Wyłudzanie bankowych haseł i danych kart płatniczych to coraz większe zagrożenie w internecie
Pieniądze łapane w sieci
Kto choć na chwilę zapomni o zasadach bezpieczeństwa, może stracić mnóstwo pieniędzy, a złodziei nigdy nie znajdzie. Jak tego uniknąć?
Próby wyłudzeń poufnych informacji będą coraz częstsze, skoro bankowość internetowa stała się już standardem.
Marek Sobczak/Polityka

Próby wyłudzeń poufnych informacji będą coraz częstsze, skoro bankowość internetowa stała się już standardem.

materiały prasowe

Tumblr

audio

AudioPolityka Cezary Kowanda - Pieniądze łapane w sieci

Uwaga! Dostęp do Twojego konta został zablokowany z powodu naruszenia procedur. Aby go odblokować, kliknij poniższy link i przejdź na stronę logowania”. E-mail takiej lub podobnej treści dostał przynajmniej raz prawie każdy. Jeśli jako jego nadawca widnieje bank, w którym nie mamy konta, po prostu go kasujemy. Kiedy jednak komunikat wygląda, jakby pochodził z naszego banku, niemal automatycznie chcemy kliknąć w link, aby sprawdzić, co się stało. Jesteśmy zaniepokojeni, czy nasze pieniądze są bezpieczne. Na to właśnie liczą oszuści, którzy upodobali sobie metodę phishingu, aby wzbogacić się naszym kosztem.

Phishing to angielski termin powstały z połączenia słów password (hasło) i fishing (rybołówstwo, wędkowanie). Nazwy nawiązującej do łowienia ryb ta metoda dorobiła się nieprzypadkowo. Przestępcy zainteresowani hasłami klientów instytucji finansowych rozsyłają pocztą elektroniczną ogromne ilości fałszywych wiadomości, co przypomina zarzucanie sieci, a później tylko czekają na nie dość zorientowanych, którzy w nie wpadną.

Oszuści się uczą

Najtrudniejszym zadaniem dla oszustów jest przekonanie ofiary, że powinna natychmiast skontaktować się elektronicznie ze swoim bankiem. Muszą bowiem spreparować wiadomość jak najbardziej przypominającą oficjalny komunikat instytucji finansowej. Jeszcze kilka lat temu fałszywe e-maile pisane były z wieloma błędami językowymi i wyglądały tak nieprofesjonalnie, że już na pierwszy rzut oka wzbudzały podejrzenia. Niestety, teraz przestępcy działają dużo skuteczniej. Wykorzystują oryginalne znaki graficzne i czcionkę charakterystyczną dla danego banku. Co więcej, zamieszczają oryginalne ostrzeżenia bankowców, aby uważać na wyłudzających dane! Coraz trudniej zatem odróżnić atak phishingowy od prawdziwego komunikatu banku.

Oszuści poprzez phishing najczęściej próbują najpierw wyłudzić potrzebne do logowania w serwisie transakcyjnym nazwę użytkownika i hasło. Kto poda je na fałszywej stronie, na którą kieruje link, dostaje informację, że dostęp został odblokowany, więc zapomina o całej sprawie. Przestępcy zaś mają już podstawowe dane. One wciąż jednak nie wystarczają, aby ukraść z konta pieniądze. Banki stosują bowiem zwykle dodatkowe zabezpieczenia internetowego zlecenia przelewu. Kiedyś najpopularniejsze były hasła jednorazowe przysyłane przez banki pocztą, teraz dominują esemesowe. Naciągacze proszą zatem często nie tylko o login i hasło, ale także o numer telefonu. Przesyłają ofierze jakiś komunikat, zachęcający czy wręcz mający zmusić do zainstalowania specjalnej aplikacji chroniącej przed wirusami, która tak naprawdę przechwytuje hasła jednorazowe wysyłane przez bank. Teraz już sprawa jest prosta: złodzieje logują się na konto ofiary, zlecają przelew i kiedy dostają hasło, mogą go zrealizować. Oszuści nie dopracowali jednak tej metody: esemes trafia oczywiście także na telefon właściciela konta. Jeśli zatem dostaniemy hasło, mimo że nie zlecamy żadnego przelewu, powinniśmy natychmiast zatelefonować do swojego banku i zgłosić, że prawdopodobnie ktoś właśnie próbuje nas okraść.

Bazując na pomyśle fałszywych e-maili od banków, oszuści rozsyłają także informacje, że klient ma kłopot z kartą płatniczą. I oczywiście proszą o podanie jej numeru, daty ważności oraz trzycyfrowego kodu zabezpieczającego CVV wydrukowanego na każdej debetówce czy kredytówce. Czyli danych wystarczających do robienia zakupów w internecie. A takich transakcji nie trzeba potwierdzać kodami esemesowymi. Oszuści podszywają się także pod popularne serwisy aukcyjne czy pośredników płatności.

Czasem wykorzystywana jest jeszcze inna metoda phishingu, polegająca na rozsyłaniu spreparowanych komunikatów z załącznikiem. Oszuści zachęcają do jego otwarcia, twierdząc, że zawiera ważne informacje. W rzeczywistości jest to koń trojański – odmiana wirusa, umożliwiająca złodziejom dostęp do komputera ofiary albo podmieniająca numery kont. Często zlecamy przelewy, kopiując najpierw numer konta odbiorcy do schowka, a następnie wklejając go w serwisie transakcyjnym. Wirus powoduje, że wklejony zostaje nie oryginalny, a zmieniony numer, zatem pieniądze zostają przesłane na konto przestępców. Ta metoda okazuje się bardzo skuteczna, bo mało kto sprawdza, czy przekopiowany został właściwy numer. Poza tym wiele osób nie wie, że ich komputer został zainfekowany, bo nie ma aktualnego oprogramowania antywirusowego.

Phishingiem zagrożony jest dziś właściwie każdy, ale szczególnie muszą się mieć na baczności klienci dużych banków. Wynika to z bardzo prostego mechanizmu. Skoro przestępcy wysyłają swoje podrobione wiadomości na ślepo, dużo większe jest prawdopodobieństwo, że trafią one do osób posiadających konto w największych bankach.

O rosnącej popularności takich wyłudzeń świadczą statystyki Komendy Głównej Policji. W 2014 r. zanotowano prawie 600 przestępstw związanych z bankowością elektroniczną, w tym ponad 80 dokonanych za pomocą phishingu. Przez dziewięć miesięcy 2015 r. w bankowości elektronicznej doszło do ponad 700 przestępstw, w tym przynajmniej 73 phishingowych. Policjanci przyznają, że rzeczywiste dane mogą być dużo wyższe. Wiele oszukanych osób nigdzie nie zgłasza swoich strat, ze wstydu, że tak łatwo dały się wyprowadzić w pole złodziejom. Banki najczęściej nie płacą żadnych rekompensat poszkodowanym, powołując się na to, że często ostrzegają przed taką formą wyłudzenia danych. Rzeczywiście uczulają, aby nikomu nie podawać pod jakimkolwiek pretekstem loginu czy hasła, a kartą płacić tylko na szyfrowanych stronach pewnych sklepów internetowych.

Czytaj także

W nowej POLITYCE

Zobacz pełny spis treści »

Poleć stronę

Zamknij
Facebook Twitter Google+ Wykop Poleć Skomentuj