Przestępcy wykorzystują złożone techniki wyłudzania danych do kont oraz nakłaniają użytkowników do niekorzystnych zachowań. Zapoznaj się z metodami wykorzystywanymi przez cyberprzestępców i dowiedz się jak unikać pojawiające się zagrożenia.

 

Phishing – co to jest?

To metoda oszustwa, która polega na wysyłaniu e-maili lub SMS-ów z załącznikami czy linkami do fałszywych stron internetowych. Wiadomości mają nakłonić klienta do kliknięcia w link albo otwarcia załącznika. Następnie klient ma przekazać swoje poufne dane, np. numer PESEL, numer dowodu, adres, login i hasło do bankowości internetowej czy numer karty płatniczej.

Co ważne, oszuści mogą podszywać się pod pewne osoby lub firmy. Chcą uśpić czujność klienta, więc dbają o to, aby skala podobieństwa była jak największa. Fałszywe strony wyglądają łudząco podobnie do stron znanych firm.

Czego najczęściej dotyczą fałszywe wiadomości?

  • niewielkiej kwoty, którą trzeba dopłacić do przesyłki
  • bonów, kuponów oraz innych darmowych „nagród”, które można zdobyć
  • podejrzanych logowań na koncie
  • problemów z kontem lub płatnością
  • niekompletnych danych, które należy potwierdzić
  • niezapłaconej faktury, którą trzeba opłacić.

Jak przebiega takie oszustwo?

  • Klient dostaje e-maila lub SMS-a. Wiadomość wygląda jak ze znanej mu firmy.
  • Klient ma pilnie zalogować się na stronę banku przez link z wiadomości. Najczęściej po to, aby odebrać rzekome pieniądze.
  • Link przekierowuje go na fałszywą stronę, która przypomina stronę jego banku.
  • Klient loguje się – podaje swoje dane oraz kod z SMS-a.
  • Potem ma wpisać kolejne kody SMS, aby zaktualizować swoje dane.
  • Widzi komunikat o błędzie, więc wpisuje je kilka razy.
    Warto pamiętać: zawsze trzeba dokładnie czytać kody SMS – czy treść powiadomienia z kodem odpowiada temu co klient akurat chce zrobić na stronie? 
  • Oszust dostał dostęp do konta klienta. Od teraz może się na nie logować i z niego korzystać, np. zlecać przelewy czy wypłacać pieniądze z bankomatu za pomocą BLIKA.

Jak się chronić?

  • Warto pamiętać o zasadzie ograniczonego zaufania. Zanim klient kliknie w link lub pobierze jakiś plik, powinien się upewnić się, że pochodzą one z zaufanych źródeł.
  • Powinno się filtrować spam i zainwestować w oprogramowanie antywirusowe, najlepiej z modułem antyphishingowym. Taki moduł analizuje odwiedzane witryny i sprawdza czy nie są to fałszywe strony.
  • Należy czytać powiadomienia push z aplikacji bankowych i na bieżąco kontrolować przelewy na koncie.

 

Vishing i spoofing – czym są?

Vishing to metoda oszustwa, która polega na podszywaniu się pod pracowników banków i innych zaufanych instytucji, np. policjantów. Oszuści chcą w ten sposób zdobyć poufne dane klienta (np. login i hasło do bankowości internetowej) lub nakłonić go do określonych czynności (np. zainstalowania aplikacji do zdalnej obsługi urządzenia).

Spoofing to metoda oszustwa, która polega na podszywaniu się pod inne urządzenia lub innego użytkownika. Oszuści zmieniają numer telefonu, adres e-mail czy adres IP, z których się kontaktują. Co więcej, mogą też wybrać i zmienić płeć osoby dzwoniącej, jej kraj pochodzenia, a nawet akcent. Zawsze dobrze przygotowują się do rozmowy, aby była ona wiarygodna i uśpiła czujność klienta.

Jak przebiega takie oszustwo?

Oszuści stosują wyćwiczone techniki manipulacji. Podszywają się pod prawdziwe numery telefonów! Kiedy dzwonią, na telefonie klienta może wyświetlić się inny, znany numer lub nazwa banku.

Choć nie ma jednego schematu działania, przykładowa rozmowa może przebiegać tak:

  • Klient odbiera telefon od oszusta.
  • Oszust przekazuje klientowi informację o rzekomej płatności na jego koncie i prosi o potwierdzenie jej wykonania. Często oszuści przekazują też informację o logowaniu spoza granic Polski.
  • Klient odpowiada na wszystkie pytania, których oficjalnym celem jest jego weryfikacja.
  • Oszust informuje klienta, że musi zablokować rzekomą fałszywą transakcję lub przeprowadzić „zdalne skanowanie antywirusowe”. W tym celu klient ma zainstalować specjalną aplikację, np. AnyDesk lub TeamViewer.
  • Klient instaluje aplikację, a jego dane trafią do oszusta – ma dostęp do konta klienta i pieniędzy na nim.

Jak się chronić?

  • Nigdy nie wolno podawać loginu i hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, data ważności). To informacje poufne, powinny być znane tylko Tobie.
  • Zawsze warto czytać treść SMS-ów i komunikatów z aplikacji mobilnej. Należy zwrócić na nie szczególną uwagę podczas połączenia z rzekomym przedstawicielem banku lub innej instytucji. Z ich treści może wynikać, że akceptuje się transakcję, którą przygotowali przestępcy.
  • Jeżeli jakakolwiek rozmowa wzbudza wątpliwości lub niepokój klienta, niech się rozłączy. Warto odczekać minimum 30 sekund, a następnie samodzielnie połączyć się z instytucją, z której dzwonił rzekomy przedstawiciel. Koniecznie należy wpisać numer samodzielnie – nie oddzwaniać na wcześniejsze połączenie.
  • Nie powinno się instalować dodatkowego oprogramowania na urządzeniach, za pomocą których klient loguje się do aplikacji bankowej.
  • Nie wolno zgadzać się na alternatywny kontakt mailowy czy SMSowy. Oszust może chcieć wysłać link lub załącznik, który może zainfekować urządzenie klienta.

 

 

Sposoby działania oszustów – przykłady popularnych metod cyberprzestępców:

  1. Wykorzystywanie pulpitu zdalnego.

Udzielenie dostępu do swojego sprzętu innemu użytkownikowi, który może znajdować się w dowolnym miejscu na świecie. LWBS Drezdenko nie stosuje takiej usługi przy wsparciu swoich klientów. Jeżeli osoba podająca się za pracownika banku będzie nakłaniać Cię do takiej metody rozłącz się i natychmiast skontaktuj się z nami. Wybierz samodzielnie numer 95 76 29 323 – nie oddzwaniaj na wcześniejsze połączenie!

  1. Oferty związane z zakupem węgla lub innych materiałów opałowych.

Coraz więcej tego typu fałszywych ofert pojawia się na portalach społecznościowych. Po skontaktowaniu się ze sprzedającym dowiadujemy się, że powinniśmy wysłać zaliczkę poprzez przelew na telefon BLIK, a towar zostanie do nas dostarczony w ciągu 30 dni. W takim przypadku zweryfikuj konto oferenta. Często konta zakładane są tylko w celu opublikowania fałszywej oferty sprzedaży.

  1. Próby wyłudzenia poufnych danych przez telefon.

Przestępcy podszywają się pod pracowników banków korzystając z techniki spoofingu numeru telefonu w taki sposób, by na Twoim telefonie wyświetlił się np. numer infolinii Twojego banku lub zaufanego pracownika banku. Oszuści kontaktują się pod pretekstem weryfikacji podejrzanego logowania czy transakcji, a w rzeczywistości chcą zdobyć dane do logowania, proszą o instalację oprogramowania np. Any Desk, TeamViewer, dzięki którym mogą przejąć kontrolę nad pulpitem Twojego urządzenia. Nie rób tego! Jeśli masz wątpliwości, czy kontaktuje się z Tobą pracownik LWBS Drezdenko – koniecznie rozłącz się i skontaktuj się z nami. Wybierz samodzielnie numer 95 76 29 323 – nie oddzwaniaj na wcześniejsze połączenie!

  1. Fałszywe SMS-y dotyczące usługi BLIK.

Oszuści wysyłają SMS-y z informacją, że ktoś wysłał Ci przelew za pomocą BLIKA na Twój nr telefonu. Do wiadomości dołączony jest link, który kieruje na fałszywą stronę, gdzie rzekomo masz odebrać pieniądze. Nie otwieraj go! Otwarcie linku spowoduje pojawienie się okna z wyborem Twojego banku. Ta strona jest fałszywa.

  1. Oszustwa na portalach sprzedażowych typu OLX, Vinted, Allegro.

Sprzedając coś przez OLX, Vinted czy Allegro, uważaj na kupujących, którzy kontaktują się z Tobą poprzez komunikator np. WhatsApp i chcą kupić przedmiot. Później możesz otrzymać od nich link na WhatsAppie do rzekomego odbioru pieniędzy albo instrukcję wraz z linkiem na Twój adres e-mail. Nie otwieraj go! Link prowadzi do fałszywej strony, łudząco podobnej do strony logowania banku.