Nie każdy ma za dziadka JSON-a Neesona, tak jak Seba z naszego filmu. Ale każdy może pokazać dziadkowi, babci, rodzicom albo cioci nasz film i wytłumaczyć, o co w nim chodzi. Warto uświadamiać osoby wokół siebie, jakie zagrożenia czekają na nie w sieci i nie tylko. Zwłaszcza, że według badań już co drugi Polak zetknął się z oszustwem w Internecie. A jeśli nie chce Wam się szukać i wymyślać przykładów, poniżej podrzucamy ściągę. Nie musicie dziękować.
Metoda „na wnuczka”
Myślicie, że mało kto się na nią nabiera? No to jesteście w błędzie. Według Rzeczpospolitej tylko od 2020 każdego roku ofiarami tej metody pada ok. 4 tysięcy seniorów, którzy tracą przez to swoje oszczędności. To nie tylko kwestia naiwności doprowadza do takich sytuacji, ale także metody socjotechniczne, które stosują przestępcy. Na ofierze wywiera się telefonicznie ogromną presję, a także pozwala się uwierzyć, że to tylko od niej zależy dobro bliskiej jej osoby. A w stresie bardzo często tracimy zdrowy rozsądek, szczególnie jeśli nikt wcześniej nie uprzedził nas o tym, że naciągacze właśnie tak działają. Przed metodą „na wnuczka”, „na policjanta” czy „na lekarza” można jednak zabezpieczyć seniorów.
Jak z tym walczyć? Dobrą metodą jest ustalenie rodzinnego hasła, które znają najbliżsi członkowie rodziny i mają świadomość, że w przypadku takiego telefonu ktoś musi je im podać. Hasło może być proste i śmieszne, np. „żyrafy wchodzą do szafy”. Jeśli nie chcecie ustalać wspólnego hasła, to warto poinstruować seniora, aby w przypadku takiego telefonu po prostu rozłączył się i zadzwonił do osoby, której telefon dotyczył lub innej zaufanej osoby. Ważne jest również, aby w trakcie rozmowy nie podawać żadnych danych identyfikujących, ponieważ oszuści tylko czekają na to, aby wyciągnąć te informacje i wykorzystać je do uwiarygodnienia swojego przekrętu.
Spoofing
Warto zatrzymać się na chwilę i zwrócić uwagę na zjawisko, jakim jest spoofing. Jest to podszycie się pod numer telefonu innej instytucji lub osoby tak, aby wprowadzić rozmówcę/adresata w błąd. Do spoofingu można wykorzystać m.in. serwisy internetowe, które za opłatą umożliwiają wykonanie połączenia lub wysłanie wiadomości z dowolnego numeru telefonu. Metoda ta jest bardzo chętnie wybierana przez przestępców – według raportu firmy Keepnet Labs spoofing wykorzystywany jest w ok. 70% przypadków oszustw telefonicznych w USA. Właśnie dlatego nie należy do końca ufać komuś, kto dzwoni do nas spod szyldu banku lub np. policji, jak również uważnie przypatrywać się smsom podpisanym przez dostawcę paczek, operatora usług czy inną, dowolną instytucję. Nawet jeśli wiadomość wyświetla się w wątku pod prawdziwymi smsami od np. poczty. Tak jak w tym artykule od Niebezpiecznika.
Czy da się przechytrzyć spoofing? Może być trudno, ale jeśli zachowamy zdrowy rozsądek, to jest to możliwe. Jeśli nasz telefon pokazuje, że dzwoni do nas realny rozmówca (np. podpisany jako Biuro Obsługi, policja, szpital lub Infolinia Banku), ale rozmowa brzmi podejrzanie, to należy się rozłączyć i oddzwonić na numer oficjalnej infolinii danej instytucji.
Telefony z banku
Równie popularną metodą są telefony z banku (w roku 2022 metoda ta, wraz ze wspomnianą wcześniej metodą „na wnuczka” czy też „na policjanta”, doprowadziła do strat o łącznej wysokości ponad 140 mln złotych). Powody rozmowy są różne – czasem jest to zgłoszenie podejrzanego przelewu na dużą kwotę, innym razem informacja o złożeniu wniosku o pożyczkę/kredyt na nasze dane lub włamaniu się na nasze konto. Wszystkie powody mogą jednak łatwo sprawić, że komuś skoczy ciśnienie. Wspólnym elementem jest jednak konieczność weryfikacji rozmówcy poprzez podanie wrażliwych danych, których normalnie bank nie wymaga w rozmowie. Czasami dochodzi również prośba o zainstalowanie dodatkowego oprogramowania na smartfonie, poprzez które „pracownik banku” pomaga rozmówcy wyjść z opresji. Ofiara jest uspokojona, a tymczasem to dopiero wtedy zaczynają się prawdziwe problemy.
Co robić, gdy dzwoni obsługa banku i wypytuje o wrażliwe informacje? Przede wszystkim nie należy podawać rozmówcy żadnych danych, a także dokładnie wypytać, jak się nazywa, z jakiego banku i w jakiej sprawie dzwoni. Najlepiej jednak po prostu rozłączyć się i oddzwonić na oficjalną infolinię banku – jej numer znajdziemy chociażby na odwrocie naszej karty płatniczej. Na infolinii można potwierdzić, czy telefon z banku był realny i czy na naszym koncie coś się rzeczywiście wydarzyło. Warto również używać aplikacji bankowości elektronicznej i mieć włączone powiadomienia o transakcjach na koncie.
SMS-y z dopłatą
Czasami nadawcą wiadomości jest kurier, czasami Poczta Polska. Innym razem może to być dostawca usług albo OLX. Zasada działania jest jednak taka sama: treść SMS-a informuje o konieczności dopłaty do paczki lub usługi, bo w innym wypadku nie zostanie ona dostarczona/zrealizowana. Podany jest również krótki link, który pozwala na uregulowanie należności. Prawdopodobieństwo trafienia na kogoś, kto aktualnie oczekuje przesyłki, jest dość spore. Dlatego niektórzy bez zastanowienia klikają link i dokonują dopłaty (zwykle brakująca kwota nie przekracza kilku złotych). Tylko że paczki nie ma. Nadawcą nie jest firma kurierska. A dane płatności przeszły przez fałszywą stronę wprost w ręce naciągaczy (według najnowszej edycji raportu ESET Threat Report tego typu strony zajmują 4. miejsce wśród najpopularniejszych kategorii stron phishingowych, tuż za portalami społecznościowymi, systemami bankowości internetowej oraz stronami logowania do poczty email).
Przyszedł SMS i co dalej? Samo kliknięcie linku z wiadomości nie musi oznaczać, że wszyscy umrzemy. Warto jednak dokładnie sprawdzać, jak wygląda adres URL kryjący się pod linkiem. Jeśli wzbudza podejrzenia – po prostu zignorować wiadomość, a najlepiej zgłosić ją jako oszustwo.
Niezapłacona faktura
Nikt z nas nie lubi mieć długów, szczególnie jeśli może się to wiązać z odcięciem wody, prądu, gazu lub Netflixa (najgorzej). Dlatego ta metoda oszustwa wciąż działa. W fałszywej wiadomości najczęściej znajduje się link do pobrania faktury lub załącznik. Dalej możliwości są dwie: albo trafiamy na udawaną bramkę płatności i nieświadomie oddajemy swoje dane, albo pobieramy i otwieramy plik ze złośliwym oprogramowaniem (złośliwe oprogramowanie trafia do użytkowników w 94% przypadków właśnie drogą mailową), które zaszyfrowuje nam wszystko na dysku.
Przyszła faktura – czy odetną mi Netflixa? Zanim w panice klikniemy załącznik, warto wziąć go pod lupę. Przede wszystkim należy poszukać ukrytych rozszerzeń w nazwie pliku. Plik ma końcówkę .EXE lub nawet FAKTURA.PDF.EXE? Od razu do kosza. Nawet jeśli nic takiego na pierwszy rzut oka nie wypatrzymy, to i tak przed otwarciem pliku warto go przeskanować – np. dostępnym w sieci serwisem do skanowania podejrzanych plików i stron VirusTotal, który wykorzystuje jednocześnie ponad 70 skanerów antywirusowych.
Jeśli w mailu zamiast załącznika jest link do płatności – zamiast od razu klikać, lepiej najpierw niezależnie zalogować się na internetowe konto klienta danego serwisu i tam sprawdzić faktury oraz płatności.
Zaakceptuj zmiany w regulaminie
…bo jak nie, to zablokujemy Ci konto na [tutaj wstaw dowolną nazwę serwisu społecznościowego]. Najczęściej wiadomości towarzyszy link, który po kliknięciu przenosi nas na stronę logowania rzeczonego serwisu. Tam podajemy swoje dane, a nawet wpisujemy kod z uwierzytelniania dwuskładnikowego, co doskonale pokazuje nasze wideo o tym, że nie warto mieć jednego hasła do wszystkiego.
W każdym razie skutek jest jeden: oddajemy dane logowania do naszego konta w serwisie. Pół biedy, jeśli mieliśmy do niego osobny login i hasło – po prostu je stracimy i ewentualnie staniemy się narzędziem do kolejnych oszustw, o których piszemy poniżej. Ale jeśli mamy ten sam login i to samo hasło do wszystkich innych usług… to jesteśmy ugotowani, szczególnie gdy zorientujemy się za późno, że padliśmy ofiarą oszustwa.
Jak uniknąć utraty dostępu do konta w social mediach? Maile od naciągaczy mogą wyglądać bardzo realnie, ale jeśli po kliknięciu linku zostaliśmy przeniesieni na stronę logowania, to powinno to wzbudzić naszą czujność. Przede wszystkim należy sprawdzić adres URL – czy wygląda podejrzanie? A może zamiast „m” w nazwie, zostało użyte „rn”? Najpewniej jest po prostu niezależnie zalogować się na stronie danego serwisu, wpisując jego adres w pasek wyszukiwania. Jeśli rzeczywiście są jakieś zmiany w regulaminie do zaakceptowania, to na pewno pojawi się nam to w powiadomieniach.
Dziwne prośby na Facebooku
Z powyższym atakiem powiązany jest również inny rodzaj oszustwa, którego ofiarami najczęściej padają użytkownicy Facebooka (według ankiety przeprowadzonej przez firmę Lookout, 62% użytkowników tej platformy społecznościowej ma do czynienia z przekrętami minimum raz w tygodniu). Adresatami najczęściej są znajomi osób, którym przejęto dostęp do kont. Z takich kont wysyłane są wiadomości, np. z prośbą o pożyczenie pieniędzy BLIKiem. Jeśli akurat trafi się, że to nasz wieloletni przyjaciel wysyła taką prośbę, a my oddalibyśmy mu nerkę, a nie tylko kilka stówek – to szansa na powodzenie ataku jest duża. Jeśli nie zorientujemy się na etapie potwierdzania BLIKa w aplikacji (bo np. akurat się spieszymy albo po prostu ufamy swojemu znajomemu), to dopiero w historii transakcji może okazać się, że zamiast paru stów… straciliśmy kilka tysięcy.
Kolega/koleżanka z pracy pilnie prosi o BLIKa lub przelew na Facebooku czy Instagramie? Nawet jeśli dobrze znasz tę osobę, to i tak lepiej zadzwonić i zapytać, czy na pewno jest autorem/autorką tej wiadomości. Być może sam/sama nie wie, że w ogóle coś takiego rozsyła i że jego/jej konto zostało przejęte.
Wygrałeś, więc podaj mi swoje dane
Brzmi irracjonalnie? No to wyobraźcie sobie, że na fałszywą wygraną, np. na Facebooku, wciąż nabiera się mnóstwo osób (jest to najpopularniejszy przekręt w mediach społecznościowych według wyżej wspomnianego raportu firmy Lookout). Co więcej, posty i wiadomości o rzekomych wygranych były kiedyś masowo rozsyłane z kont, które podszywały się pod… HRejterów. Do odebrania wygranej oszuści wymagają podania danych do płatności w taki sposób, jakby to odbiorca miał jej dokonać. Co dzieje się dalej, to już możecie się domyślić. Ale na pewno zamiast wygrać niestety się przegrywa 🙁
Takie wiadomości najlepiej po prostu raportować jako oszustwo w serwisach, w których występują.
Fałszywe zbiórki
Niestety naciągacze żerują nie tylko na tym, że ludzie bywają roztargnieni, nieuważni lub zestresowani. Niektórzy oszuści wprost odwołują się do naszych dobrych instynktów. Zjawisko intensyfikuje się, gdy pojawia się sytuacja wymagająca globalnej i dużej akcji społecznej, np. obecny konflikt w Ukrainie. Potwierdzają to przykładowo dane pochodzące z Action Fraud (brytyjskiego krajowego centrum zgłaszania nadużyć finansowych i cyberprzestępczości), według których straty brytyjskich organizacji charytatywnych w wyniku fałszywych zbiórek w roku 2022 wzrosły o 44%. Dlatego warto pomagać mądrze i wybierać sprawdzone fundacje oraz portale, które mają rzetelną ścieżkę weryfikacji zbiórek. Dzięki temu jesteśmy w stanie sprawdzić, czy nasze pieniądze na pewno zostaną przekazane na właściwy cel, a także czy osoba prowadzącą zbiórkę (i sam potrzebujący/potrzebująca) w ogóle istnieje. Więcej na ten temat oraz temat oszustów na OLX mówi JSON w wideo poniżej:
Jak wystrzegać się fałszywych zbiórek? Dobrą praktyką jest najpierw zweryfikować stronę, na jakiej się znajdują. Czy jest to jakiś znany, duży serwis albo fundacja? Czy ma siedzibę, dane kontaktowe, czy odnajdziemy na stronie informacje na temat klarowności systemu przekazywania funduszy? Czy zbiórka jest oznaczona jako zweryfikowana? A jeśli link do zbiórki podesłał nam ktoś znajomy, warto zapytać, skąd ma link, czy zna osobę, która zbiera pieniądze i czy ma pewność, że sama zbiórka jest prawdziwa.
Twoja twarz brzmi znajomo
Nie wiemy, czy ten program rozrywkowy jest naciągany, ale jego nazwa doskonale obrazuje to, przed czym chcemy przestrzec. Rozwój technologii, a konkretnie sztucznej inteligencji, oprócz nowych możliwości przyniósł również nowe zagrożenia. Przykładowo, w formie deepfake. Technologia ta pozwala na podłożenie czyjejś twarzy lub głosu do spreparowanego wideo tak, by uzyskać realistyczny efekt. Myślisz: ale co to jest za zagrożenie? Jeśli zrobimy sobie taki filmik „dla beki”, to jedynym zagrożeniem jest zerwanie boków (he he). Ale co, jeśli ktoś spreparuje dwuznaczny materiał wideo z wykorzystaniem wizerunku małoletniego kuzyna lub kuzynki? Albo wyśle Twojej babci filmik ze szpitala, z Tobą w roli głównej, tylko po to, aby wyciągnąć od niej pieniądze? Wtedy zagrożenie staje się realne, prawda? Zwłaszcza, że zjawisko to nabiera globalnego rozpędu – udział technologii deepfake w oszustwach dotyczących kradzieży tożsamości w USA wzrósł 13-krotnie względem roku 2022. Dlatego warto uświadomić osoby wokół siebie o tym, że sztuczna inteligencja to nie tylko Terminator. A temat nie ogranicza się do seniorów, bo również nastolatki i dorośli mogą paść ofiarami tzw. deepfake sextortion.
Co zrobić, gdy ktoś podsyła podejrzane zdjęcia lub wideo z udziałem osoby nam znanej? Przede wszystkim warto zadzwonić do tej osoby i zweryfikować, czy przedstawiana sytuacja miała miejsce. Poinformować ją o takich materiałach, ustalić, czy nie jest to próba oszustwa i wykorzystanie wizerunku. W przypadku gdy materiały mają charakter pornograficzny, zdecydowanie warto udzielić wsparcia takiej osobie (szczególnie gdy jest to osoba małoletnia), a na pewno zgłosić sprawę na policję.
Jeśli dotarłeś aż tutaj, a rodzina wciąż chce spędzić z Tobą to popołudnie – gratulujemy! Być może zaproszenie na kolejny obiad dziwnym trafem więcej nie dotrze, ale przynajmniej możesz mieć pewność, że bliscy mają już teraz świadomość tego, co czyha na nich w sieci. No i potrafią się przed tym obronić. Została w takim razie jeszcze tylko drukarka mamy do ogarnięcia i można spadać do domu. Grać w grę.