Bądź bezpieczny w Internecie! Co robić, żeby nie dać się oszukać i nie stracić pieniędzy? Część 1 – Phishing.

Phishing to jedna z najpopularniejszych metod oszustw internetowych

Wielokrotnie w pisaliśmy o tym, jak ważne jest bezpieczeństwo w sieci. Pomimo tego, że korzystając z Internetu, jesteśmy coraz bardziej świadomi, to oszustwa online ciągle się zdarzają, a przestępcy trudniący się tym procederem korzystają z coraz to nowszych metod.

Dlatego uważamy, że ważna jest ciągła edukacja i podnoszenie świadomości wśród codziennych użytkowników Internetu – w końcu jest to medium, które praktycznie zdominowało nasze życie i wykorzystane właściwie pozwala na znacznie lepsze funkcjonowanie w dzisiejszym świecie – także, jeśli chodzi o usługi finansowe.

Żeby właściwie chronić się przed atakami oszustów, trzeba przede wszystkim znać ich sposoby – większość metod internetowych wyłudzeń żeruje na nieświadomości i pośpiechu użytkownika. Mając odpowiednią wiedzę i działając zawsze w przemyślany sposób, jesteśmy w stanie obronić się przed większością przestępstw popełnianych w sieci.

Co to jest Phishing?

Termin ten jest używany od połowy lat 90. ubiegłego wieku. Nazwa wywodzi się od angielskiego słowa „fishing” (wędkowanie), które w korespondencji pomiędzy hakerami było zapisywane jako „phishing”. Ta metoda oszustwa zawsze zmierza do wyłudzenia ważnych informacji drogą podstępu. W czasach kiedy wiele transakcji wykonujemy online, szczególnie narażone są dane naszych kart bankowych i one też najczęściej padają łupem złodziei.

Mechanizm oszustwa polega na wytworzeniu w osobie okradanej przekonania, że czynność, o którą została poproszona, jest bezpieczna, a zlecająca ją osoba reprezentuje instytucję bądź firmę godną zaufania. Potencjalna ofiara jest przekonana, że podawane informacje trafiają w bezpieczne miejsce, podczas gdy tak naprawdę kierowana jest na przygotowane przez oszusta fałszywe strony.

Fałszywy bank

To jedna z najpopularniejszych metod wyłudzeń internetowych. Najczęściej ofiara dostaje wiadomość e-mail bądź SMS z prośbą o zalogowanie do systemu swojego banku lub serwisu finansowego z którego korzysta i potwierdzenie danych.

Link zawarty w wiadomości prowadzi do strony internetowej będącej kopią serwisu naszego banku przygotowaną przez oszustów. W momencie, kiedy ofiara wpisze na swoim urządzeniu dane potrzebne do zalogowania, uzyskują oni do nich dostęp. Zazwyczaj po zalogowaniu pokazuje się nam formularz z prośbą o wpisanie danych naszej karty bankowej w celu weryfikacji.

Ochrona:

Wystarczy dokładnie sprawdzić adres internetowy, który otworzył się po kliknięciu przesłanego linku. Warto również zweryfikować certyfikat HTTPS (ikona kłódki znajdująca się przy adresie internetowym), który potwierdzi nam, do kogo faktycznie należy strona. Bardzo ważnym sygnałem w tym przypadku jest prośba o wpisanie numeru PIN lub CVV2/CVC2 (numery, z którego korzystamy przy potwierdzaniu płatności internetowych), która zazwyczaj pojawia się w takim przypadku – ŻADNA szanująca się instytucja finansowa (w tym oczywiście DOBRYKANTOR.pl) nie będzie prosił swoich Klientów o podanie tych danych!




Fałszywa strona Mbanku


Przykład fałszywej strony internetowej Mbanku. Oszuści postarali się o certyfikat HTTPS, jednak różnicę widać w adresie domeny.




To nie sklep! To pułapka!

Polubiliśmy zakupy online. W czasach kiedy 24-godzinna doba to za mało, możliwość kupowania przez Internet jest błogosławieństwem. Badania są jednoznaczne – e-commerce bije wszelkie rekordy i działania wszystkich marek są ukierunkowane głównie na to, żeby dostarczyć nam produkty kupione online jak najszybciej i jak najtaniej.

Niestety wiedzą tą dysponują również oszuści. Nie zawahają się wykorzystać popularności zakupów w sieci do naciągania niczego niespodziewających się Klientów.

Fałszywe sklepy internetowe zaczęły pojawiać się niemal równocześnie z tymi prawdziwymi. Zazwyczaj istnieją krótko, a ich jedynym celem jest wyłudzenie od Klientów danych kart bankowych, które później służą do kradzieży pieniędzy.

Możemy wyróżnić kilka rodzajów takich sklepów pułapek:

  • Małe serwisy ogłaszające się zazwyczaj na portalach społecznościowych i sprzedające popularne produkty w bardzo niskich cenach. Takie witryny zazwyczaj nie będą miały certyfikatu HTTPS (ich adres będzie się zaczynał od skrótu http://). Przez cały czas proces sprzedaży będzie przebiegał bez żadnych zakłóceń z tą różnicą, że zamówionych towarów nigdy nie dostaniemy (w niektórych przypadkach złodzieje, żeby uśpić czujność, są w stanie nawet zwrócić wpłacone pieniądze wraz z informacją, że dany produkt się skończył), a dane naszej karty trafią w ręce oszustów.
  • Kopie dużych i popularnych serwisów zakupowych i markowych sklepów internetowych. Podobnie jak w przypadku banków, oszuści chcą wykorzystać nasze zaufanie do dużych firm. Zazwyczaj takie zdarzenia są szybko demaskowane, ale ryzyko, że padniemy ofiarą takiego „porwania” istnieje.
  • Prawdziwe i istniejące serwisy, które zostały ukradzione. Takie serwisy należą do istniejących firm i mają prawdziwą historię transakcji handlowych ze swoimi Klientami. Są również zabezpieczone protokołem HTTPS i działają w pełni legalnie. Kłopot polega na tym, że kontrolę nad nimi przejęli hakerzy, którzy do czasu, dopóki właściciel się nie zorientuje i nie zablokuje działania sklepu, wykorzystają go do wyłudzenia jak największej ilości pieniędzy i danych.

Ochrona:

Przede wszystkim czujność! Podawanie wrażliwych danych finansowych w sklepach internetowych jest naturalną częścią procesu sprzedaży online, ale to nie znaczy, że można to robić bezmyślnie. Zakupy należy robić tylko w znanych i popularnych serwisach. Trzeba pamiętać, że „pół darmo” raczej się nie zdarza i taka „okazja” może nas dużo kosztować. Koniecznie trzeba sprawdzać za każdym razem czy adres sklepu jest zabezpieczony certyfikatem HTTPS i do kogo on należy (klikamy w ikonę kłódki przy adresie strony internetowej). Wreszcie, jeśli nie znamy danego sklepu, nie wahajmy się zadzwonić pod podany numer kontaktowy i zweryfikować faktu jego istnienia. Dobrym pomysłem jest również ograniczenie limitów płatności na naszych kartach bankowych i podnoszenie ich jedynie w momencie dokonywania większej transakcji – większość banków udostępnia taką usługę.




Zakapturzona postać przed komputerem


Pomimo tego, że wszystkie działania w Internecie zostawiają ślad, oszuści potrafią się doskonale maskować. Najczęściej używają skradzionej wcześniej tożsamości.




Na Twoim koncie jest niedopłata…

To w zasadzie hybryda opisanych wcześniej metod. Polega na wysłaniu ofierze za pomocą wiadomości e-mail lub SMS informacji o niedopłacie na jej koncie. Oszuści zazwyczaj podszywają się pod operatorów telefonów komórkowych lub firmy świadczące usług energetyczne, gazowe i wodno-kanalizacyjne. Zwiększają w ten sposób szanse na uwiarygodnienie rozsyłanych powiadomień. W treści takiego komunikatu znajdziemy informację o wysokości niedopłaty i link do płatności online, dzięki której możemy uregulować należną sumę.

Oczywiście kliknięcie linku przeniesie nas na stronę wyglądającą podobnie do rzeczywistej strony instytucji, a dodatkowo system płatności online będzie do złudzenia przypominał popularne serwisy, przez które zazwyczaj dokonujemy takich płatności.

Ofiara, chcąc wypełnić rzekome zobowiązanie, nieświadomie przekazuje im dane kont i kart bankowych. Ponieważ kwoty są zazwyczaj bardzo niskie, szybko o sprawie zapomina, a oszuści podejmują próbę wyłudzenia większej sumy z jej konta bankowego.

Ochrona:

Podobnie jak w przypadku poprzednich metod sprawdza się weryfikacja prawidłowości adresu strony internetowej i certyfikatu HTTPS. Dodatkową linią obrony może być sprawdzenie u źródła (np. w firmie, w której mamy rzekomą niedopłatę), czy taki komunikat został faktycznie do nas wysłany. Najlepiej jest jednak w ogóle nie korzystać z przesłanego linku, sprawdzić stan naszego salda w gazowni, czy u operatora komórkowego i ewentualne różnice uzupełnić tradycyjnym przelewem.


Z powyższych przykładów wynika jeden wniosek – metod wyłudzeń jest wiele, ale na wszystkie skuteczną obroną jest rozsądek i rozwaga. Jeśli sprawa dotyczy płacenia przez Internet, nie należy się spieszyć, lepiej wszystko sprawdzić dwa razy i nie działać pod wpływem impulsu. Ważne jest również, żeby nie przedkładać naszej wygody ponad bezpieczeństwo – czasami lepiej wykonać dodatkową czynność (sprawdzający telefon, obniżenie limitu na karcie) niż ponosić koszty.

W kolejnych częściach naszego poradnika dowiecie się między innymi, dlaczego nie można złapać złodzieja, który ukradł nasze pieniądze w Internecie, na czym polega kradzież tożsamości i jak się przed nią bronić, kim są „muły” i jak sprawdzić, czy nie jesteś „farmą”.


koniec wpisu

Powrót do listy artykułów