Popularne metody oszustów w 2022 roku. Jak nie dać się złowić na phishing?

Spis treści:
Primary Item (H2)

Nie minęły jeszcze pierwsze 2 tygodnie nowego roku, a oszuści już zdążyli wdrożyć kilka kolejnych metod okradania klientów banków, właścicieli skrzynek mailowych, telefonów i aplikacji. Z jakich metod korzystają złodzieje? Czym jest najpopularniejsza ostatnio metoda stosowana przez oszustów, czyli phishing? Jak ochronić swoje dane i pieniądze? Odpowiedzi na te pytania znajdziesz w poniższym artykule.

Co to jest phishing?

Phishing to stosowana przez oszustów metoda oparta na podszywaniu się pod osoby, instytucje czy firmy. Najczęściej do tego rodzaju kradzieży wykorzystuje się SMS-y oraz maile, ale podejrzana wiadomość może do nas dotrzeć za pomocą dowolnego kanału umożliwiającego przesyłanie treści. Zdarza się również, że oszustwo odbywa się poprzez rozmowę telefoniczną.

Phishing
Phishing - jak oszuści docierają do potencjalnych ofiar?

Oszuści najchętniej podszywają się m.in. pod firmy kurierskie, banki, operatorów sieci komórkowych, urzędy, ale też choćby znajomych.

Jak działa oszustwo phishingowe? Osoba, która stała się celem ataku, otrzymuje maila bądź SMS-a, który pozornie przypomina oficjalne wiadomości przesyłane przez daną firmę czy instytucję. Zazwyczaj w wiadomości pojawia się link, który przekierowuje do strony logowania, łudząco podobnej do tej, którą dobrze znamy. Oszust najczęściej uzyskuje dostęp do naszych danych w momencie, gdy zdecydujemy się uzupełnić nasze dane logowania. Kliknięcie w link może też spowodować zainstalowanie na naszym urządzeniu złośliwego oprogramowania.

Warto pamiętać, że podobne ataki przybierają coraz to nowe formy i trudno omówić każdą z nich – dlatego też należy do każdej budzącej nasze wątpliwości wiadomości podchodzić z rozwagą: przede wszystkim nie klikać w linki i nie wypełniać pól formularza przed dokładnym przeanalizowaniem treści.

Zdarza się, że phishing odbywa się przez telefon. Możemy choćby otrzymać połączenie z nieznanego, najczęściej nietypowego na pierwszy rzut oka numeru. Po drugiej stronie usłyszymy „konsultanta”, który niekiedy zwróci się do nas po imieniu, próbując się uwiarygodnić. Będzie on zręcznie prowadził rozmowę, do momentu, gdy podamy mu np. dane logowania do bankowości elektronicznej.

Kto może stać się celem ataku? Właściwie każdy. Oczywiście najbardziej narażone na próby wyłudzenia danych są osoby, o których wiele można dowiedzieć się w sieci – np. właściciele prywatnych firm. Nierzadko zdarza się, że w firmach dysponujących informacjami o klientach czy użytkownikach, dochodzi do wycieku danych. Takie sytuacje mogą dotyczyć choćby sklepów internetowych, ale i stacjonarnych z programami lojalnościowymi i oczywiście wielu innych przedsiębiorstw i mediów.

Jakie informacje na nasz temat gromadzą bazy dłużników? Polecamy artykuł na ten temat - można go znaleźć tutaj.

Phishing – przykłady. Jakie metody stosują oszuści?

O liczbie prób oszustwa, które nie zakończyły się sukcesem przestępców, trudno mówić. Skala może być ogromna, ponieważ zdecydowana większość nieudanych ataków nie jest zgłaszana odpowiednim służbom – większość ludzi przywykła do tego, że oszuści próbują swoich sił w wyłudzaniu danych.

Zgodnie z oficjalnymi informacjami przekazanymi przez policję, od 2015 roku liczba oszustw phishingowych nieprzerwanie rośnie.

Metody stosowane przez oszustów nie przestają zaskakiwać. O tych atakach media informowały jedynie od początku roku.

  1. Jak donosi bankier.pl, na Facebooku pojawia się post sponsorowany bądź reklama, zgodnie z którymi za potwierdzenie tożsamości w banku Santander można otrzymać bonus o wartości 900 złotych. Link przekierowuje do strony santanders[.]xyz, która jednoznacznie kojarzy się ze stroną banku. Podając nasze dane ryzykujemy wyczyszczenie konta. Jeśli zobaczymy podobny post na Facebooku należy zgłosić go jako spam, by poinformować administratorów o problemie.
  2. Serwis bankier.pl przestrzega także przed oszustami podszywającymi się pod Pocztę Polską. Wysyłają oni SMS-y z żądaniem dopłaty do zamówienia 1,59 euro i załączają link do fałszywej strony umożliwiającej dokonanie płatności. Strona pozwala oszustom na zdobycie danych, ale i kradzież pieniędzy.
  3. O nieco innym rodzaju oszustwa informuje Radio Lublin. Pewien 32-latek, który próbował sprzedać w sieci laptopa, zgodził się na płatność poza portalem, na którym zamieścił ogłoszenie. Otrzymał od „kupującego” link do strony firmy kurierskiej i kod autoryzacyjny. Mężczyzna skorzystał z linku i uzupełnił dane, w wyniku czego stracił 12 tysięcy złotych. Złodziej zaciągnął też w jego imieniu pożyczkę na kolejne 12 tysięcy.
  4. Złodzieje wzięli ostatnio na celownik seniorów z Tarnobrzega. Jak informuje Tygodnik Nadwiślański, oszuści podszywają się pod pracowników banków bądź ZUS. Próbują nie tylko wyłudzić dane, ale też uzyskać informacje na temat oszczędności.
  5. Portal telepolis.pl informuje o kolejnym wariancie oszustwa. Złodzieje wysyłają wiadomości z linkiem, których treść sugeruje, że klikając w odnośnik zobaczymy film („Ten film został przesłany z Twojego urządzenia. Czy zdarza się to często?”). Trik polega na tym, że link umożliwia oszustom zainstalowanie na urządzeniu złośliwego oprogramowania (tzw. trojan Flubot), które potrafi m.in. przechwytywać hasła do bankowości elektronicznej.

To oczywiście wybrane doniesienia medialne, które wyselekcjonowaliśmy tak, by pokazać różnorodność metod stosowanych przez oszustów. Warto zwrócić uwagę na fakt, że są to informacje opublikowane wyłącznie w 2022 roku – w ciągu jego 13 dni. Skala problemu jest zatem przytłaczająca.

Jak uchronić się przed phishingiem?

Właściwie trudno mówić o metodzie, która zabezpieczy nas przed próbami ataków phishingowych. Być może skuteczna byłaby całkowita rezygnacja z udostępniania naszych danych – tak w mediach społecznościowych, jak i programach partnerskich. Co jednak z abonamentami czy usługami, które bezwzględnie wymagają udostępniania danych? Zawsze stworzą one ryzyko przejęcia informacji na nasz temat przez strony trzecie.

Dlatego chcąc uniknąć kosztownych konsekwencji ataków phishingowych, należy wiedzieć, jak postępować, gdy wiadomość od oszustów już do nas dotarła.

Idąc za poradami z rządowej strony poświęconej cyberbezpieczeństwu, ale też po prostu podchodząc do sprawy zdroworozsądkowo, nie powinniśmy klikać linków zamieszczonych w podejrzanych wiadomościach. Jeśli adres mailowy, treść wiadomości czy udostępnione w niej linki wydają się fałszywe, warto przenieść wiadomość do spamu bądź zgłosić jako podejrzaną.

Linki, które powinny obudzić naszą czujność, zazwyczaj mają adresy, które pozornie wyglądają na znane, oficjalne strony. Mają jednak dodane inne rozszerzenie bądź zawierają literówki. Niekiedy w sieci operuje się skróconymi adresami, czyli tiny-URL, ich pełne „brzmienie” poznamy najeżdżając (nie klikając!) na nie kursorem – wówczas w lewym dolnym rogu ekranu pojawi się całe przekierowanie.

Jak możemy rozpoznać wiadomości phishingowe?

  • Często w temacie bądź treści wiadomości możemy dostrzec żądanie wykonania działań – w określonym czasie: „natychmiast kliknij ten link”, „ureguluj płatność w ciągu 24 godzin”.
  • Niekiedy wiadomości straszą konsekwencjami, gdy nie podejmiemy określonych działań: „jeśli nie uregulujesz płatności, zostaną naliczone odsetki”.
  • Wiele maili i SMS-ów zawiera błędy, w tym wspomniane wyżej literówki. Zdarza się, że brakuje w nich polskich znaków.
  • Informacje o naszej ogromnej wygranej, sprzęcie elektronicznym czy samochodzie za darmo, bądź egzotycznej wycieczce – niestety – przeważnie również służą oszustwom.
  • Każdy przypadek, w którym ktokolwiek prosi nas o dane logowania do bankowości elektronicznej, należy uznać za próbę wyłudzenia danych – banki nigdy nie proszą o tego rodzaju informacje swoich klientów.
  • Jeśli w wiadomości, pozornie pochodzącej od znajomego, pojawia się nietypowa prośba, zwracające uwagę sformułowania czy inne niestandardowe elementy – warto przed odpowiedzią spróbować skontaktować się z nim poprzez połączenie lub osobiście, by wykluczyć próbę oszustwa.

Co robić, gdy padliśmy ofiarą oszustwa? Gdzie zgłosić podejrzenie phishingu?

Wszelkie podejrzenia phishingu można zgłaszać na stronie internetowej zespołu reagowania na incydenty komputerowe CERT Polska pod adresem https://incydent.cert.pl/. Tam można znaleźć krótki formularz, w ramach którego będziemy musieli udzielić kilku podstawowych informacji, m.in. jaki podmiot reprezentujemy (również osoby fizyczne), a także jakiego typu oszustwa dotyczy zgłoszenie. Poniżej zamieszczamy zrzut ekrany ze strony CERT.

Phishing CERT
Próby oszustw można zgłaszać na stronie internetowej CERT Polska.

W przypadku podejrzanych SMS-ów możemy przesłać je za pomocą formularza na stronie (np. w formie zrzutu ekranu) bądź wysłać je bezpośrednio do zespołu, korzystając z funkcji „Przekaż” – pod numer 799-448-084.

Każda osoba, która posiada uzasadnione podejrzenia, że padła ofiarą oszustwa, ma prawo zgłosić problem policji bądź do prokuratury.

Podsumowanie

Użytkownicy internetu czy telefonów komórkowych przywykli już do phishingu – miał z nim styczność chyba każdy. Zjawisko to bywa przez nas dewaluowane: nie traktujemy prób wyłudzenia danych jak przestępstwa - w naszej świadomości bliżej im może do wykroczenia.

W praktyce jest to jednak pospolita kradzież o wymyślnej nazwie. Złodziejskich praktyk oszustów nie da się nazwać inaczej. To, że pieniądze znikają z kont, a nie torebek czy kieszeni, ma tu drugorzędne znaczenie. Dlatego na phishing należy odpowiednio reagować, a wszelkie próby wyłudzenia danych zgłaszać odpowiednim organom – by chronić siebie i innych.

Laura Dobrowolska
Autor:
Laura Dobrowolska
data publikacji:
12/01/2022

podziel się ze znajomymi

guest
0 Odpowiedzi
Inline Feedbacks
Wyświetl wszystkie komentarze
Midas24 © Wszelkie prawa zastrzeżone.
2022