Jak nie paść ofiarą oszustów w sieci

Najczęściej internetowi przestępcy zmierzają do uzyskania dostępu do kont użytkowników lub numerów kart płatniczych. Te cele starają się osiągać za pośrednictwem rozsyłanego pocztą tzw. phishingu lub zręcznych chwytów socjotechnicznych. Warto wiedzieć, jak nie stać się ofiarą oszustów w sieci?

Na początek warto wyjaśnić na czym polega tzw. phishing. Jest to metoda oszustwa, która polega na podszywaniu się przestępcy pod inną osobę lub instytucję, w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań.  Phishing często jest stosowany równolegle z tzw. spamem, czyli rozsyłaniem dużej ilości informacji o jednakowej treści do nieznanych sobie osób. 

Najczęstsze metody oszustw

Oszuści wysyłają fałszywe powiadomienia, podszywając się pod popularne sieci społecznościowe. Poruszają w nich temat nowych znajomych, ich aktywności, komentarzy czy polubień. Takie wiadomości często trudno jest odróżnić od oryginalnych; zwykle jedyną różnicą jest to, że zawierają odnośnik phishingowy, który niełatwo jest rozpoznać. Po kliknięciu go, ofiara jest nakłaniana do wprowadzenia swojej nazwy użytkownika i hasła na fałszywej stronie logowania.

Innym częstym wariantem są wiadomości pochodzące rzekomo z sieci społecznościowych, bazujące na strachu. Informują one na przykład, że na koncie odbiorcy wiadomości zarejestrowano podejrzaną aktywność lub że wprowadzono nową funkcję, a użytkownicy, którzy nie wyrażą na nią zgody, zostaną zablokowani. W każdym przypadku wiadomość zawiera przycisk z łączem prowadzącym do fałszywej strony logowania.

 Równie częstą formą działania oszustów jest phishing bankowy, którego celem jest zdobycie informacji na temat karty płatniczej danej osoby. Fałszywe wiadomości mogą być wysyłane w imieniu banków lub systemów płatności. Najczęściej temat tych wiadomości jest związany z blokowaniem konta lub również z „podejrzaną aktywnością” wykrytą na koncie osobistym odbiorcy. Pod pretekstem przywrócenia dostępu, potwierdzenia tożsamości czy anulowania transakcji użytkownik jest proszony o wprowadzenie szczegółowych informacji dotyczących karty płatniczej (często kodu CVV/CVC) na fałszywej stronie banku. Po odebraniu tych danych przestępcy natychmiast wypłacają pieniądze z konta ofiary. Podobnie wygląda sytuacja z systemami płatności, jednak wówczas ofiary są nakłaniane jedynie do zalogowania się do swojego konta.

Fałszywe powiadomienia są także tworzone w oparciu o popularne marki sklepów internetowych, usługi transportowe, strony umożliwiające rezerwację, platformy multimedialne, strony z ofertami pracy i inne usługi internetowe. Cyberprzestępcy liczą na to, że ich wiadomości spamowe dotrą między innymi do prawdziwych użytkowników takich usług, którzy we wszystko uwierzą, spanikują i postąpią zgodnie z ich oczekiwaniami.

 Często też użytkownicy są nakłaniani przez przestępców do przywrócenia swojego hasła lub zwiększenia miejsca w skrzynce pocztowej, która podobno jest zapchana. W tym drugim przypadku łącze phishingowe obiecuje znaczące zwiększenie dostępnej przestrzeni, co w erze chmury obliczeniowej i nieustannie zwiększającej się potrzeby przechowywania dużych objętości danych nie wydaje się jakoś specjalnie podejrzane. W tym wypadku oszuści chcą wejść w posiadanie nazw użytkowników i haseł do usług e-mail.

Jednym z najstarszych rodzajów spamu jest tzw. oszustwo na „nigeryjskiego księcia”. Polega ono na obietnicy zdobycia fortuny od krewnego lub prawnika działających w imieniu zmarłego milionera w zamian za dokonanie płatności z góry. W jednej z jego odmian oszust występuje pod postacią celebryty, który chwilowo jest w trudnej sytuacji. Ofierze obiecuje się ogromną nagrodę, jeśli zgodzi się pomóc pechowemu milionerowi wypłacić pieniądze ulokowane w kontach różnych banków. W tym celu należy oczywiście najpierw wysłać szczegółowe informacje na swój temat (informacje odnośnie paszportu, danych konta itp.) oraz niewielką kwotę na załatwienie formalności.

Oczywiście na tym nie kończy się lista ulubionych tematów i technik oszustów. Powyższe przykłady pokazują tylko najbardziej popularne metody przez nich stosowane. Jak nie dać się oszukać? Poniżej przedstawiamy kilka podstawowych zasad, których powinniśmy przestrzegać, by zminimalizować ryzyko utraty nie tylko swoich danych, ale często również pieniędzy.

Zasady bezpieczeństwa których powinniśmy przestrzegać

 Korzystajmy z programu antywirusowego, regularnie aktualizowanego, co zapewni skuteczną ochronę przed wieloma różnymi zagrożeniami internetowymi (wirusami, robakami, trojanami itp.).

 Nie otwierajmy linków lub załączników podanych w wiadomościach e-mail, które wzbudzają wątpliwości, ponieważ mogą one zawierać szkodliwe oprogramowanie lub będą łączyły nas z fałszywymi adresami służącymi do wyłudzenia pieniędzy lub kradzieży tożsamości.

Wszelkich płatności bankowych dokonujmy z wykorzystaniem protokołu https (oznaczony ikoną w kształcie kłódki), który zapewnia bezpieczeństwo transmisji danych. Warto też wyświetlić certyfikat poświadczający bezpieczną transmisję danych, gdyż bardziej wyrafinowani sprawcy przestępstw potrafią użyć protokołu https, ale nie posiadają certyfikatu bezpieczeństwa.

Jak ostrzega Policja, Cyberprzestępcy stosują odpowiednio sformułowane zwroty lub tworzą bardziej rozbudowane i złożone fabuły  w celu wzbudzenia zaufania. Oszuści wykorzystują łatwowierność, chęć pomocy innym, chęć szybkiego wzbogacenia, pośpiech, czy ciekawość. Przede wszystkim musimy być świadomi tego, że bezpieczeństwo w wirtualnej przestrzeni zależy od nas samych. Nie pomogą nam żadne zabezpieczenia systemowe jeżeli sami nie zachowamy należytej ostrożności i zdrowego rozsądku.

Materiał powstał w ramach projektu Stowarzyszenia Gazet Lokalnych z Polsko-Amerykańską Komisją Fulbrighta „Media bliżej ludzi”, finansowanego ze środków Departamentu Stanu USA.