Bądź bezpieczny w Internecie! Co robić, żeby nie dać się oszukać i nie stracić pieniędzy? Część 2 – Kradzież tożsamości, Pharming. | DobryKantor.pl

W poprzedniej części naszego poradnika opisaliśmy, czym jest phishing i w jakiś sposób oszuści mogą wyłudzać nasze pieniądze i dane osobowe. Warto jednak wiedzieć, że „łowienie”, to tylko jedna z metod, z jakich korzystają przestępcy, wbrew pozorom nie najgroźniejsza dla ofiary i stanowiąca wstęp do bardziej wyrafinowanych i mających poważniejsze konsekwencje przestępstw.

Oczywiście, że kradzież naszych pieniędzy to duża strata, ale zazwyczaj ofiara orientuje się wtedy w całym procederze i jest w stanie go zakończyć – znacznie gorzej sytuacja wygląda, kiedy pozostaje w nieświadomości i mimowolnie pomaga w realizacji nielegalnych celów.

Tak się dzieje w przypadku kradzieży tożsamości i pharmingu, czyli odmianie phishingu, która polega na dyskretnym i długotrwałym wyłudzaniu danych i małych kwot finansowych, które zazwyczaj mają na celu uwiarygodnienie fałszywej tożsamości przed innymi instytucjami.

W Internecie zawsze zostaje ślad, dlatego każdy cyber przestępca zostanie złapany

O tym wie każdy, nawet początkujący oszust. W żaden sposób nie przeszkadza to osobom, które dopuszczają się kradzieży – po prostu ślad nie prowadzi do nich. Złodzieje maskują swoją działalność, ukrywając się za skradzioną tożsamością.

Jedną z najczęściej stosowanych technik przejęcia tożsamości, jest tak zwane oszustwo rekrutacyjne. Może przybierać różne formy, ale mechanizm wygląda zawsze tak samo. Do naszej skrzynki mailowej przychodzi wiadomość z informacją o ofercie pracy. Czasami zdarza się, że oszuści mają informacje, że szukamy podobnej posady (tak, tak bandyci również korzystają z LinkedIN) i podsyłają nam naprawdę kuszący kąsek.

Jeśli odpowiemy zainteresowaniem, możemy spodziewać się kolejnej wiadomości, z prośbą o przesłanie CV. Wysłanie takiego dokumentu już samo w sobie stanowi duży wyciek naszych danych osobowych – w Internecie znajdziemy mnóstwo przykładów na to, jakie dane ludzie nieświadomie umieszczają w swoich życiorysach i gdzie te dokumenty później trafiają.

Załóżmy jednak, ze zapobiegawczo nie ujawniliśmy zbyt dużo wrażliwych informacji. W takim przypadku po kilku dniach otrzymamy wiadomość z gratulacjami – zostaliśmy przyjęci do pracy w charakterze managera/agenta finansowego/pośrednika w firmie X.

„W załączniku umowa i formularze dla działu kadr, prosimy o wypełnienie, zeskanowanie dokumentu tożsamości i wskazanie numeru konta bankowego, na które ma wpłynąć wynagrodzenie, witamy w firmie, powodzenia, wierzymy w Ciebie…”

„Money mule” jest traktowany jako przestępca, do momentu, kiedy nie udowodni swojej niewinności – wyplątanie się z takiej sytuacji jest możliwe, ale nie należy do najłatwiejszych i niesie ze sobą dużo nieprzyjemności.

No cóż, jeśli spełniliśmy powyższe prośby, to właśnie zostaliśmy „money mule”, czyli tłumacząc na język polski – mułem do przenoszenia pieniędzy. Dalszy mechanizm działania tego oszustwa polega na tym, że przedstawiciel naszego nowego pracodawcy kontaktuje się z nami i informuje, że niebawem na nasze konto wpłyną pieniądze i nasza praca będzie polegała, na przekazaniu tych środków dalej według dołączonego załącznika (oczywiście nie za pomocą przelewów bankowych, tylko na przykład przekazów pieniężnych Western Union). W zamian za wykonaną pracę możemy potrącić sobie 10% wpłaconej na nasze konto sumy.

Po kilku dniach pieniądze faktycznie wpływają. To zazwyczaj pokonuje ostatnie opory u tych, którzy dotrwali do tej pory bez złożenia zawiadomienia na policję. Chęć zysku to najlepszy motywator, który często skutecznie zagłusza wszystkie dzwonki alarmowe.

Wykonaliśmy naszą pracę i przekazaliśmy dalej otrzymane środki. Ku naszemu zdziwieniu, po kilku dniach do drzwi puka Policja. Okazuje się, że w międzyczasie oszuści wykorzystali wyłudzone od nas dane do założenia fałszywych kont na platformach aukcyjnych, bądź skierowali na nasze konto wypłaty z ukradzionych w Internecie kart płatniczych. Pieniądze, które w dobrej wierze przekazaliśmy dalej, pochodziły z oszustw Internetowych.

Nie trzeba mocno się wysilać, żeby wyobrazić sobie, jak to wygląda w oczach pracowników organów ścigania – nie tylko nasze dane posłużyły do dokonania oszustw – dobrowolnie pomogliśmy przekazać dalej ukradzione pieniądze.

Opisana wyżej metoda, to tylko przykład – w rzeczywistości złoczyńcy mają cały arsenał sztuczek, za pomocą których mogą próbować wyciągnąć nasze dane: propozycja zawarcia polisy ubezpieczeniowej, atrakcyjna oferta lokaty bankowej, rzekomo przyznany nam kredyt i wiele, wiele innych.

Ochrona:

• Nigdy nie odpowiadajmy na wiadomości, które nasza skrzynka pocztowa oznaczyła jako spam – najczęściej nie dzieje się to bez powodu.

• Poświęćmy chwilę na zweryfikowanie firmy, w której się rzekomo zatrudniamy (bądź wykupujemy polisę, zakładamy lokatę). Nie wystarczy wejście na stronę internetową (ta zapewne będzie bez zarzutu) – skorzystajmy z możliwości, jakie dają nam oficjalne portale z rejestrami działających przedsiębiorstw.

• Jeśli cokolwiek wzbudzi nasz niepokój, zgłośmy sprawę na Policję. Nawet jeśli daliśmy się oszukać i mimo woli wciągnąć w nielegalną działalność, to nasze dobrowolne zgłoszenie może zmienić to jak organy ścigania będą postrzegać naszą w nim rolę.

• Jeśli nie znamy osobiście odbiorcy przekazu, nigdy nie wysyłajmy na czyjąś prośbę pieniędzy za pośrednictwem usług finansowych, które umożliwiają ukrycie prawdziwej tożsamości odbiorcy.

• Profilaktycznie, raz na jakiś czas „wygooglujmy” nasze dane – w jakimś stopniu zyskamy pewność, że nasza tożsamość nie żyje własnym życiem w Internecie.

Graliście kiedyś w farmę? Macie pewność, że ktoś nie uprawia farmy Waszym kosztem?

Pharming to jedna z odmian phishingu, która charakteryzuje się nieco bardziej dyskretnym mechanizmem działania. Oszuści wchodzą w posiadanie naszych danych jednym z opisanych w pierwszej części poradnika sposobów, jednak nie wykorzystują ich bezpośrednio do kradzieży naszych pieniędzy. Przynajmniej nie od razu. „Farmienie” działa najlepiej w połączeniu z fizycznym zainfekowaniem komputera użytkownika.

Metoda ta polega na stosowaniu małych kroków, tak żeby zamierzony cel został osiągnięty w sposób, jak najmniej zwracający uwagę ofiary. Mogą być to pobranie małych kwot z konta, wykorzystanie kontaktów ze skrzynki pocztowej, wykorzystanie mocy obliczeniowej komputera. Ponadto w odróżnieniu od klasycznego phishingu fizyczny atak na nasz komputer, spowoduje na przykład, że nawet po wpisaniu prawidłowego adresu naszego banku, zostaniemy przeniesieni na jej podstawioną przez oszustów wersję.

Do czego oszuści mogą wykorzystać opisane wyżej „małe kroki”?

• Małe kwoty, które znikają z naszego konta, mogą służyć jako weryfikacja dla innych firm finansowych – być może, ktoś właśnie wziął kredyt, wykorzystując nasze dane i jako weryfikacji użył naszego prawdziwego konta?
• Mail wysłany z naszego konta pocztowego do osób z listy kontaktów, to doskonały sposób na rozprzestrzenienie złośliwego oprogramowania. Odruchowo chętniej zaufamy jakiejś wiadomości, jeśli pochodzi o na od znanego nam nadawcy. Znane są przypadki, kiedy zainfekowana wiadomość od podrzędnego pracownika, dawała hakerom dostęp do komputera prezesa wielkiej międzynarodowej firmy.
• Nasz komputer posiada dla oszusta internetowego realna wartość. To darmowa moc obliczeniowa, którą można wykorzystać na przykład do kopania kryptowalut lub po sprzężeniu z siecią innych „porwanych” komputerów do złamania systemu zabezpieczeń serwera, który istnieje przestępców – to tak jakby ktoś w realu posługiwał się naszymi odciskami palców.

Bardzo trudno zorientować się, czy zostaliśmy czyjąś farmą. Metoda ta opiera się na powolnym cierpliwym działaniu, które ma nie wzbudzać naszych podejrzeń. Oczywiście możemy odkryć prawdę przypadkiem, przeglądając historię naszego konta lub obserwując niewyjaśnione spowolnienie pracy naszego komputera (to znak, że coś wykorzystuje jego moc).

Ochrona:

Ponieważ samo oszustwo składa się najczęściej z dwóch etapów, ochrona przez nim również dzieli się na dwa obszary.

Po pierwsze skuteczne są metody opisane w pierwszej części naszego poradnika – utrudnią one złodziejom przejęcie naszych danych.

Druga kwestia to stosowanie programów antywirusowych na wszystkich urządzeniach. Ważne, żeby były to aktualne wersje, wyposażone w najnowsze bazy wirusów. Technologia zabezpieczeń rozwinęła się na tyle mocno, że chronią one przed większością ataków hackerskich.

Pamiętajmy również o regularnej aktualizacji naszego oprogramowania – po co zostawiać oszustom furtki do naszego systemu.

Dbaj o to, żeby zabezpieczenia Twoich urządzeń, które mają dostęp do Internetu miały zawsze aktualne zabezpieczenia antywirusowe. Powstrzymasz w ten sposób większość potencjalnych ataków hackerskich.

Na tym kończymy drugą część naszego poradnika. W kolejnej części opiszemy Wam najczęściej stosowane oszustwa wykorzystujące sieci społecznościowe, oszustwa loteryjne, matrymonialne i o sposobach chronienia siebie i najbliższych (zwłaszcza dzieci) w sieci.