Osoby czytające wydania polityki

„Polityka”. Największy tygodnik w Polsce.

Wiarygodność w czasach niepewności.

Subskrybuj z rabatem
Edukator Ekonomiczny

Pieniądze łapane w sieci

Wyłudzanie bankowych haseł i danych kart płatniczych to coraz większe zagrożenie w internecie

Tumblr
Kto choć na chwilę zapomni o zasadach bezpieczeństwa, może stracić mnóstwo pieniędzy, a złodziei nigdy nie znajdzie. Jak tego uniknąć?
Próby wyłudzeń poufnych informacji będą coraz częstsze, skoro bankowość internetowa stała się już standardem.Marek Sobczak/Polityka Próby wyłudzeń poufnych informacji będą coraz częstsze, skoro bankowość internetowa stała się już standardem.
materiały prasowe

Artykuł w wersji audio

Uwaga! Dostęp do Twojego konta został zablokowany z powodu naruszenia procedur. Aby go odblokować, kliknij poniższy link i przejdź na stronę logowania”. E-mail takiej lub podobnej treści dostał przynajmniej raz prawie każdy. Jeśli jako jego nadawca widnieje bank, w którym nie mamy konta, po prostu go kasujemy. Kiedy jednak komunikat wygląda, jakby pochodził z naszego banku, niemal automatycznie chcemy kliknąć w link, aby sprawdzić, co się stało. Jesteśmy zaniepokojeni, czy nasze pieniądze są bezpieczne. Na to właśnie liczą oszuści, którzy upodobali sobie metodę phishingu, aby wzbogacić się naszym kosztem.

Phishing to angielski termin powstały z połączenia słów password (hasło) i fishing (rybołówstwo, wędkowanie). Nazwy nawiązującej do łowienia ryb ta metoda dorobiła się nieprzypadkowo. Przestępcy zainteresowani hasłami klientów instytucji finansowych rozsyłają pocztą elektroniczną ogromne ilości fałszywych wiadomości, co przypomina zarzucanie sieci, a później tylko czekają na nie dość zorientowanych, którzy w nie wpadną.

Oszuści się uczą

Najtrudniejszym zadaniem dla oszustów jest przekonanie ofiary, że powinna natychmiast skontaktować się elektronicznie ze swoim bankiem. Muszą bowiem spreparować wiadomość jak najbardziej przypominającą oficjalny komunikat instytucji finansowej. Jeszcze kilka lat temu fałszywe e-maile pisane były z wieloma błędami językowymi i wyglądały tak nieprofesjonalnie, że już na pierwszy rzut oka wzbudzały podejrzenia. Niestety, teraz przestępcy działają dużo skuteczniej. Wykorzystują oryginalne znaki graficzne i czcionkę charakterystyczną dla danego banku. Co więcej, zamieszczają oryginalne ostrzeżenia bankowców, aby uważać na wyłudzających dane! Coraz trudniej zatem odróżnić atak phishingowy od prawdziwego komunikatu banku.

Oszuści poprzez phishing najczęściej próbują najpierw wyłudzić potrzebne do logowania w serwisie transakcyjnym nazwę użytkownika i hasło. Kto poda je na fałszywej stronie, na którą kieruje link, dostaje informację, że dostęp został odblokowany, więc zapomina o całej sprawie. Przestępcy zaś mają już podstawowe dane. One wciąż jednak nie wystarczają, aby ukraść z konta pieniądze. Banki stosują bowiem zwykle dodatkowe zabezpieczenia internetowego zlecenia przelewu. Kiedyś najpopularniejsze były hasła jednorazowe przysyłane przez banki pocztą, teraz dominują esemesowe. Naciągacze proszą zatem często nie tylko o login i hasło, ale także o numer telefonu. Przesyłają ofierze jakiś komunikat, zachęcający czy wręcz mający zmusić do zainstalowania specjalnej aplikacji chroniącej przed wirusami, która tak naprawdę przechwytuje hasła jednorazowe wysyłane przez bank. Teraz już sprawa jest prosta: złodzieje logują się na konto ofiary, zlecają przelew i kiedy dostają hasło, mogą go zrealizować. Oszuści nie dopracowali jednak tej metody: esemes trafia oczywiście także na telefon właściciela konta. Jeśli zatem dostaniemy hasło, mimo że nie zlecamy żadnego przelewu, powinniśmy natychmiast zatelefonować do swojego banku i zgłosić, że prawdopodobnie ktoś właśnie próbuje nas okraść.

Bazując na pomyśle fałszywych e-maili od banków, oszuści rozsyłają także informacje, że klient ma kłopot z kartą płatniczą. I oczywiście proszą o podanie jej numeru, daty ważności oraz trzycyfrowego kodu zabezpieczającego CVV wydrukowanego na każdej debetówce czy kredytówce. Czyli danych wystarczających do robienia zakupów w internecie. A takich transakcji nie trzeba potwierdzać kodami esemesowymi. Oszuści podszywają się także pod popularne serwisy aukcyjne czy pośredników płatności.

Czasem wykorzystywana jest jeszcze inna metoda phishingu, polegająca na rozsyłaniu spreparowanych komunikatów z załącznikiem. Oszuści zachęcają do jego otwarcia, twierdząc, że zawiera ważne informacje. W rzeczywistości jest to koń trojański – odmiana wirusa, umożliwiająca złodziejom dostęp do komputera ofiary albo podmieniająca numery kont. Często zlecamy przelewy, kopiując najpierw numer konta odbiorcy do schowka, a następnie wklejając go w serwisie transakcyjnym. Wirus powoduje, że wklejony zostaje nie oryginalny, a zmieniony numer, zatem pieniądze zostają przesłane na konto przestępców. Ta metoda okazuje się bardzo skuteczna, bo mało kto sprawdza, czy przekopiowany został właściwy numer. Poza tym wiele osób nie wie, że ich komputer został zainfekowany, bo nie ma aktualnego oprogramowania antywirusowego.

Phishingiem zagrożony jest dziś właściwie każdy, ale szczególnie muszą się mieć na baczności klienci dużych banków. Wynika to z bardzo prostego mechanizmu. Skoro przestępcy wysyłają swoje podrobione wiadomości na ślepo, dużo większe jest prawdopodobieństwo, że trafią one do osób posiadających konto w największych bankach.

O rosnącej popularności takich wyłudzeń świadczą statystyki Komendy Głównej Policji. W 2014 r. zanotowano prawie 600 przestępstw związanych z bankowością elektroniczną, w tym ponad 80 dokonanych za pomocą phishingu. Przez dziewięć miesięcy 2015 r. w bankowości elektronicznej doszło do ponad 700 przestępstw, w tym przynajmniej 73 phishingowych. Policjanci przyznają, że rzeczywiste dane mogą być dużo wyższe. Wiele oszukanych osób nigdzie nie zgłasza swoich strat, ze wstydu, że tak łatwo dały się wyprowadzić w pole złodziejom. Banki najczęściej nie płacą żadnych rekompensat poszkodowanym, powołując się na to, że często ostrzegają przed taką formą wyłudzenia danych. Rzeczywiście uczulają, aby nikomu nie podawać pod jakimkolwiek pretekstem loginu czy hasła, a kartą płacić tylko na szyfrowanych stronach pewnych sklepów internetowych.

Klienci muszą uważać

Próby ścigania złodziei wykorzystujących phishing są nieskuteczne. Błyskawicznie zamykają oni swoje konta i znikają bez śladu. Banki starają się jak najszybciej blokować fałszywe serwisy, do złudzenia przypominające oficjalne strony internetowe. Jednak czasem w ciągu zaledwie kilku godzin działania takiej witryny, znajdującej się na serwerze w odległym kraju, można złowić dane sporej grupki naiwnych klientów. A jeśli się nie uda, nic straconego. Podobną operację można przecież powtarzać, umiejętnie zacierając za sobą ślady. Policja i prokuratura wobec phishingu pozostają bezradne.

Żeby uniknąć kłopotów, wystarczy pamiętać o kilku podstawowych zasadach. Po pierwsze, żaden bank na pewno nie prześle e-mailem żadnej wiadomości z linkiem prowadzącym do serwisu weryfikującego klienta, w którym prosi się o podanie loginu i hasła. Możemy jedynie dostać wiadomość, w której znajdzie się odesłanie do strony, na której instytucja finansowa zachęca do skorzystania z promocji lub zapoznania się z nowym produktem. Zawsze zatem warto sprawdzić, jak ów link jest skonstruowany. To najłatwiejsze, jeśli jest podany w formie tekstowej – wystarczy go tylko przeczytać. Jeśli zaś ma formę grafiki lub napisu „kliknij tutaj”, trzeba najechać myszką i po chwili w dymku ukaże się adres www. W fałszywym e-mailu nie będzie on taki sam jak oficjalnej witryny banku: znajdą się w nim np. dodatkowe znaki poprzedzone ciągiem „http://” zamiast „https://”. Pamiętajmy: banki wykorzystują wyłącznie ten drugi – umieszczona na końcu litera „s” informuje, że jest to bezpieczne połączenie szyfrowane. Trzeba też uważnie czytać ostrzeżenia zamieszczane przez banki. Te, pod które podszywają się przestępcy, zazwyczaj szybko informują klientów o fałszywych wiadomościach, pokazując i wyjaśniając, czym one się różnią od oficjalnych komunikatów.

Po drugie, zablokowanie serwisu transakcyjnego może się rzeczywiście zdarzyć, na przykład po wpisaniu zbyt wiele razy niewłaściwego hasła. Informacja o tym pojawi się jednak w serwisie, a nie przyjdzie e-mailem. Aby dostęp został odblokowany, a hasło ustawione na nowo, trzeba skontaktować się z oficjalną infolinią banku i podać konsultantowi wymagane informacje identyfikacyjne.

Po trzecie, bank nigdy nie zażąda poprzez pocztę elektroniczną, aby podać mu login i hasło czy dane dotyczące karty płatniczej. Takiego prawa nie ma nawet pracownik banku. Niestety, w ostatnich latach zdarzały się sytuacje, kiedy banki, zacięcie walcząc o nowych klientów, zachęcały osoby korzystające z usług konkurencji do podania im loginu i hasła do bankowości internetowej, kusząc specjalną ofertą i obietnicą łatwego przeniesienia wszystkich danych ze starego konta na nowe. Takie działania były oczywiście krytykowane przez Komisję Nadzoru Finansowego (KNF). A kiedy niektóre banki mimo to nie chciały ich zaprzestać, KNF formalnie ich zakazała. Stały one bowiem w sprzeczności z podstawową zasadą bezpieczeństwa w sieci. Jeśli żelazna reguła niepodawania loginu i hasła choć raz zostaje złamana, klient przestaje mieć się na baczności. Dużo łatwiej może wtedy paść ofiarą oszustów stosujących na przykład phishing, myśląc, że to może konkurencja próbuje mu przedstawić lepszą ofertę.

Próby wyłudzeń poufnych informacji będą coraz częstsze, skoro bankowość internetowa stała się już standardem. Nie bez znaczenia jest także rosnąca popularność bankowości mobilnej – ona właśnie znajdzie się na celowniku oszustów. Przejęcie kontroli nad czyjąś komórką jest prawdziwym marzeniem oszustów, bo nie dość, że przychodzą na nią esemesy z kodami potwierdzającymi transakcję, to jednocześnie ma ona zainstalowaną aplikację bankowości mobilnej. Poza tym smartfony są chronione dużo słabiej niż komputery wyposażone zwykle w oprogramowanie antywirusowe. Nowoczesny aparat w starciu z podejrzanymi aplikacjami jest najczęściej bezbronny, jeśli nie zainstalujemy w nim odpowiednich aplikacji zabezpieczających przed wirusami. Wszyscy powinniśmy więc mieć się na baczności jeszcze bardziej niż dotąd. Inaczej zostaniemy złowieni.

***

„Edukatory Ekonomiczne” ukazały się dotychczas w wydaniach POLITYKI: 51/10, 4/11, 9/11, 30/11, 35/11, 39/11, 43/11, 47/11, 51/11, 38/12, 42/12, 46/12, 50/12, 3/13, 7/13, 11/13, 43/13, 47/13, 50/13, 3/14, 8/14, 12/14, 17/14, 48/14, 50/14, 3/15, 7/15, 11/15, 16/15, 20/15, 50/15

Polityka 4.2016 (3043) z dnia 19.01.2016; Edukator ekonomiczny; s. 50
Oryginalny tytuł tekstu: "Pieniądze łapane w sieci"
Więcej na ten temat
Reklama

Czytaj także

null
Ja My Oni

Jak dotować dorosłe dzieci? Pięć przykazań

Pięć przykazań dla rodziców, którzy chcą i mogą wesprzeć dorosłe dzieci (i dla dzieci, które wsparcie przyjmują).

Anna Dąbrowska
03.02.2015
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną