Przyjrzeliśmy się najpopularniejszym metodom działania oszustów i analizujemy je ku przestrodze. Podpowiadamy też, jak postępować z podejrzanymi e-mailami, listami czy wizytami, żeby nie dać się wyprowadzić w pole.

W ostatnich miesiącach wystąpił prawdziwy wysyp nowych prób wyłudzeń pieniędzy. Na celowniku złodziei znajdują się nie tylko klienci banków. Oszuści podszywają się pod pracowników firm telekomunikacyjnych, kurierów, komorników, wnuczków czy nawet policję. Wiele stosowanych przez nich technik wykorzystuje głównie naiwność ofiar.

Ostrzegamy przed różnymi metodami oszustw - internetowych i nie tylko - i podpowiadamy, jak chronić swoje �辱��Ծ�ą����� i nie dać się wyprowadzić w pole.

1. Uwaga na zdradliwe e-maile

Linki do podrobionych stron

���Dz�����

Jedną z najpopularniejszych i najczęściej spotykanych metod okradania klientów w internecie jest phishing. Wyraz ten jest kombinacją dwóch angielskich słów: password (hasło) i fishing (łowienie). Potocznie zwrot ten tłumaczony jest jako „łowienie haseł”. Metoda ta najczęściej stosowana jest wobec klientów korzystających z bankowości internetowej. Oszuści podszywają się pod bank i wysyłają na setki losowo wybranych adresów mailowych sfałszowaną wiadomość z prośbą o pilne zalogowanie się do bankowości internetowej konkretnego banku. W wiadomości znajduje się link kierujący do podrobionej strony internetowej. Oszuści liczą na to, że swojej bazie adresowej mają przynajmniej kilkudziesięciu klientów korzystających z usług tej instytucji. Po zalogowaniu się do fałszywego konta klient proszony jest o podanie kodów jednorazowych ze zdrapki. Jeśli je wpisze, przekaże złodziejom wszelkie niezbędne do wykonania przelewu informacje.

Alert ���Dz�����: Nigdy nie otwieraj linków znajdujących się tego typu wiadomościach e-mail. Banki nigdy nie podsyłają klientom linków kierujących do systemu transakcyjnego.

Wirusy w załącznikach i zalecanym oprogramowaniu

Tak wygląda najbardziej klasyczny typ ataku phishingowego, ale w ostatnim czasie doczekał się on wielu modyfikacji. Głównie ze względu na to, że coraz więcej banków wysyła kody jednorazowe za pośrednictwem SMS-ów. Oszuści wysyłają więc maile, do których podpinają fałszywe załączniki. Znajdują się w nich rzekomo wyciągi z historią konta lub wezwania do zapłaty. Zazwyczaj załączone pliki mają rozszerzenia podobne do stosowanych powszechnie, ale z drobną modyfikacją. Na przykład zamiast pliku *.pdf jest tam plik *.pif. Po otwarciu takiego pliku na komputerze ofiary instaluje się wirus.

Gdy użytkownik wejdzie po jakimś czasie na stronę swojego banku i wpisze dane do logowania, szkodnik je przechwyci i wyśle złodziejom. Dodatkowo wyświetli na ekranie bankowości internetowej komunikat z prośbą o zainstalowanie specjalnego programu antywirusowego na telefonie komórkowym – rzekomo zalecanym przez bank. W rzeczywistości jest to kolejny wirus, tym razem infekujący smartfona. Po jego zainstalowaniu kody SMS przychodzące na telefon klienta są automatycznie przekierowywane na numer złodziei. Użytkownik nawet nie wie, że dostał SMS autoryzacyjny, bo wirus blokuje wyświetlanie powiadomień. Dzięki temu oszuści mogą realizować przelewy bez wiedzy klienta.

Alert ���Dz�����: Banki nie zalecają instalowania tego typu programów, zwłaszcza jeśli link do programu „antywirusowego” dostaniemy na przykład w SMS-ie z nieznanego numeru.

Są jednak wirusy, które działają w zupełnie inny sposób. Po zainstalowaniu na komputerze klienta potrafią podmieniać numery rachunków bankowych, które kopiowane są ze schowka. Jak to działa? Chcemy zlecić przelew na numer rachunku, który mamy zapisany na przykład w e-mailu. Kopiujemy ten numer do schowka z zamiarem wklejenia go do formularza przelewu w systemie bankowości internetowej. Kiedy numer trafia do systemowego schowka, wirus zamienia go na numer konta złodziei. Wklejamy ciąg znaków do formatki przelewu, ale jest to już inny numer niż ten skopiowany z e-maila. Realizujemy przelew i wysyłamy �辱��Ծ�ą����� złodziejowi. Są też wirusy, które potrafią podmienić numery rachunków „w locie”. W trakcie przepisywania numeru rachunku na przykład z kartki wirus zamienia cyfry na oczach użytkownika. Jeśli nie zwrócimy uwagi, że po kliknięciu na przykład na cyfrę 3 na klawiaturze wyświetla nam się 5, wpiszemy numer należący do złodziei.

Alert ���Dz�����: Zawsze warto sprawdzać numer, który wklejamy ze schowka systemowego do formatki przelewu, a przynajmniej kilka ostatnich cyfr. Należy pamiętać, że bank nie ma obowiązku weryfikowania, czy numer należy do konkretnego odbiorcy. Identyfikuje wyłącznie numer rachunku i jeśli ten jest prawidłowy, księguje przelew.

Phishing czy podrzucanie oprogramowania antywirusowego nie dotyczy tylko klientów banków. Mieliśmy już do czynienia na przykład z próbami wyłudzenia danych do logowania od użytkowników serwisu aukcyjnego Allegro. Taki atak jest równie niebezpieczny, bo złodziej, który zdobędzie hasło i login, może wystawiać fikcyjne aukcje i wyłudzać �辱��Ծ�ą����� od kupujących. Oszuści podszywali się także pod firmę windykacyjną KRUK, podrzucając w e-mailach - stanowiących rzekomo wezwanie do zapłaty - zainfekowane załączniki.�� Podobne próby podrzucenia wirusów odnotowały także inne firmy. Oszuści występowali w imieniu ��Vectry, Orange czy nawet jako rzekomi przedstawiciele firm kurierskich – Poczty Polskiej i DHL. Za każdym razem liczyli na to, że ofiara otworzy załącznik, dzięki któremu uda im się zainfekować komputer. Z reguły chodzi im o „podsłuchanie” loginu i hasła do bankowości internetowej, ale w przypadku e-maili „z poczty” zastosowali inną metodę: aktywowany wirus szyfrował wybrane partycje na dysku komputera. Żeby je odszyfrować, należało zapłacić okup. Oszuści próbowali też zainfekować komputery, podszywając się pod firmę Microsoft. W tym przypadku wysyłali fałszywe e-maile zachęcające do pobrania aktualizacji systemu do najnowszej wersji – Windows 10. Efekt był taki sam, jak w przypadku fałszywej korespondencji z poczty – wirus blokował dostęp do danych i żądał okupu.

Alert ���Dz�����: Należy zachować szczególną ostrożność, otwierając załączniki podpinane do e-maili. Jeśli plik ma rozszerzenie, które wygląda obco, lepiej go nie otwierać. Standardowo dokumenty zapisywane są w formatach *.doc, *.docx lub *.pdf.

Czytaj dalej: tak kradną dane przez telefon »

2. Uwaga na kradzież danych przez telefon

Inną ����ٴǻ�ą wyłudzania danych od klientów jest tzw. vishing, czyli phishing głosowy (ang. voice phishing). Można go w pewnym sensie porównać do tzw. metody na wnuczka. Złodziej podszywa się pod przedstawiciela banku czy telefonii komórkowej i dzwoni do klienta z ofertą. Po standardowych pytaniach o dane osobowe zaczyna zagłębiać się w szczegóły, dopytując na przykład o login i hasło do bankowości internetowej, numer karty płatniczej, kody weryfikacyjne do kart (CVV) czy właśnie otrzymane kody autoryzujące transakcje itp. Czasami podaje za pretekst kwestie związane z bezpieczeństwem rachunku. Straszy użytkownika, że dokonano włamania na jego konto i trzeba szybko przez telefon zmienić dane dostępowe.

Drugi sposobem jest próba wyłudzenia, którą inicjuje SMS. Klient dostaje wiadomość tekstową zawierającą numer telefonu, pod którym odbiorca ma zaktualizować swoje dane. Po połączeniu się z podanym numerem telefonu włącza się automat, który poprosi o podanie poufnych danych klienta. ��

Alert ���Dz�����: Pamiętajmy, że przedstawiciel banku nigdy nie będzie nas prosił o podanie wrażliwych informacji dotyczących produktów: numerów kart, kodów CVC, kodów ze zdrapki czy hasła i loginu do bankowości internetowej. Bank ma te dane zapisane w bazie. Może natomiast zapytać o imię, nazwisko czy nazwisko panieńskie matki. To standardowa procedura stosowana przy weryfikacji klienta. Jeśli jednak mamy wątpliwości, możemy zakończyć rozmowę.

Czytaj dalej: oszuści polują na karty płatnicze »

3. Uwaga na karty płatnicze

Celem złodziei bywają często karty płatnicze. Dane z kart są na czarnym rynku najbardziej chodliwym towarem. Dlatego złodzieje próbują za pomocą różnych technik zdobyć te informacje. Warto pamiętać, że wciąż w wielu bankach nie ma dodatkowych metod zabezpieczających płatności kartami. Wystarczy więc poznać numer karty, datę jej ważności i trzycyfrowy kod, który znajduje się na jej rewersie, by dokonać za jej pomocą transakcji. Na dobrą sprawę wystarczy nawet zdjęcie karty wykonane telefonem.

Najczęściej stosowaną ����ٴǻ�ą jest skimming, ale spotkać można próby wyłudzenia tych danych przez telefon. Warto zachować czujność także podczas korzystania z bankomatów. Złodzieje zamieszczają tam kamery i montują specjalne nakładki w szczelinach, które przyjmują kartę. ��

Alert ���Dz�����: Jeśli zauważymy, że bankomat wygląda podejrzanie – elementy są niedbale spasowane – lepiej wypłaćmy �辱��Ծ�ą����� gdzie indziej. Pamiętajmy też, by nie spuszczać karty z oczu podczas robienia zakupów. Jeśli kelner w restauracji będzie chciał ją zabrać na zaplecze, by dokonać płatności – nie wyrażajmy zgody. Może tam zrobić zdjęcie karty i użyć jej danych do wykonania transakcji internetowej.

Czytaj dalej: wyłudzają przelewy od szukających pracy »

4. Uwaga na przelewy na 1 zł

Bardzo niebezpieczną ����ٴǻ�ą jest wyłudzanie przelewu na 1 zł. W wielu bankach można otworzyć zdalnie rachunek, a weryfikacja tożsamości przebiega na podstawie danych zawartych w przelewie przychodzącym z innego banku. W takim przelewie znajdują się bowiem wszelkie niezbędne informacje o nadawcy – imię i nazwisko oraz adres zamieszkania. Wykorzystują to złodzieje, którzy w imieniu klienta składają wniosek i próbują nakłonić go, by wykonał przelew na wskazany rachunek. Jeśli to zrobi, złodziej pozyska konto bankowe założone "na słupa". Jak nakłaniają do wykonania przelewu? Zamieszczają ogłoszenie o pracę, w których proszą potencjalnych kandydatów do pracy o podanie danych osobowych (które wpiszą we wniosku), i wysłanie przelewu na 1 zł w celu rzekomej weryfikacji tożsamości. Oszuści potrafią podszywać się nawet pod działające w rzeczywistości firmy, a jedną z nich zdemaskowaliśmy zaledwie kilka miesięcy temu.

W ten sposób konta założone ����ٴǻ�ą "na słupa" są później wykorzystywane do działalności przestępczej. Oszukana osoba nie wie nic o tym, że na jej nazwisko założono rachunek, bo kontakt z niedoszłym pracodawcą się urywa. Konto wykorzystywane jest natomiast do otwierania kolejnych rachunków i ich odsprzedaży na rynku wtórym. Takie konta "na słupa" używane są także do wyłudzania pożyczek w firmach udzielających chwilówek, wyłudzania należności za fikcyjne aukcje internetowe, prania brudnych pieniędzy, ukrywania dochodów przez urzędami skarbowymi czy komornikiem. Z reguły jednak po kilku tygodniach do niczego nieświadomej ofiary zaczynają przychodzić żądania spłaty zadłużenia, odwiedza windykator lub policja. ��

Alert ���Dz�����: Nigdy nie wysyłajmy pracodawcy przelewu na 1 zł. Jeśli o niego poprosi, możemy mieć stuprocentową pewność, że to próba kradzieży tożsamości.

Czytaj dalej: wysyłają fałszywe wezwania do zapłaty »

5. Uwaga na fałszywe wezwania do zapłaty

Na fali toczącej się dyskusji wokół abonamentu RTV złodzieje zaczęli rozsyłać tradycyjną pocztą fałszywe wezwania do zapłaty zaległych składek. O takim procederze informowała niedawno firma Kruk, pod którą podszyli się oszuści. Pismo było wysyłane listowanie w jej imieniu, a jego treść wskazywała na to, że jest to ostateczne wezwanie do zapłaty. Po wpłacie określonej składki dług miałby zostać umorzony. W przeciwnym wypadku informacje o zadłużeniu trafią do rejestrów dłużników, a osoby zapisane w takim rejestrze będą miały zamkniętą w przyszłości drogę do kredytów czy usług telekomunikacyjnych. W liście znajdowała się kwota składki oraz numer rachunku, na który trzeba wpłacić �辱��Ծ�ą�����.�� Osoby, które przelały tam środki, wpłaciły w rzeczywistości �辱��Ծ�ą����� na konto oszustów.

Oszuści podszywają się też pod instytucje państwowe. Niedawno „w imieniu” pracowników urzędów statystycznych grozili karami przedsiębiorcom. Z korespondencji, którą rozsyłali pocztą tradycyjną, wynikało, że firma nie wypełniła swoich obowiązków statystycznych wobec GUS i musi zapłacić karę. Wskazywano wysokość kary i numer rachunku bankowego do uregulowania należności. Co prawda GUS ma możliwość nałożenia kar na firmy, ale w praktyce nie podejmuje takich działań. Urzędnicy kontaktują się w takich sprawach z firmami przez specjalny portal statystyczny i nie wysyłają wezwań do zapłaty. Nie był to jednak pierwszy przypadek podszywania się GUS. Wcześniej złodzieje wysyłali do podmiotów gospodarczych nakaz zapłaty za wpis do rejestru REGON, który jest bezpłatny. Niedawno odnotowano też inne przypadki wyłudzeń wobec przedsiębiorców. Oszuści, podszywając się pod Ministerstwo Finansów, wysyłali nowo zarejestrowanym firmom korespondencję, w której żądają opłacenia kwoty 200 zł za wpis do rejestru REGON. W rzeczywistości ten wpis jest bezpłatny. ��

Alert ���Dz�����: Jeśli dostaniemy taką korespondencję, powinniśmy zachować szczególną czujność. Warto zadzwonić do danej firmy windykacyjnej lub urzędu i wyjaśnić sprawę. Telefon lepiej sprawdzić na jej stronie internetowej, bo na wezwaniu oszuści mogą podać numer do siebie.

Czytaj dalej: podają się za wnuczków, policjantów, urzędników »

6. Uwaga na wyłudzenia pieniędzy

Plagą ostatnich miesięcy są wyłudzenia tak zwaną ����ٴǻ�ą na wnuczka. Ofiarami stają się z reguły osoby starsze, od których oszuści próbują wyciągnąć �辱��Ծ�ą����� na pomoc wnuczkowi. Scenariusz jest z reguły za każdym razem podobny – podczas rozmowy telefonicznej rozmówca informuje ofiarę, że jej wnuczek ma poważne problemy. Może trafić do aresztu lub ścigają do przestępcy. Może mu pomóc tylko kaucja lub okup. Stawki sięgają nawet kilkudziesięciu tysięcy. ��Kolega wnuczka zgłasza się pilnie po odbiór gotówki, by dostarczyć ją na miejsce i wykupić wnuka z opresji. Oczywiście okazuje się, że wnuka nie ma, a �辱��Ծ�ą����� przepadają.

Z ����ٴǻ�ą „na wnuczka” powiązana jest bezpośrednio metoda „na policjanta”. Pierwsza część planu przebiega podobnie – kontaktuje się wnuczek lub znajomy wnuczka, który prosi o �辱��Ծ�ą�����. Chwilę później przychodzi lub telefonuje do ofiary rzekomy policjant. Informuje, że telefon od wnuczka jest próbą wyłudzenia pieniędzy. Przedstawia się fałszywym nazwiskiem i pokazuje podrobioną legitymację. Wyjaśnia, że oszust został już namierzony, ale trzeba go złapać na gorącym uczynku. Prosi więc seniora o dokonanie wypłaty pieniędzy (lub zlecenie przelewu) i przekazanie ich oszustowi, który się po nie zgłosi. Ewentualnie straszy, że oszust zyskał dane dostępowe do konta bankowego i �辱��Ծ�ą����� nie są już tam bezpieczne. Zaleca, by natychmiast wycofać je na wskazany rachunek. Rzekomi policjanci grożą też konsekwencjami prawnymi za niezastosowanie się do ich poleceń i wywierają dużą presję na ofierze. ��

Policja – tym razem prawdziwa – ostrzega też przed ����ٴǻ�ą wyłudzania danych „na kuriera”. Osoba podająca się za kuriera kontaktuje się z ofiarą pod pozorem dostarczenia przesyłki kurierskiej. W momencie podpisywania dokumentu potwierdzającego odbiór przesyłki kurier podsuwa odbiorcy jeszcze jeden dokument do podpisania. W rzeczywistości jest to druk, który zobowiązuje osobę, która go podpisała, do wykonania określonej płatności.

Z kolei Ministerstwo Spraw Wewnętrznych ostrzega przed ����ٴǻ�ą „na Syryjczyka”. Do starszych osób trafiają pisma, wysłane rzekomo przez resort, które informują, że należy oddać lub udostępnić mieszkanie uchodźcom z Syrii. Listy mają formę zwykłego wydruku komputerowego, bez żadnej pieczęci, godła i obowiązującego logo Ministerstwa Spraw Wewnętrznych. W rzeczywistości nie są one wysyłane przez MSW, a mogą uśpić czujność ofiary, która wpuści do swojego mieszkania przestępców.

Alert ���Dz�����: Jeśli dostaniemy tego typu telefon lub list, zachowajmy czujność. Wątpliwości rozwieje bezpośredni telefon do wnuka lub do jego rodziców czy weryfikacja informacji w urzędzie, z którego rzekomo nadeszła przesyłka. Pod żadnym pozorem nie przekazujmy pieniędzy obcym osobom ani nie podpisujmy podsuwanych dokumentów.

Czytaj dalej: jak przechytrzyć oszustów? »

Jak nie dać się oszukać

Metody oszustów cały czas ewoluują. Jak jednak łatwo zauważyć, większość z nich opiera się nie na cyberwłamaniach, a na sprytnych technikach mających na celu wyprowadzenie ofiary w pole. Oszuści najczęściej wykorzystują łatwowierność swoich ofiar oraz ich brak znajomości podstawowych zasad bezpieczeństwa w internecie. Dlatego, by uniknąć kłopotów, ���Dz����� rekomenduje stosowanie się do tych zasad:

1. Nigdy nie otwieraj linków w e-mailach kierujących do strony logowania banku. Banki nie wysyłają takich informacji

2. Nigdy nie instaluj na swoim telefonie oprogramowania antywirusowego, do którego link otrzymasz w rzekomym SMS-ie od banku. Banki nie wysyłają takich SMS-ów

3. Pilnuj danych swojej karty i nie spuszczaj jej z oczu

4. Dokładnie oglądaj bankomat, z którego zamierzasz wypłacić �辱��Ծ�ą�����

5. Stosuj zasadę ograniczonego zaufania w kontaktach telefonicznych z przedstawicielami banków, telekomów czy innych firm. Uważaj, komu i jakie informacje podajesz. Drogą telefoniczną banki nigdy nie proszą o hasło do bankowości internetowej czy numer karty.

6. Nie otwieraj podejrzanych załączników. Banki czy firmy telekomunikacyjne nie wysyłają dokumentów spakowanych do pliku *.zip

7. Żaden pracodawca nie będzie prosił o wykonanie przelewu na 1 zł w celu potwierdzenia tożsamości. Jeśli poprosi cię o taki przelew, możesz mieć pewność, że to oszust

8. Jeśli dostaniesz twoim zdaniem nieuzasadnione wezwanie do zapłaty, upewnij się, czy nie jest to próba wyłudzenia danych. Zadzwoń do danego urzędu lub firmy i potwierdź tę informację. Skorzystaj jednak z numeru podanego na stronie internetowej danej instytucji, a nie w przesłanej korespondencji

9. Nie przekazuj obcym ludziom swoich pieniędzy. Jeśli masz wątpliwości co do autentyczności prośby „wnuczka”, zadzwoń do niego. Jeśli uważasz, że oszustem jest „policjant”, zadzwoń na numer 112

10. Zachowaj zdrowy rozsądek za każdym razem, gdy ktoś prosi cię o �辱��Ծ�ą����� lub wrażliwe informacje (np. PESEL). Kradzież tożsamości może być równie groźna, jak kradzież pieniędzy.

Ź��ó��ł��: