masz te same dane logowania w innym, nawet dużo lepiej chronionym serwisie, to znów – poziom zabezpieczeń nie będzie tu odgrywał roli, bo tak naprawdę to Ty osobiście dajesz komuś na tacy wszystkie ważne informacje.

Między innymi dlatego w bankowości elektronicznej wprowadza się dodatkowe zabezpieczenia – kody na telefon czy potwierdzenie logowania w aplikacji bankowej. Bo nawet jeśli ktoś pozna Twój login i hasło dzięki wyciekowi danych z innego miejsca, to póki nie zdobędzie też dostępu do Twojego telefonu czy innego generatora kodów, to nie uda mu się przejść dalej.

No i tu przechodzimy w końcu do socjotechnik wykorzystywanych przy oszustwach telefonicznych!

Albański wirus komputerowy wiecznie żywy

Kojarzysz albański wirus komputerowy? To jest taka ciekawostka, właściwie żart informatyczny, sprzed wielu, wielu lat. W mailu dostawało się informacje, że oto ZAATAKOWAŁ NAS ALBAŃSKI WIRUS KOMPUTEROWY! Niestety ze względu na lekkie zacofanie technologiczne tego kraju, wirus niezbyt dobrze sobie radzi ze swoją robotą, więc twórcy uprzejmie proszą o skasowanie sobie jakiegoś pliku systemowego i przesłanie tej informacji dalej.

I możemy się teraz z tego śmiać (mnie o akurat bawi), bo też miał to być rodzaj satyry. No bo któż by się złapał na takie coś, prawda?

Robi się niestety zdecydowanie mniej do śmiechu, kiedy uświadomisz sobie, że większość przypadków wyłudzania danych dostępowych do kont bankowych działa na identycznej zasadzie, tyle że bez tej uroczej dozy szczerości, jaką reprezentował ich „albański” odpowiednik. Też nie oddziałują bezpośrednio na sprzęt – a na użytkownika.

Tak jak już wspomniałam – większość oszustów telefonicznych wcale nie opiera się na zaawansowanym obchodzeniu zabezpieczeń Twojego komputera czy smartfona. Liczą na to, że to Ty odwalisz całą robotę i wszystkie ważne dane podasz im samodzielnie. Oni grają przede wszystkim SOCJOTECHNIKĄ.

Popularne scenariusze oszustw SMS-owych

Zacznijmy od popularnych oszustw smsowych.
Jakie scenariusze można w nich znaleźć?

  • Dramatyczna informacja o zbliżającym się terminie odłączenia prądu! Natychmiast ureguluj zaległości poprzez podany link!
  • O nie, nadana przesyłka kurierska przekracza opłacone wymiary, dopłać natychmiast, jeśli nie chcesz, żeby wróciła do nadawcy!
  • Udzielono Ci pożyczki, kliknij, żeby sprawdzić prawidłowość danych!
  • Masz szansę na komputer, zegarek lub inny gadżet! Pierwsze sto osób wygrywa!
  • Wypełnij ankietę i potwierdź swoje personalia, żeby odebrać!

Tych przykładów nie musiałam wymyślać – spisałam je po prostu wprost z zakładki „spam” w moim telefonie. Mój smartfon akurat okazuje się być bardzo mądry, bo blokuje je, nawet mnie o nich nie informując, więc nie miałam nawet szans na złapanie się na zastosowane tam sztuczki.
Ale z jakiegoś powodu takie smsowe kampanie trwają bez przerwy – czyli musi się to jednak opłacać. Tu robotę robi masowość takich akcji – SMSy wysyłane są z bramek internetowych w hurtowych ilościach. Jeśli chociaż niewielki procent ludzi się na nie złapie, kliknie w link, pobierze dzięki nim złośliwe oprogramowanie czy wpisze gdzieś swoje dane logowania – przestępcy i tak zyskają.
A im bardziej wiarygodne zdarzenie w takiej wiadomości wspomniane, tym większa jest jej skuteczność. Rzekome wiadomości od kurierów są pod tym względem bardzo świetne – większość z nas często kupuje rzeczy przez internet z dostawą do domu, wiele z nich odsyła w ramach ustawowego prawa zwrotu – jeśli wiadomości wysyła się masowo, to nie tak trudno trafić na kogoś, kto akurat czeka na paczkę i zmartwi się, że faktycznie coś z nią nie tak.
Tak samo jest bardzo duże prawdopodobieństwo, że używasz w swoim gospodarstwie domowym prądu i pewnie nigdy nie masz pewności, czy faktycznie któryś z przelewów nie opiewał na zbyt małą kwotę albo zapodziała Ci się gdzieś informacja o jakiejś niedopłacie.

Przekręty na Whatsappie

Nawet jeśli jednak masz świetny filtr antyspamowy w swoim smartfonie, to dalej nie zapewnia Ci to 100% bezpieczeństwa.
Oszustwa smsowe przenoszą się obecnie coraz częściej na komunikatory internetowe, a tam już z takim odsiewem spamu jest gorzej. Tu mocno narażone są osoby kupujące i sprzedające w Internecie.
Przestępca nawiązuje kontakt z Tobą albo to Ty piszesz do niego, bo w ogłoszeniu widzisz świetne rzeczy w BARDZO OKAZYJNEJ cenie! Dalej już w odpowiednio poprowadzonej rozmowie zaproponuje Ci opłacenie dostawy przez podany link, w który tym chętniej klikniesz, im bardziej Ci zależy na transakcji.
Czasem też oszuści wykorzystują wycieki danych z innych miejsc (bo ktoś miał takie same dane logowania wszędzie, gdzie się dało…) i przejmują profil w mediach społecznościowych albo włamują się na whatsappowe konto, pisząc w imieniu Twoich bliskich!

Dlatego także w kontaktach z rodziną i znajomymi warto zachować czujność i ostrożnie podchodzić do dziwnych nietypowych i nieoczekiwanych próśb, zwłaszcza tych zawierających linki.

Mechanizm działania oszustw SMS-owych

No ale dobrze, jak takie wiadomości w ogóle mają działać? Dlaczego ktoś miałby się przejmować tym, że ktoś obcy do niego napisał? Omówmy więc sobie krok po kroku, co się stanie, kiedy złapiemy się w tę sprytną intrygę i klikniemy w coś, w co nie powinniśmy.

Najczęściej zawarty w nich link kieruje Cię do podrobionej strony płatności internetowych. Dzięki temu będzie Ci się wydawać, że logujesz się do swojego banku, a tymczasem będziesz wpisywać swoje dane logowania na stronie w pełni kontrolowanej przez oszusta.

Przyszło Ci być może teraz do głowy, że przecież Twój bank ma daleko idące zabezpieczenia, na przykład pokazuje obrazki przypisane do konkretnego loginu, więc jeśli ich nie zobaczysz, to wyczujesz podstęp! Albo że do zalogowania na konto wymaga się dodatkowego potwierdzenia w aplikacji bankowej?
Żaden z tych elementów nie będzie nie do przejścia, jeśli tylko samodzielnie pomożesz oszustowi.
Widzisz, takie oszustwo to jest często robota na cały etat, a nie, że tak to ujmę, dochód pasywny, gdzie ktoś rozsyła sobie SMSy, a potem odpoczywa, czekając spokojnie na to, ilu ludzi „złowi”.
Często takie akcje są skoordynowane. Gdzieś tam jakiś człowiek czujnie czeka na informację o próbie logowania na swojej fałszywej stronie. Sprawdza, jaki bank wybierasz – i otwiera w oknie swojej przeglądarki właściwą stronę, Wpisujesz login – on to widzi i wpisuje go samodzielnie na prawdziwej stronie banku. Jeśli wybierasz obrazek identyfikacyjny z puli automatycznie dostępnych, przestępca może mieć je już przygotowane – wybiera ten, który pokazuje mu prawdziwa strona logowania i przekazuje go na swoją stronę logowania.
Ty widzisz właściwy obrazek, więc kontynuujesz.

Czasem mechanizm jest mniej skomplikowany, strona nie wgrywa żadnego obrazka, a Ty zwalisz winę na słabe łącze. Albo w ogóle tego nie zauważysz, bo przecież walczysz właśnie o to, żeby nie odcięto Ci prądu! Albo żeby ta ważna paczka dotarła na czas!
Oszuści wykorzystują tutaj silne emocje, które mają uśpić Twoją czujność, osłabić spostrzegawczość i zdolność racjonalnej oceny sytuacji.
Nie na darmo również takie SMSy przychodzą przede wszystkim w porach porannych lub w typowej porze powrotów z pracy, kiedy zapewne przeskakujesz z jednego środka komunikacji na drugi, stoisz nerwowo w korku lub starasz się skoordynować akcję zaprowadzenia dzieci do szkół, przedszkoli i żłobków bez spóźnienia się do pracy.
Stare mądre przysłowie mówi, że pośpiech jest złym doradcą. Ma rację – oszuści też to wiedzą.

Co teraz następuje?
Wpisujesz hasło – oszust je widzi, bo to w końcu jego strona i tak ją sobie zaprojektował. Bierze i więc i wpisuje Twoje hasło na prawdziwej stronie banku. Co teraz następuje? Otrzymujesz PRAWDZIWĄ informację o próbie zalogowania się na konto, z prośbą o potwierdzenie tego działania lub z odpowiednim kodem, który musisz tam wpisać.
Tyle tylko, że to nie Ty tak naprawdę się tam właśnie logujesz – a ktoś, kto Twoje dane w ten sprytny sposób przechwycił. Potwierdzasz logowanie lub wpisujesz przesłany właśnie przez bank kod – bo przecież hej, wydaje Ci się, że to właśnie robisz!

Ale to nie koniec. Teraz dopiero robi się ciekawie!

Bo w końcu logujesz się na konto po to, żeby dokonać jakieś wpłaty, prawda?

Niewielka wpłata – ogromne konsekwencje

Te żądane przez oszustów kwoty nigdy nie są jakieś przesadnie wysokie, ot, kilka groszy różnicy za tę rzekomą dopłatę do przesyłki, może parę złotych niedopłaty za prąd albo opłaty manipulacyjnej za tę wielką wygraną czy inną pożyczkę udzieloną na preferencyjnych warunkach. Nie chodzi o to, żeby Cię oskubać z oszczędności Twojego życia! Przynajmniej jeszcze nie na tym etapie…
Chodzi o taką kwotę, którą faktycznie lekką ręką uzupełnisz szybko i bez większego namysłu, nie zastanawiając się na tym, czy aby na pewno ktoś ma legalną możliwość od Ciebie żądać. No i przecież stojąc w tych korkach nie będziesz wertować ogólnych warunków usług kurierskich, żeby ustalić normy wielkości przesyłanych paczek, prawda?
Dodatkowo nic tak nie wzmaga irytacji jak świadomość, że tylko jakieś źle naliczone grosze dzielą Cię od doręczenia albo odcięcia od prądu. Albo nie powoduje euforii, że o to za maksymalnie kilka złotych ktoś odda Ci sprzęt warty setki złotych! Każda silna emocja jest dobra – bo znów, silne emocje, czy to negatywne, czy pozytywne, zmniejszają czujność, sprawiają, że przeklikujesz szybko wszystkie komunikaty wysyłane przez Twój telefon i dążysz do upatrzonego celu.

Wystarczy tylko jedna udana autoryzacja

Wiesz, po co przestępcom ta groszowa wpłata, skoro siedzą już właśnie na Twoim koncie bankowym i mają dostęp do wszystkich zawartych tam informacji?

Bo wszystkie transakcje i zmiany na internetowych kontach bankowych wymagają podawania przez właściciela konta dodatkowych kodów albo potwierdzenia w aplikacji. Dlatego sam włam na konto jeszcze niczego nie zmieni. Oszuści wiedzą, że mają teraz jedną-jedyną szansę na zmianę, bo ten jeden kod, niby potwierdzający przelew, bez problemu im już przekażesz.

A co można zrobić z jednym-jedynym kodem bankowym? Bardzo dużo.
Można na przykład ustawić zaufanego odbiorcę przelewu – dzięki czemu kolejne przelewy do takiej osoby nie będą wymagały już autoryzacji. Chyba nie muszę już tłumaczyć, jak łatwo wtedy jest przetransferować na spokojnie całą gotówkę z konta na konto?
Ktoś może też zmienić numer telefonu, na który powinny przychodzić Ci wiadomości z banku. Kolejne kody otrzyma wtedy już na swój numer telefonu.

Dlatego takie ważne jest, żeby ZAWSZE czytać dokładnie komunikaty przesyłane przez Twój bank. Sprawdzaj, z jakiego powodu system przesyła Ci kod lub komunikat z aplikacji bankowej – czy to faktycznie przelew kwoty, którą wpisujesz, czy może zmiana ważnych ustawień konta, pozbawiająca Cię nad nim kontroli. Nie dawaj się rutynie – ja wiem, że kolejnych takich samych smsów już nie czyta się w całości, scrollujesz tylko wzrokiem miejsce, gdzie zwykle znajduje się kod do przepisania albo potwierdzasz szybko operację, o której informuje Cię aplikacja bankowa.
Wydaje Ci się, że skoro teraz, w tym momencie działasz na swoim koncie, to wszystkie komunikaty są związane z dokładnie tym działaniem, które wykonujesz. I potem możesz się niestety niemiło zdziwić.

Bo znów – pośpiech, duże emocje, rozkojarzenie, ale i rutyna – zwiększają szanse na to, że coś takiego po prostu przeoczymy.

Linki zamieszczone w takich fałszywych wiadomościach smsowych mogą też działać jeszcze inaczej – mogą doprowadzić Cię do zainstalowania oprogramowania szpiegującego, które już dalej sczyta sobie w odpowiednim momencie wpisywane przez Ciebie dane bankowe. I ja wiem, mówiłam, że te ataki miały nie polegać na złośliwym oprogramowaniu – tyle tylko, że tu sytuacja jest inna – owszem, osobom działającym w ten sposób zdarza się używać programów szpiegujących, ale dopiero na dalszym etapie akcji. Nie muszą za to za pomocą złośliwego kodu obchodzić zabezpieczeń, żeby zainstalować na Twoim sprzęcie to, na co mają ochotę. Ty to robisz, własnymi rękami. Albański wirus komputerowy widząc, jak świetnie radzą sobie jego współcześni naśladowcy, na pewno byłby dumny!

Sposoby obrony przed oszustwami SMS-owymi

Jak można się przed takim atakiem obronić?
Najprościej można byłoby powiedzieć – nie trać nigdy czujności! Łatwo powiedzieć, w końcu nie bez powodu oszuści potrafią doskonale grać na naszych emocjach.
Najprościej jest nie klikać w żadne linki otrzymywane w wiadomościach tekstowych. Jeśli ktoś znajomy wyskakuje nagle z prośbą finansową, nawet niepozorną – lepiej zadzwoń osobiście i upewnij się, że wie o tej wiadomości. Być może sam właśnie stał się ofiarą przestepców.
I nie działaj pochopnie! Dostajesz dziwną wiadomość o problemach z podstawowymi mediami? Większość urzędów i państwowych firm naprawdę nie działa tak błyskawicznie – zdążysz wrócić do domu, odetchnąć, dokładnie przeczytać smsa i dopiero podjąć działania, choćby i następnego dnia.
Nie załatwiaj płatności elektronicznych w biegu, w pośpiechu i na szybko – nawet jeżeli to drobne, pomijalne kwoty. Daj sobie czas – stawką są Twoje oszczędności.

Popularne przestępstwa telefoniczne

Tak jak wspominałam oszustwa przy pomocy wiadomości tekstowych często są wyłapywane przez systemy antyspamowe lub wymagają podjęcia trudniejszych działań ze strony oszusta. Dlatego zdecydowanie większą popularnością cieszą się przestępstwa telefoniczne, czyli te, w których sam oszust dzwoni do Ciebie i podejmuje z Tobą rozmowę.
Cieszą się one też niestety zdecydowanie większą skutecznością. Cóż, jesteśmy istotami społecznymi, drugiemu człowiekowi uwierzymy szybciej niż słowu pisanemu. Zwłaszcza, jeśli będzie przekonujący.

Metoda „na policjanta”

Pamiętasz metodę „na wnuczka”? W skrócie: Przestępca podaje się za członka rodziny, który ma wielki problem i natychmiast potrzebuje gotówki. Ogólnie o metodzie „na wnuczka” wiele już powiedziano, wydaje mi się, że każdy ten chwyt już kojarzy – i faktycznie, dzięki kampaniom informacyjnym na ten temat wzrosła wykrywalność tych przestępstw, starsi ludzie zamiast pakować oszczędności życia do reklamówki, dzwonili na policję, pomagając ująć oszustów.

Wiesz, jak zareagowali na to przestępcy? Zaczęli stosować metodę „na policjanta”. Najpierw dzwonił „wnuczek”, a zaraz potem rzekomy „policjant” rozpracowujący tę sprawę! Prosił o pomoc w ujęciu sprawcy poprzez przygotowanie paczki z oszczędnościami, która oczywiście zostanie przez służby przejęta i zwrócona. I znów ludzie kojarzący doskonale metodę „na wnuczka” i na nią uodpornieni, dawali się bez problemu złapać w przekręt „na policjanta”.

Metoda „na policjanta” ma też inne odmiany – taki „policjant” może do Ciebie zadzwonić, żeby poinformować Cię, że właśnie trwa atak na Twoje konto bankowe! Tylko szybkie przelanie środków na „rachunek techniczny” ustrzeże Cię prze kradzieżą! Konto oczywiście należy do oszustów – albo nie ma w ogóle żadnego konta, jest tylko link do fałszywej bramki płatności albo programu szpiegującego…

Dlaczego wariant policyjny przynosi świetne efekty? Bo wykorzystuje z jednej strony nasze zaufanie do władzy, z drugiej wzbudza silny lęk, że oto właśnie ktoś prowadzi przeciwko nam przestępcze działania. Komu wtedy najłatwiej uwierzyć? Oczywiście, że zaangażowanemu funkcjonariuszowi, który niczym w serialu telewizyjnym osobiście dzwoni, żeby pomóc! Idealna strategia na dezorientację i osłabienie czujności.

Niekończący się repertuar metod

Zabawnie obserwuje się takie, nazwijmy to, „trendy” wśród oszustów – to trochę jak w modzie, pewne fasony nieprzerwanie co kilka-kilkanaście lat wracają do łask, jak spodnie-dzwony. Tu jest tak samo – często jakiś stary przekręt dawno temu został bardzo mocno nagłośniony, więc ludzie przestali się na niego łapać. A teraz znów święci triumfy, bo dorosło kolejne pokolenie, które nigdy wcześniej o nim nie słyszało. Oczywiście taką technikę się odpowiednio modyfikuje, dostosowuje do nowych warunków, nierzadko też wykorzystuje przy tym nowe technologie, które wcześniej były niedostępne.
Cały czas też wymyślane są nowe scenariusze przekrętów – tu niestety ludzka wyobraźnia nie ma granic, a kreatywność jest nieskończona. Dlatego nie dam rady przedstawić Ci wszystkich możliwych chwytów. Myślę jednak, że jeśli poznasz mechanizmy ich działania, to będziesz w stanie zachować wystarczającą czujność, by się przed nimi ustrzec.

Podszywanie się pod pracownika banku

Ale jest jeszcze jedno bardzo popularne i bardzo zdradzieckie oszustwo wykorzystywane do przejmowania danych dostępowych do konta bankowego, o którym koniecznie muszę tu wspomnieć! Podszywanie się pod pracownika banku!

W końcu banki zdecydowanie częściej niż policja naprawdę do nas dzwonią. Mogą próbować potwierdzić wykonanie jakiejś podejrzanej operacji, przedstawiać ofertę nowych usług, informować o upływających terminach, których nie powinniśmy przegapić.
Pomiędzy te prawdziwe połączenia łatwo więc oszustwom się niepostrzeżenie wślizgnąć.

Zwłaszcza, że do pracowników banku, przynajmniej jeśli chodzi o sprawy związane z kontem bankowym, mamy chyba nawet większe zaufanie, niż do organów ścigania 😉
Często wręcz oszuści używają takich argumentów – że przecież bank i tak ma wszystkie Twoje dane, łącznie z dostępem do loginu, hasła i kodów, więc nie musisz się bać, możesz na spokojnie te informacje podać w rozmowie z „autoryzowanym pracownikiem”.
A to nieprawda. W prawidłowo skonstruowanym systemie Twoje hasło będzie tak zaszyfrowane, że nie może go podejrzeć nawet administrator danych!

Zapamiętaj:
Pracownik banku nigdy nie poprosi Cię o podanie danych do logowania do bankowości elektronicznej ani o podanie kodów autoryzacyjnych. One nie służą do używania w rozmowach telefonicznych!
Nigdy też prawdziwy pracownik banku nie poprosi Cię o zainstalowanie dodatkowego oprogramowania albo aplikacji, nie będzie chciał uzyskać zdalnego dostępu do komputera, nie będzie wymagać podania pełnego numeru karty i kodu CVV/CVC ani nawet podania kodów BLIK.

No to rozłóżmy na czynniki pierwsze oszustwo telefoniczne oparte na podszywaniu się pod pracownika banku, żeby wiedzieć, na co nie dać się złapać!

Dzwoni telefon – sprawdzasz na wyświetlaczu, a tam informacja, że to bank! A nawet napis „infolinia” i dokładna nazwa Twojego banku!
Czy to gwarancja tego, że osoba dzwoniąca jest z tym bankiem powiązana?
Niestety nie.
Okazuje się, że bardzo łatwo można „oszukać” telefony w taki sposób, że wyświetlą zupełnie inny numer telefonu niż ten, który naprawdę się z Tobą łączy. Nie ma też problemu z wyświetlaniem dokładnie takiej nazwy, jaką ustawią sobie przestępcy!
I to nie wymaga żadnego hackowania Twojego telefonu, nie świadczy o zainstalowaniu na nim jakiegoś złośliwego oprogramowania i nie unikniesz takiej sytuacji, dbając o swoje internetowe zwyczaje, nie wchodząc na jakieś niepewne strony i nie instalując niezaufanych apek. Nie, to nie jest w żadnej mierze wina Twojego telefonu! To jest po prostu słabość całej sieci GSM czyli można powiedzieć „wada wrodzona” telefonii komórkowej!

Dlatego na tym etapie nie masz szans na oddzielenie prawdziwego telefonu od połączenia spowodowanego przestępczym zamiarem.
Więc odbierasz, pracownik banku się przedstawia, wszystko brzmi profesjonalnie, podaje identyfikatory, imię i nazwisko – takie dane mogą nawet należeć do prawdziwej osoby, jeśli ktoś tam zrobi dobry research.

Co będzie się działo w rozmowie?

Wszelkie Twoje obawy, wątpliwości i próby dodatkowego upewnienia się, z kim rozmawiasz, mogą być zbywane podkreślaniem, że musicie się spieszyć, że chodzi o Twoje dobro i nie ma czasu na głupoty, z każdą sekundą ryzyko jest większe, dochodzi właśnie do kolejnych nieautoryzowanych transakcji! Tu też bazuje się na strachu, uczuciu zagrożenia i pośpiechu – im mniej masz czasu do namysłu, tym łatwiej będzie Ci zrobić coś nieprzemyślanego, zapomnieć o wszystkich wcześniej poznanych zasadach bezpieczeństwa, czy czegoś nie doczytać.

Jeśli się podporządkujesz i zaczniesz postępować zgodnie z przekazywanymi Ci instrukcjami, to w pewnym momencie ktoś tam każe Ci podać swoje dane logowania i zatwierdzić jakąś BARDZO WAŻNĄ CZYNNOŚĆ kodem autoryzacyjnym. Mechanizm już znasz, bo opowiadałam o tym kilka minut temu. Tu działają bardzo podobne mechanizmy jak przy oszustwach smsowych, ale rozmowa jest ze swojej natury bardziej dynamiczna niż odczytywanie smsa. Z jednej strony starasz się odpowiadać na czyjeś pytania i wykonywać polecenia, z drugiej przychodzą smsy z kodami autoryzacyjnymi albo powiadomienia z aplikacji o dokonywanych działaniach. Wszystko dzieje się jednocześnie – łatwo więc możesz przeoczyć, że treść tych wiadomości różni się od tego, czego niby miały dotyczyć według rzekomego pracownika banku. A jeśli to przeoczysz, możesz przypadkiem dokonać przelewu na znaczną kwotę albo oddać komuś pełną kontrolę nad swoimi środkami.

Ja przy tym nie wykluczam, że naprawdę może zdarzyć się sytuacja, w której niezbędna będzie telefoniczna reakcja prawdziwych pracowników Twojego banku. Jak więc w takim razie odróżnić tych prawdziwych i wiarygodnych od oszusta?
Ciebie zawsze weryfikują przy połączeniu, prawda? Upewniają się, że znasz odpowiednie dane o sobie i tak dalej. Ty zrób to samo! Na początku takiej rozmowy zażądaj weryfikacji pracownika.

Tylko tu też oszuści pracują już nad odpowiednim sposobem reagowania na takie prośby. Mogą na przykład wysłać do Ciebie smsa z danymi weryfikacyjnymi rzekomego pracownika. I tu znów wracamy do słabości telefonii komórkowej i możliwości podrabiania dzwoniących do Ciebie numerów telefonów – tak samo łatwo można podszyć się pod prawdziwego nadawcę SMSa i nie wymaga to żadnego zaawansowanego „hakerstwa”.
Najgorsze jest to, że nie masz możliwości sprawdzenia, czy to legitny sms, czy oszukańczy! Taki fałszywy sms wyląduje nawet w tym samym wątku wiadomości, co prawdziwe powiadomienia z banku – widzisz więc, że SMSom nie możesz ufać…

Nie daj się również złapać na konieczność zainstalowania specjalnej aplikacji do takiej weryfikacji – często wtedy oszust wyśle Ci link do swojego złośliwego oprogramowania. Jeśli powiesz, że już masz aplikację, prawdopodobnie podeśle Ci link z nową ulepszoną wersją. Wszystko oczywiście w otoczce dbania o Twoje dane, Twoje potrzeby i Twoje bezpieczeństwo – bo nikt tak pięknie i żarliwie nie potrafi ostrzegać przed innymi oszustami jak sam oszust.

Dlaczego aplikacja bankowa jest lepsza niż potwierdzenie SMS-em

Jak w takim razie weryfikować w sposób wiarygodny?
Kluczem jest tu odpowiednia funkcja aplikacji bankowej – oczywiście jeśli ma się taką aplikację samodzielnie wcześniej zainstalowaną – co ważne: z wiarygodnego źródła, takiego jak Google Play lub App Store. I najlepiej jeszcze po upewnieniu się, że dokładnie tę aplikację rekomenduje Twój bank na swojej stronie internetowej (bo i w oficjalnych sklepach zdarzają się próby podstawiania fałszywych aplikacji udających te oficjalne…).
Prawdziwa aplikacja do bankowości elektronicznej okazuje się być świetnym sposobem do weryfikacji, czy dzwoni do Ciebie prawdziwy pracownik banku czy tylko ktoś się pod niego podszywa.

Dlaczego aplikacja bankowa jest wiarygodniejsza niż potwierdzanie SMSem – bo tak jak mówiłam, SMSy łatwo sfałszować. Powiadomień wysyłanych przez aplikację w ten sposób sfałszować się nie da – bo wymagałoby to złamania zabezpieczeń aplikacji, a zhakowanie systemu komputerowego, jeszcze systemu komputerowego BANKU, to już zdecydowanie inny kaliber działań niż ten, który reprezentują sobą oszuści telefoniczni.

Opowiem Ci, jak to działa w moim banku. Tu akurat PKO Bank Polski wprowadził do swojej aplikacji bankowości elektronicznej specjalną funkcję – warto o niej wiedzieć i jej używać. Jeżeli, tak jak ja, korzystasz z aplikacji IKO, to w trakcie połączenia z rzekomym pracownikiem banku możesz zażądać od niego weryfikacji przez aplikację bankową.
I jeżeli osoba, z którą rozmawiasz, naprawdę pracuje w banku, to dostaniesz POWIADOMIENIE Z APLIKACJI z jej danymi. Nie SMSa. Tylko tak zwaną wiadomość push – wygląda to dokładnie tak, jak powiadomienia z serwisów społecznościowych informujące Cię o nowym lajku.

Prosisz osobę dzwoniącą o podanie swoich danych i sprawdzasz, czy to, co mówi, zgadza się z otrzymaną informacją. Jeśli się nie zgadza lub „pracownik banku” nie chce tego zrobić z jakichś BARDZO WAŻNYCH powodów to nie ma sensu kontynuować tej rozmowy. Po prostu się rozłącz.
Tak samo rozłącz się, jeśli mimo żądania wykonania mobilnej autoryzacji, powiadomienie z aplikacji nie przychodzi. Najwyraźniej dzwoniący wcale nie ma dostępu do systemu komputerowego i nie może takiej weryfikacji formalnie zainicjować.
A co, jeśli nie masz zainstalowanej aplikacji bankowości elektronicznej, a rozmowa wzbudza Twoje wątpliwości? Też się rozłącz – a potem zadzwoń na prawdziwą bankową infolinię i zapytaj, czy faktycznie mają do Ciebie jakąś sprawę.

Więcej o mobilnej weryfikacji w aplikacji IKO przeczytasz na stronie PKO Banku Polskiego: https://www.pkobp.pl/lpk/nie-rozmawiaj-z-oszustem/

Podsumowując

Tak to wygląda z grubsza (bez wnikania w jakieś techniczne szczegóły), wiedza na temat oszustw telefonicznych, zwłaszcza tych, które za cel wzięły sobie Twoje konto bankowe.
Znając mechanizmy takich przestępczych działań możesz się przed nimi ustrzec. Bo jak już wiesz, większość z nich nie wykorzystuje jakichś zaawansowanych technik komputerowych – liczą, że wszystkie ważne informacje podasz im samodzielnie i dobrowolnie.
Podsumowując – nie daj się złapać na dramatyczne ostrzeżenia. Działania wymagające skorzystania z konta bankowego i wykorzystania kodów autoryzacyjnych wykonuj na spokojnie, uważnie, bez pośpiechu i z namysłem. Zapamiętaj, o co nigdy nie poprosi Cię pracownik banku.. Nie daj się rutynie – zawsze dokładnie czytaj wiadomości o autoryzacji – upewnij się, że naprawdę autoryzujesz to, co chcesz autoryzować.
Jeśli sprawa wydaje się naprawdę bardzo ważna, to lepiej rozłącz się i samodzielnie wybierz numer instytucji, z którą chcesz się skontaktować. Dzięki temu będziesz mieć pewność, że dzwonisz tam, gdzie naprawdę chcesz się dodzwonić.
A jeśli korzystasz z konta prowadzonego przez PKO Bank Polski, to śmiało korzystaj z aplikacji IKO i jej funkcji mobilnej weryfikacji tożsamości dzwoniącego do Ciebie pracownika. Twojemu
bankowi też zależy, żebyśmy wszyscy korzystali z zalet bankowości elektronicznej bez obaw. Nawet kiedy jesteśmy rozkojarzeni, zabiegani, zestresowani czy poirytowani 😉

Nie daj się oszustom, nie bądź najsłabszym ogniwem systemu zabezpieczeń.

A jeśli poczujesz potrzebę powtórzenia sobie informacji, o których tu dziś opowiadałam, to zawsze możesz przeczytać transkrypcję tego odcinka, dostępną pod adresem prawowita.pl/003
Tobie już dziękuję za uwagę, a PKO Bankowi Polskiemu za zasponsorowanie dzisiejszego odcinka i wspólną kampanię edukacyjną na temat cyberbezpieczeństwa. Jeśli Ci się podobało, to możesz nam podziękować swoim zaangażowaniem! Polub ten odcinek, jeśli Twoja aplikacja podcastowa na to pozwala, udostępnij wiadomość o nim w swoich mediach społecznościowych albo napisz kilka miłych słów w komentarzu pod transkrypcją.
Tyle ode mnie na dziś. Do usłyszenia!

Karina Kunc-Urbańczyk

Doktor nauk prawnych. Specjalistka w dziedzinie praw autorskich. Dydaktyk z zamiłowania. Pasjonatka nowych technologii i social mediów. Kobieta, która bez przynudzania nauczy Cię, jak tworzyć w sieci legalnie i bez narażania się na problemy prawne. Podobał Ci się tekst? Nie chcesz przegapić innych ciekawych porad? A może wciąż masz pytania albo wątpliwości? Zajrzyj na fanpage PrawoWita i pisz śmiało!

Ta wiedza jest dla Ciebie

Nie znaleziono żadnych wyników

Nie znaleziono szukanej strony. Proszę spróbować innej definicji wyszukiwania lub zlokalizować wpis przy użyciu nawigacji powyżej.

0 komentarzy