Oszustwa internetowe, czyli jak próbują nas okraść?

Internet to: wiedza na wyciągnięcie ręki, rozrywka, kontakt z rodziną i znajomymi, dostęp do konta bankowego, a dla wielu także praca. Jednym słowem internet to możliwości. Niestety, wykorzystują je nie tylko uczciwe osoby. Dlatego w sieci trzeba cały czas zachowywać czujność. Czy dana informacja jest prawdziwa? Czy ten link przeniesie nas na bezpieczną stronę? Kto znajduje się po drugiej stronie? W mediach co chwilę słychać o różnego rodzaju wyłudzeniu danych i kradzieżach z konta. Sprawdźmy więc, na jakie oszustwa internetowe możemy się natknąć i jak się przed nimi bronić?

Oszustwa internetowe – jakie techniki wykorzystują cyberprzestępcy?

Żeby mogło dojść do oszustwa, przestępca musi najpierw nawiązać kontakt z ofiarą. Oczywiście, żaden oszust nie napisze do potencjalnej ofiary: „Cześć, chcę Cię okraść. Podaj mi tylko hasło i login do konta bankowego”. Musi bardziej się „napracować” – wcielić w rolę, np. bankowca, rozesłać setki SMS-ów, czy maili, stworzyć fałszywą stronę internetową, a także zdobyć konkretną wiedzę techniczną. Wszystko po to, aby wyglądać wiarygodnie w oczach ofiary i zdobyć jej zaufanie, a potem ją okraść.

Warto wiedzieć, że przestępcy wykorzystują różne techniki. Poniżej prezentujemy te najpopularniejsze.

Oszustwa internetowe – Socjotechnika

Za pojęciem socjotechniki stoją różnego rodzaju metody manipulacji. Przestępcy podszywają się pod znane osoby, firmy, banki, instytucje publiczne. W ten sposób próbują wzbudzić zaufanie ofiary i nakłonić ją, np. do:

• podania szczegółowych, często wrażliwych informacji na swój temat, takich jak: dane dowodu, PIN do karty, login i hasło do bankowości internetowej;
• kliknięcia linku, np. który przenosi na fałszywą stronę logowania do banku;
• przelania konkretnej kwoty na wskazane konto.

Ataki socjotechniczne mogą przyjmować bardzo różne formy, m.in.:

• pretexting;
• phishing;
• spoofing;
• przynęta (baiting).

Każdy z tych sposobów to granie na emocjach ofiary i szukanie jej słabych punktów. Przestępcy najczęściej działają z zaskoczenia. Próbują wywołać strach i/lub wzbudzić chęć posiadania. Ponaglają ofiarę, np. jeśli nie poda natychmiast danej informacji, straci wszystkie swoje oszczędności lub szansę na fortunę. To logiczne, w pośpiechu trudniej jest zachować zdrowy rozsądek i wyłapać istotne niuanse, a zdecydowanie łatwiej popełnić błąd, np. kliknąć link.

Często celem są także osoby poszukujące miłości. Oszust rozkochuje w sobie ofiarę, wzbudza jej zaufanie, a następnie znika z jej pieniędzmi.

Atak socjotechniczny – przykład

Aby lepiej zobrazować problem, poniżej prezentujemy typowy przykład takiego ataku. W tym przypadku oszusci podszywają się pod popularną platformę ogłoszeniową – OLX. Schemat działa w następujący sposób, ofiara dodaje nowe ogłoszenie na platformie. Oszust po pojawieniu się ogłoszenia, sprawdza podany numer telefonu i wysyła SMS jak poniżej:

Już na pierwszy rzut oka mamy kilka „Red Flag”, po pierwsze zamiast OLX jest 0LX – oszust zamienił „O” na „0”. Po drugie „support”, w przypadku polskiej platformy nazwa powinna być polska. Po trzecie, link prowadzący do strony trzeciej. Ten przykład to mocno nieudolna próba wyłudzenia, jednak często oszuści są sprytniejsi. Link do strony potrafi przypominać do złudzenia prawdziwą stronę np. zamiast OLX.PL otrzymujemy link do 0LX.PL Lub OIX.PL. Przy dłuższym link można nie zauważyć różnicy. Do najpopularniejszych ataków tego typu należą wyłudzenia na kuriera i prośba o dopłatę do przesyłki pod groźbą zatrzymania paczki.

Ataki socjotechniczne to temat bardzo szeroki, dlatego poświęciliśmy mu osobny artykuł.

Oszustwa internetowe – Wirus komputerowy

Poprzez kliknięcie linku podanego w fałszywej wiadomości e-mail lub SMS możemy zostać przekierowani na stronę, która tylko z pozoru przypomina, np. stronę logowania do bankowości internetowej. Jeśli wpiszemy jakieś dane na takiej stronie – trafią one w ręce cyberprzestępcy.

Warto jednak wiedzieć, że klikanie linków lub otwieranie załączników niewiadomego pochodzenia niesie ze sobą jeszcze jedno niebezpieczeństwo – zainfekowanie swojego urządzenia złośliwym oprogramowaniem. Najczęściej jest to mały plik, który możemy przenieść na swoje urządzenie, m.in.:

• pobierając grę, czy film z podejrzanej strony;
• podpinając, np. zainfekowanego pendrive’a;
• klikając link z wiadomości.

 W zależności od rodzaju wirusa może on, m.in.:

• odczytać, jakie znaki wprowadzamy na klawiaturze;
• ograniczać funkcje komputera;
• rozsyłać wiadomości z naszych kont społecznościowych;
• wykradać różnego rodzaju dane;
• zamienić wpisywany numer rachunku.

Słabe hasła, czyli lekkomyślność ofiary

Co jakiś czas w mediach pojawiają się informacje o wycieku danych, np. ostatnio dotyczyło to laboratorium ALAB. W obliczu takich doniesień zwykły Kowalski może dojść do wniosku, że bez sensu jest wprowadzać szczególne środki ochrony, (np. wymyślać skomplikowane hasła) jak hakerzy i tak mogą złamać każde zabezpieczenie.

Oczywiście, nie jesteśmy w stanie ochronić się w 100%, jednak ustawiając hasła typu: 123456, zawierające datę urodzenia, czy swoje imię i nazwisko lub używając tego samego hasła wszędzie, niejako wystawiamy się cyberprzestępcom na tacy. Silne hasło jest trudniejsze do złamania. Pokonanie takiej bariery może zająć hakerom więcej czasu, a czasem nawet udaremnić ich atak.

Jak oszuści wyłudzają pieniądze? – przykłady

Nikt nie chce paść ofiarą oszusta. Jesteśmy coraz bardziej podejrzliwi i cyberprzestępcy też o tym wiedzą. Dlatego oszuści są coraz bardziej wyrachowani. Ich „pomysłowość” naprawdę nie zna granic. Kradną wizerunki znanych firm, banków, a także instytucji publicznych. Wymyślają przeróżne preteksty, by zwabić ofiarę.

Z potencjalną ofiarą kontaktują się różnymi kanałami: SMS, e-mail, komunikatory. Zamieszczają oszukańcze reklamy i fake newsy w wyszukiwarkach oraz w mediach społecznościowych.

Nie sposób przytoczyć wszystkich oszustw, zwłaszcza że co chwila przestępcy wymyślają coś nowego. By pokazać typowy mechanizm działania, poniżej prezentujemy tylko kilka oszustw internetowych, jakie miały miejsce w 2023 roku.

Okazje cenowe i fałszywa sprzedaż

W mediach społecznościowych co jakiś czas wyświetlają się posty informujące o specjalnej ofercie lub wielkiej wyprzedaży w znanym sklepie. Jednak nie zawsze ich autorem jest dany sklep, nawet jeśli w poście znajduje się logo marki, a strona wygląda bardzo wiarygodnie. Co gorsza, na takiej platformie można nawet przeglądać produkty i „normalnie” złożyć zamówienie. Jednak, jak łatwo się domyślić, nie otrzymamy zakupionych produktów, a wpisane dane osobowe, czy dane karty płatniczej staną się łupem oszustów.

Oszustwa internetowe na Pocztę Polska, InPost, DHL i inne firmy kurierskie

Ten typ przestępstw zyskuje na sile zwłaszcza w okresach przedświątecznych, kiedy rośnie ilość zakupów internetowych. Wszyscy czekają na przesyłki i wiadomości od firmy kurierskiej.

Oszuści rozsyłają SMS-y, w których informują, np. o konieczności dokonania opłaty celnej, dopłaty za przesyłkę, przekierowania paczki, potwierdzenie adresu itp. Niewykonanie polecenia oznacza niedostarczenie paczki. Przykład takiego SMS’a poniżej:

W wiadomości znajduje się link, za pośrednictwem którego można szybko uregulować płatność (najczęściej kwota, jaką trzeba uiścić, jest niewielka) lub podać niezbędne dane. Podana strona do złudzenia może przypominać stronę oficjalną danej firmy, a potem także stronę operatora szybkich płatności (np. DotPay, Blue Media, PayU). Jednak w rzeczywistości wszystko to podpucha, a podane dane i/lub wpłacone pieniądze trafiają w ręce oszusta.

Na tej samej zasadzie cyberprzestępcy podszywają się pod dostawców usług, np. PGE, Orange, PGNiG, Play, a także banki oraz strony rządowe. Schemat jest podobny, różni się tylko powód. Adresat otrzymuje wówczas informacje, np. o:

• nieuregulowanej fakturze, czy długu;
• zablokowaniu dostępu do konta, karty lub aplikacji.

Oszustwa internetowe na kryptowaluty

Z jednej strony tematy inwestycyjne (zwłaszcza te dotyczące kryptowalut) dla wielu osób są niezrozumiałe. Z drugiej zaś kuszą wysokimi zyskami w krótkim czasie. Takie połączenie sprawia, że przestępcy mają naprawdę sporo możliwości. Tego typu oszustwo przyjmuje różne formy.

Czasem schemat działania jest dość prosty. Dla przykładu: cyberprzestępcy, podszywając się pod giełdę kryptowalut Binance, wysyłali SMS-y informujące o konieczności uwierzytelnienia konta, grożąc ich wyłączeniem. W wiadomości znajdował się link kierujący do fałszywej strony.

Zdarza się jednak, że oszuści są bardziej wyrachowani i potrafią ciągnąć całą sprawę miesiącami. O takim przypadku można przeczytać na stronie Policji Dolnośląskiej.

Cyberprzestępcy przez kilka miesięcy kontaktowali się z 57-letnim mężczyzną za pomocą rozmów telefonicznych, wiadomości e-mail i poprzez komunikatory internetowe. Przekazywali mu instrukcje, jak inwestować i namówili go do zainstalowania na swoim urządzeniu aplikacji do zdalnego dostępu. W efekcie mężczyzna stracił prawie 90 tys. złotych.

Atakujący mogą podawać różne powody (np. konieczność potwierdzenia tożsamości, zapłaty podatku), żeby wyłudzić pieniądze. Tworzą fałszywe giełdy kryptowalut, które tylko z pozoru wyglądają wiarygodnie. Nie brakuje też oszustów, którzy działają legalnie, ale ich celem jest tylko wyłudzenie pieniędzy.

Na szczęście na rynku są także prawdziwe, uczciwie działające giełdy kryptowalut. Warto zatem przed wysłaniem jakichkolwiek pieniędzy zaznajomić się z tematem inwestowania. A potem sprawdzić dokładnie firmy i wybierać tylko te z pewną reputacją.

Pamiętajmy, że inwestycje wiążą się z ryzykiem. Każda niepowtarzalna oferta szybkiego i pewnego zysku powinna wzbudzić nasze podejrzenie.

Złośliwe oprogramowanie w e-mailach z banku

Odbiorca otrzymuje e-mail w banku. W załączniku znajduje się dokument, np. ze szczegółami przelewu. Tak naprawdę ten plik zawiera złośliwe oprogramowanie. W 2023 roku oszuści w ten sposób podszywali się pod banki z naszego rankingu kont osobistych, m.in. pod Bank Millennium, Bank Pekao, PKO BP.

Newsy na Facebooku i oszustwo, np. „na BLIK-a”

Oszuści wykorzystują ludzką ciekawość. Publikują w mediach społecznościowych posty z sensacyjnymi informacjami. Post zawiera tylko zachęcający tytuł. By przeczytać artykuł lub obejrzeć zdjęcia, czy film, trzeba kliknąć link, a następnie zalogować się do konta na Facebooku. W ten sposób cyberprzestępca przejmuje konto ofiary, a potem może przesyłać w jej imieniu, np. wiadomości, których celem jest wyłudzenie pieniędzy.

W tym scenariuszu oszuści wykorzystywali często rosnącą popularność BLIK-a. Posługując się wizerunkiem ofiary, prosili osoby z grona jej znajomych o pomoc finansową. Jako najlepszą formę przesłania środków wskazywali kod BLIK. Znajomy podawał kod i dokańczał transakcję. Oczywiście pieniądze trafiały nie do znajomego, a do oszusta.

Oszustwo na OLX

W tym przypadku przestępca zgłasza się do wystawiającego, np. za pomocą komunikatora lub poprzez SMS-a i wykazuje chęć zakupienia danego towaru/usługi. Namawia go przy tym do zakończenia transakcji poprzez kliknięcie załączonego linku lub zapoznania się ze szczegółami płatności. W efekcie ofiara podaje, np. dane karty razem z kodem autoryzacyjnym, przez co oszust zyskuje do niej dostęp.

Na tego typu oszustwa powinni być wyczuleni nie tylko użytkownicy OLX, ale także innych platform ogłoszeniowych i sprzedażowych, np. Vinted. Każda prośba o wejście w zewnętrzny link powinna wzbudzić nasze podejrzenie.

Przykład oszustwa „no OLX” poniżej:

Oszustwa internetowe „na ankietę”

Cyberprzestępcy podszywali się pod banki, m.in. Credit Agricole, PKO BP, Bank Millennium. Można było zgarnąć kilkadziesiąt lub nawet kilkaset złotych tylko za wypełnienie ankiety. Po kliknięciu linku ofiara trafiała na stronę z ankietą, a potem celem identyfikacji na stronę logowania banku. Oczywiście dalszy przebieg sprawy jest łatwy do przewidzenia – brak nagrody, wyłudzenie danych, wyczyszczenie konta.

Fałszywe reklamy w wyszukiwarkach

Przestępcy podszywają się, np. pod banki i tworzą strony przypominające te oficjalne.  Następnie wykupują reklamy, np. w Google, Bing. Dzięki nim trafiają na samą górę wyników wyszukiwania i są łatwo dostępne. Ofiara klika link, który kieruje ją na stronę logowania i podaje niezbędne dane, które w rzeczywistości trafiają do oszusta.

Jak widać, schemat działania za każdym razem jest podobny, a cel jeden – wyłudzenie danych i/lub pieniędzy. Różne są natomiast, tzw. wabiki lub straszaki. Oprócz ww. atakujący próbowali zwabić swoje ofiary, np.:

• kuponami paliowymi;
• kuponami na przejazdy PKP Intercity;
• atrakcyjną ofertą pobytu w hotelu, pensjonacie (tzw. oszustwo na wirtualny pensjonat);
• organizując fałszywe zbiórki pieniędzy;
• koniecznością akceptacji nowego regulaminu, np. Allegro;
• informacją o nieopłaconym mandacie i możliwym skierowaniu sprawy do sądu;
• bonami zakupowymi, np. do Żabki,
• nieodebranym świadczeniem, np. z ZUS;
• informacjami o błędzie w fakturze i możliwością otrzymania zwrotu;
• aktywacją nowego systemu lub usługi;
• informacjami o nietypowej aktywności na koncie;
• niepowodzeniu płatności;
• informacjami o rozliczonym zeznaniu podatkowym.

Jak odzyskać pieniądze i gdzie zgłosić oszustwo internetowe?

Patrząc z boku na scenariusz danego przestępstwa, często zastanawiamy się, jak można być tak naiwnym i dać się oszukać? Jednak, jak widać powyżej, przestępcy stosują różne sztuczki. Mają swoje triki i na tych łatwowiernych, i tych bardziej „opornych”. Pośpiech, strach, pragnienie miłości, chęć zysku – to wszystko może uśpić naszą czujność. Co zrobić, kiedy zorientujemy się, że padliśmy ofiarą oszusta?

Często w takiej sytuacji czujemy się bezradni. Nie warto jednak się poddawać. Jeśli nic z tym nie zrobimy, to: po pierwsze – na pewno nie odzyskamy swoich pieniędzy, a po drugie – przestępcy bezkarnie będą działać dalej i oszukiwać kolejne osoby. Trzeba zatem podjąć konkretne kroki:

1.     Kontakt z bankiem

Zatem, w sytuacji podejrzenia wyłudzenia danych i/lub pieniędzy najpierw (najszybciej jak to możliwe) należy skontaktować się ze swoim bankiem. Trzeba poinformować o próbie oszustwa (czasem da się ją nawet udaremnić), zastrzec karty itp. oraz zmienić dane do logowania.

Warto także zgłosić w banku reklamację. Jeśli doszło do tzw. nieautoryzowanej transakcji płatniczej, to zgodnie z ustawą o usługach płatniczych (rozdział 2), bank ma obowiązek zwrócić właścicielowi rachunku pełną kwotę operacji. Więcej o procedurze chargeback w dedykowanym artykule.

2.     Zgłoszenie w CERT Polska

Przypadkami oszustw internetowych zajmuje się także zespół CERT Polska. Wypełnia on obowiązki opisane w art. 26 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa, czyli, m.in.:

• monitoruje zagrożenia cyberbezpieczeństwa;
• aktywnie reaguje na zgłoszone incydenty;
• rozwija narzędzia i metody wykrywania oraz zwalczania zagrożeń cyberbezpieczeństwa;
• wydaje komunikaty o zidentyfikowanych zagrożeniach;
• prowadzi działania informacyjno-edukacyjne mające na celu wzrost świadomości o bezpieczeństwie w sieci.

Instrukcję, jak zgłosić incydent, znajdziecie na stronie CERT Polska.

3.     Zgłoszenie oszustwa internetowego na policję lub do prokuratury

Nawet jeśli przeczuwamy, że nie ma szans na odzyskanie pieniędzy, warto zgłosić się na policję lub do prokuratury i złożyć zawiadomienie o możliwości popełnienia przestępstwa. Najlepiej zabrać ze sobą wszelkie możliwe dowody, np. wydruk aukcji/oferty, nazwę domeny, adres linku, wydruk korespondencji, itp. Być może jest więcej osób oszukanych w ten sposób, a kolejny materiał dowodowy zwiększy szansę ujęcia przestępców i będzie przestrogą dla innych.

Oszustwa internetowe – jak nie dać się oszukać?

Choć przestępcy często są naprawdę sprytni, to kradzieży z konta da się uniknąć. Jak? Oprócz zachowania ogólnie pojętej czujności i zdrowego rozsądku warto przestrzegać kilku konkretnych zasad:

• Nigdy nie podawać swoich danych do logowania osobom trzecim. Pracownik banku lub instytucji publicznej nigdy nie poprosi o login i hasło do konta!
• Nie klikać linków i nie otwierać załączników niewiadomego pochodzenia.
• Sprawdzać domeny stron internetowych i adresy e-mail. Często wyglądają łudząco podobnie do tych oficjalnych, ale zawierają drobne błędy, przestawione, czy powielone litery lub mają inną końcówkę (np. com zamiast pl).
• Korzystać z programów antywirusowych i je aktualizować.
• Stosować silne hasła i zmieniać je cyklicznie, np. co 30 dni.
• Sprawdzać informacje dotyczące nowych metod oszustw, np. na stronie CERT Polska.  
• W miarę możliwości korzystać z dwuskładnikowego uwierzytelniania.
• Nie wierzyć w niepowtarzalne „super okazje” (nikt nie da nam nic za darmo).
• Przed przesłaniem pieniędzy, podaniem kodu BLIK i jakichkolwiek danych sprawdzać tożsamość dzwoniącej lub piszącej do nas osoby, zwłaszcza gdy  nawołuje nas do podjęcia natychmiastowego działania. W tym celu najlepiej skorzystać z innego kanału kontaktu.
• Używać legalnego oprogramowania.

Każdy może stać się celem oszustów, zwłaszcza że najczęściej działają oni na masową skalę. Warto więc zawsze zachowywać zdrowy rozsądek i kierować się zasadą ograniczonego zaufania.