Komunikaty bezpieczeństwa

Ostrzegamy

15 listopad 2023 - Promocje na Black Friday i Cyber Monday – zachowaj czujność!

W okresie przedświątecznym Ty polujesz na zakupowe okazje, a cyberprzestępcy polują na Twoje dane i pieniądze. Sprawdź jak nie dać się oszukać.

blackafriday.png

Cyberprzestępcy też kochają Black Friday i Cyber Monday

Black Friday i Cyber Monday to czas, kiedy sklepy oferują atrakcyjne promocje i wzmaga się ruch w zakupach online. Dla cyberprzestępców zwiększona aktywność zakupowa internautów to świetna okazja dla ich aktywności. Internetowi oszuści rozsyłają wiadomości phishingowe mające na celu skłonienie adresatów do pobrania złośliwego załącznika lub kliknięcia w łącze prowadzące do strony internetowej wyłudzającej dane uwierzytelniające np. do bankowości elektronicznej, najczęściej poprzez sfałszowane strony internetowe łudząco przypominające oryginalne. 

Dlatego szczególnie teraz musimy zwiększyć swoją czujność przy zawieraniu transakcji handlowych online. 

Jak zadbać o bezpieczeństwo zakupów online?

  • Zawsze sprawdzaj wiarygodność sklepu internetowego i upewnij się, że adres strony jest prawidłowy. Oszustwa polegające na podszyciu się pod znaną markę to jeden z najczęstszych ataków socjotechnicznych, bazujący na Twoim pośpiechu i zaufaniu względem podmiotów, z  którymi zawierasz transakcje.
    Przeczytaj: UWAGA! CSIRT NASK ostrzega przed fałszywymi sklepami internetowymi
     
  • Używaj silnych i różnych haseł do różnych kont , na które się logujesz. To minimalizuje ryzyko, że w razie wycieku jednego hasła, inne konta pozostaną bezpieczne. 
    Przeczytaj: Bezpieczne hasła - wszystko, co zawsze chcieliście wiedzieć
     
  • Nie ulegaj presji czasu. Nie należy ulegać presji czasu, bo jest to częsta technika oszustów. Twoją uwagę powinny wyostrzyć wszelkie oferty, które wywierają presję, by zakupu dokonać jak najszybciej. Chodzi o komunikaty typu: "aktualnie 100 osób ogląda tę ofertę" , "ostatnie 5 minut na skorzystanie z tej oferty". Takie zabiegi socjotechniczne mają skłonić do dokonania pochopnej, nieprzemyślanej decyzji.
    Przeczytaj: Socjotechnika – dlaczego cyberprzestępcy są skuteczni
     
  • Przeglądaj systematycznie historię rachunku i dokonywanych operacji na Twoim koncie. W przypadku podejrzeń o nieautoryzowane transakcje, natychmiast skontaktuj się ze swoim bankiem. 

Co radzą eksperci? 

Zdając sobie sprawę z rosnącego zagrożenia w cyberprzestrzeni w okresie świąt Bożego Narodzenia, eksperci Zespołu CERT Polska przygotowali specjalny poradnik zakupowy. Najważniejsze rady dotyczące zakupów online, jakie przekazuje Zespół CERT Polska, można ująć w 4 pytaniach, które każdy klient sklepu internetowego powinien sobie zadać. 

1. Jak tu trafiłem?

Widząc atrakcyjną promocję sklepu internetowego zastanów się, jak się znalazłeś się na danej stronie. Jeśli kliknąłeś link np. z reklamy w mediach społecznościowych lub link z wiadomości SMS lub e-mail, zweryfikuj domenę sklepu. Nawet jeśli link otrzymałeś od znajomego. Koleżanka czy brat przesyłający wiadomość mogą być tak naprawdę oszustem podszywającym się pod nich. 

2. Dokąd trafiłem?

Jeśli strona przypomina wyglądem znany sklep, ale na przykład zawiera błędy ortograficzne lub nie ma polskich znaków, to może być oszustwo. Uwagę powinny też zwracać elementy graficzne strony, niskiej jakości zdjęcia czy ogólna słaba wizualnie oprawa mogą świadczyć o oszustwie. 

3. Gdzie prowadzi mnie strona?

Co się dzieje po wybraniu towaru i próbie finalizacji zamówienia? Serwisy internetowe prowadzone przez cyberprzestępców właśnie w tym kroku kradną Twoje pieniądze. Przechwytują dane kart płatniczych bądź login i hasło do bankowości elektronicznej. Jeśli strona przekierowuje do bramki płatności lub na stronę banku, sprawdź dokładnie URL.

4. Jaką opinię ma serwis?

Sklepy prowadzone przez cyberoszustów często mają funkcje komentarzy. Nie wierz w opinie znajdujące się w serwisie. Zamiast tego, wpisz nazwę domeny w wyszukiwarkę internetową, aby dowiedzieć się, co piszą o niej inni internauci. Ponadto, sprawdź czy firma jest zarejestrowana w KRS. Każda firma w Polsce, w tym sklepy internetowe, musi posiadać dane teleadresowe i dane rejestracyjne, jak: NIP i REGON, adres, nr tel. stacjonarnego. Możesz to zweryfikować online na stronie KRS: https://ekrs.ms.gov.pl/web/wyszukiwarka-krs/strona-glowna/index.html

Poradnik ,,Jak bezpiecznie kupować w internecie” dostępny jest tutaj 

Pamiętaj!

W czasie Black Friday i Cyber Monday ostrożność jest kluczem do udanych zakupów w internecie! 

7 listopad 2023 - UWAGA! CSIRT NASK ostrzega przed fałszywymi sklepami internetowymi

W sieci pojawiły się stworzone przez oszustów strony podszywające się pod sklepy internetowe znanych marek, takich jak Wojas, Cropp, Sinsay i Mohito.

rabat.jpg

Nie daj się oszukać na zakupach

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego poziomu krajowego - CSIRT NASK (CERT Polska) ostrzega przed zwiększoną liczbą oszustw związanych z zakupami online. W okresie promocji z okazji Balck Friday i Cyber Monday cyberprzestępcy podszywają się pod sklepy internetowe, by wyłudzać dane i dokonywać kradzieży środków finansowych z konta ofiary. 

Ostatnie zgłoszenia do CSIRT NASK (CERT Polska) dotyczyły marki Wojas oraz sklepów CroppSinsay czy Mohito.

UWAGA - niebezpieczne strony tworzone przez oszustów są łudząco podobne do prawdziwych witryn znanych marek.

Przed zakupem w sklepie internetowym sprawdź:

  1. czy sklep internetowy jest autentyczny - często świadczy o tym już adres strony, widoczny w pasku adresu przeglądarki. Warto porównać go z prawdziwym adresem strony marki (na przykład z opisu na metce posiadanych już rzeczy). To szczególnie ważne, jeśli na stronę zostałeś przekierowany np. z wiadomości e-mail bądź reklamy w mediach społecznościowych.
  2. czy na stronie jest telefon do sklepu – jego brak powinien wzbudzić wątpliwości;
  3. czy sklep oferuje popularne metody płatności – fałszywe sklepy rzadko to robią;
  4. czy nie ma skrajnych opinii na temat sklepu

Eksperci radzą jak bezpiecznie kupować w Internecie

Specjaliści z zespołu CERT Polska przygotowali poradnik, w którym znajdziesz wskazówki jak unikać zagrożeń podczas zakupów online nie tylko w okresie promocyjnym w ramach Black Friday czy Cyber Monday. 

Sprawdź: Jak bezpiecznie kupować w internecie 

Trwa kampania edukacyjno-informacyjna

Przed fałszywymi sklepami ostrzega jeden ze spotów kampanii Ministerstwa Cyfryzacji i Państwowego Instytutu Badawczego NASK (NASK PIB). Kampania, współfinansowana ze środków Unii Europejskiej, ma formę 5-odcinkowego serialu. W każdym spocie przedstawione jest jedno cyberzagrożenie i kilka praktycznych wskazówek dla osób, które mogą znaleźć się w podobnej sytuacji. 

Więcej informacji o kampanii i poruszanych w niej zagrożeniach można znaleźć na stronie CERT Polska.

21 września 2023r. - UWAGA na fałszywe wiadomości SMS podszywające się pod ,,mObywatela”

Oszuści podszywają się pod rządową aplikację mObywatel. Chcą wyłudzić dane użytkowników.

Na telefony Polaków wysyłane są fałszywe SMS-y od nadawcy “mOBYWATEL”. Nie klikaj w link podany w wiadomości. To może być oszustwo.

Internetowi przestępcy wysyłają fałszywe wiadomości SMS, w których informują, że w skrzynce odbiorczej mObywatel czeka wiadomość i proszą o zalogowanie się.

UWAGA w skrzynce odbiorczej mObywatela znajduje się nowa wiadomość. Zaloguj się do portalu używając linku poniżej: https://rb.gy/...

Nie daj się nabrać - taki SMS to próba oszustwa!

Umieszczony w wiadomości link prowadzi na fałszywe strony podszywające się pod strony rządowe.

Przykład fałszywej domeny: obywatel[.]cloud 

Czym jest aplikacja mObywatel?

mObywatel jest bezpłatną, oficjalną publiczną aplikacją mobilną. Aplikacja mObywatel to cyfrowe narzędzie, które pozwala na identyfikację tożsamości z wykorzystaniem smartfona, bez potrzeby okazywania fizycznej wersji dokumentów (m.in. mDowód, mPojazd, mLegitymacja ucznia, mLegitymacja studencka). Jednocześnie udostępniono w niej funkcje, które pozwalają na załatwienie sprawy bez konieczności wizyty w urzędzie (z poziomu aplikacji możesz np. zapłacić podatek od nieruchomości, wypełnić wniosek o dopłatę do źródeł ciepła, zgłosić naruszenie środowiskowe).

Nad ciągłym rozwojem nowych funkcjonalności aplikacji czuwa Ministerstwo Cyfryzacji.

Wszystkie informacje o aplikacji mObywatel znajdziesz na stronie: https://info.mobywatel.gov.pl/ 

Zachowaj ostrożność

Cyberprzestępcy próbują wykorzystać popularność rządowych usług cyfrowych oraz aplikacji, podszywając się pod instytucje publiczne. Pamiętaj, gdy dostajesz wiadomość o Twoim koncie użytkownika z różnych serwisów internetowych np. o wstrzymaniu usługi, oczekującej wiadomości, czy innych komunikatach wymagających Twojej pilnej reakcji, nie klikaj bezpośrednio w link z takiej wiadomości. Wejdź na stronę instytucji samodzielnie i sprawdź, czy przesłana informacja jest prawdziwa.

WAŻNE! – Reaguj

Jeżeli podejrzewasz oszustwo internetowe lub otrzymałeś podejrzane wiadomości SMS-em lub e-mailem - prześlij zgłoszenie do CERT Polska (CSIRT NASK), który jest jednym z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego na poziomie krajowym. 

Jak przekazać zgłoszenie?

  • na stronie: https://incydent.cert.pl
  • e-mailem:cert@cert.pl 
  • SMS-em: 799 448 084  (należy przekazać całą wiadomość w oryginalnej formie – nie wycinaj linku czy fragmentów treści)

 

Źródło: www.gov.pl

21 sierpnia 2023r. - Oszuści podszywają się pod Prezesa Urzędu Patentowego Rzeczypospolitej Polskiej

Oszuści podszywają się pod Prezesa Urzędu Patentowego Rzeczypospolitej Polskiej – fałszywe decyzje, świadectwa ochronne

Komunikat FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP, Centralnego Biura Zwalczania Cyberprzestępczości oraz Komendy Głównej Policji z dnia 17 sierpnia 2023 r.


Od kilku lat oszuści podszywają się pod Prezesa Urzędu Patentowego Rzeczypospolitej Polskiej i wysyłają do petentów fałszywe decyzje o udzieleniu praw ochronnych na znaki towarowe, wzywające do wniesienia opłaty, oraz świadectwa ochronne. Informowaliśmy o tym oszustwie tutaj:

Ponownie ostrzegamy!
Oszuści zmodyfikowali swoje dotychczasowe działania. Aktualnie wykorzystują dwa kanały komunikacji: tradycyjną korespondencję listową oraz  wiadomości wysyłane za pośrednictwem poczty elektronicznej.

Podobnie jak w latach ubiegłych, oszuści w korespondencji wciąż umieszczają sfałszowane decyzje, które wzywają do wniesienia opłaty za udzielenie ochrony. Żądane kwoty są podane w EURO, a wskazany do płatności rachunek bankowy nie jest rachunkiem polskim. Rachunki te  są prowadzone przez banki np. w Niemczech, na Litwie, Irlandii, Belgii czy Holandii.

Dołączane jest również pismo wzorowane na wydawanych przez Urząd Patentowy dokumentach, potwierdzających udzielenie prawa ochronnego na znak towarowy.

Niezmiennie w decyzjach tych, dla uwiarygodnienia podawane są prawdziwe dane dotyczące zgłaszanych przedmiotów własności przemysłowej.

Należy zaznaczyć, że:

  • decyzje o udzieleniu prawa ochronnego na znak towarowy są wysyłane drogą elektroniczną tylko przez EPUAP lub PUEUP, o ile taka forma została wskazana przez zgłaszającego. Dodatkowo, są one opatrzone podpisem elektronicznym oraz QR kodem;
  • świadectwa ochronne zawsze wysyłane są pocztą listową po wcześniejszym uiszczeniu opłaty;
  • decyzje urzędu o udzieleniu prawa ochronnego na znak towarowy oraz świadectwa ochronne są wysyłane osobno w różnych terminach, więc zgłaszający nie otrzyma ich w jednej korespondencji.

Pamiętaj, rozwaga i powściągliwość to najlepsza ochrona przed oszustwem. Dlatego zachowaj czujność i przed przekazaniem środków sprawdź wiarygodność otrzymanego dokumentu.

Jak rozpoznać fałszywą decyzję:

  • może być przesłana drogą mailową;
  • kwoty związane z udzieleniem ochrony wyrażone są w EURO;
  • do uiszczenia opłaty podany jest oszukańczy numer rachunku, który wskazuje, że konto jest prowadzone przez instytucję znajdującą się poza granicami Rzeczpospolitej Polskiej;
  • dołączone jest elektroniczne świadectwo ochronne, które Urząd Patentowy wydaje wyłącznie w wersji papierowej.

Zastosuj się do kilku ważnych zasad:

  • uważnie przeczytaj otrzymaną korespondencję;
  • sprawdź na jaki rachunek masz dokonać płatności. Jedynym rachunkiem bankowym wykorzystywanym przez Urząd Patentowy do płatności z tytułu udzielenia praw ochronnych na znaki towarowe jest rachunek prowadzony w Narodowym Banku Polskim: 93 1010 1010 0025 8322 3100 0000;
  • jeśli otrzymałeś „decyzję”, w której znajduje się inny numer bankowy prowadzony w Polsce lub poza granicami RP oznacza próbę dokonania przestępstwa na Twoją szkodę!!!;
  • Urząd Patentowy publikuje informacje o sposobie regulowania płatności na swojej stronie internetowej - link: https://uprp.gov.pl/pl/przedmioty-ochrony/inne/oplaty-w-postepowaniu;
  • od grudnia 2021 r. wprowadzono dodatkowe zabezpieczenie w postaci opatrywania wydawanych przez Urząd Patentowy decyzji o udzieleniu prawa wyłącznego kodem QR, pozwalającym na zweryfikowanie autentyczności korespondencji – szczegółowe informacje w zakresie weryfikacji są dostępne jest pod adresem https://pue.uprp.gov.pl/public/stamp.

W przypadku podejrzenia usiłowania popełnienia przestępstwa lub w sytuacji, gdy przestępstwo to zostało popełnione niezwłocznie poinformuj o tym fakcie swój bank oraz złóż stosowne zawiadomienie na Policję lub do Prokuratury.

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP - Centrum Wymiany i Analiz Informacji Sektora Finansowego
Centralne Biuro Zwalczania Cyberprzestępczości
Komenda Główna Policji

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP – jednostka operacyjna funkcjonująca w ramach Zespołu Bezpieczeństwa Banków Związku Banków Polskich, która gromadzi, analizuje oraz przekazuje w ramach sektora bankowego i we współpracy z organami ścigania oraz innymi instytucjami informacje dotyczące możliwych zagrożeń oraz o incydentach o charakterze przestępczym, godzących w bezpieczeństwo banków lub ich klientów.

6 czerwiec 2023r. - Jak sprawdzić bezpieczeństwo swoich danych?

W ostatnich dniach w Internecie została opublikowana baza ponad miliona danych dostępowych użytkowników z Polski. Baza zawiera  dane pochodzące z komputerów prywatnych użytkowników, których urządzenia zostały zainfekowane złośliwym oprogramowaniem tzw. „information stealerem" wykradającym wpisywane oraz zapamiętane przez przeglądarkę hasła. Baza danych jest bardzo obszerna i dotyczy wielu instytucji, w tym instytucji rządowych, banków, sklepów internetowych, serwisów społecznościowych itp.

Co zawiera opublikowana baza?

W bazie znajdują się dane tylko tych osób, których urządzenia były zainfekowane i tylko z tych serwisów, do których z zainfekowanego komputera się logowali.

Jak doszło do zainfekowania złośliwym oprogramowaniem?

Jeśli zainfekowany użytkownik miał konto na serwisie np. Allegro, Facebook, OLX i na te serwisy się logował z zainfekowanego komputera, to jego hasła do tych serwisów mogą znajdować się w upublicznionej bazie. Co nie oznacza jednak, że serwisy te są winne „wyciekowi”.

Wykradziona baza najpewniej jest aktywnie wykorzystywana przez cyberprzestępców. Należy zwrócić uwagę, że w tych danych jest wiele wpisów niepoprawnych lub zdezaktualizowanych (tzw. false-positive).

Co zrobić, abyś czuł się bezpiecznie?

Rekomendujemy sprawdzenie, czy Twoje dane znajdują się w upublicznionej bazie. Możesz to zrobić w serwisie internetowym bezpiecznedane.gov.pl. To serwis udostępniony przez administrację państwową, który po zalogowaniu poprzez Profil Zaufany, umożliwia zweryfikowanie czy dane konto lub email znalazło się w wycieku.

Co zrobić, jeśli Twoje dane są w bazie danych z wycieku?

  • Użyj programu antywirusowego, aby sprawdzić bezpieczeństwo swojego komputera. Programy te mogą nie wykryć każdego zagrożenia. Jeśli jednak masz uzasadnione podejrzenie, że Twój system komputerowy może być zainfekowany, najlepiej zabezpiecz ważne dane i przywrócić system do stanu fabrycznego,
  • Korzystając z bezpiecznego urządzenia zmień hasła do logowania używane dotychczas. Jeśli używasz jednego hasła do wielu serwisów, zmień je w każdym z nich. Nie stosuj jednego, nawet złożonego hasła do więcej niż jednego serwisu.
  • Włącz dodatkowe zabezpieczenia w serwisach, które to umożliwiają (weryfikacja dwuetapowa).
  • Zwróć szczególną uwagę na próby logowania do kont, nie ignoruj alertów dotyczących prób logowania.
20 kwiecień 2023r. - OSZUSTWA NA BLIK

BLIK, choć jest bezpiecznym środkiem płatności, bardzo często zachęca oszustów do korzystania z niego w celu wyłudzania pieniędzy. Zapoznaj się z metodami oszustwa na BLIK i zasadami jakie stosować, aby nie dać się okraść.


Na czym polega oszustwo na BLIK?

Oszustwo na BLIK polega na wyłudzeniu kodu do płatności, najczęściej z wykorzystaniem komunikatorów, bądź kont w serwisach społecznościowych. Z potencjalną ofiarą kontaktuje się cyberprzestępca i podszywając się pod członka rodziny lub znajomego prosi o pilną pożyczkę. Aby zrealizować swój cel namawia do wygenerowania kodu płatności telefonem, a następnie przesłania go „znajomemu”.

Oto przykładowe scenariusze działania oszustów:

  • Pilna pożyczka – przestępca włamuje się na konto w mediach społecznościowych rodziny ofiary. Pisze o potrzebnie pilnej pożyczki na niewielką kwotę i wygenerowanie kodu BLIK. Pożyczkę obiecuje zwrócić za kilka dni. Ponieważ korzysta z tożsamości bliskiej osoby nieświadoma ofiara nie widzi konieczności dodatkowej weryfikacji.
  • Zgubienie lub kradzież portfela – przestępca kontaktuje się z ofiarą i przekonuje, że zgubił portfel lub został mu on skradziony a potrzebuje gotówki. Przekonuje, że sprawa jest pilna, bo musi za coś zapłacić. W takich okolicznościach, gdy w grę wchodzą emocje i trzeba szybko działać, ofiara nie weryfikuje okoliczności ani tożsamości osoby kontaktującej się z nią.
  • Pracownik banku – z ofiarą kontaktuje się rzekomy pracownik banku. W rozmowie telefonicznej oszust informuje, że wykryto próbę zaciągnięcia zobowiązania na rachunek tej osoby. Aby potwierdzić tożsamość klienta, prosi o podanie informacji dotyczących stanu rachunku, wysokości zgromadzonych środków itd. Nieświadoma ofiara udziela wszystkich informacji. Następnie przestępca prosi o wygenerowanie kodu BLIK, który pomoże w zdemaskowaniu oszusta. Kod ten posłuży oczywiście do pobrania pieniędzy z bankomatu.
  • Zakup na OLX – ofiara wystawia na OLX produkt do sprzedaży i dostaje w aplikacji WhatsApp wiadomość od potencjalnego klienta. Pisze on, że jest zainteresowany i chciałby kupić ten produkt przez InPost. Ofiara odpisuje więc, że nie ma problemu i po chwili otrzymuje odpowiedź, że klient zaraz zapłaci. Po kilku minutach przychodzi SMS od InPost z linkiem do potwierdzenia. Ofiara kilka w odnośnik i przechodzi na stronę firmy kurierskiej. Ale aby otrzymać pieniądze, ofiara musi tylko wpisać dane karty bankowej, na którą wpłyną środki. W kolejnym oknie pojawia się już tylko prośba o wpisanie kodu BLIK i potwierdzenie wypłaty.

Żeby nie dać się oszukać, stosuj środki bezpieczeństwa:

  • Nie podawaj szczegółowych danych przez telefon, nawet kiedy bank rzekomo ich wymaga (pracownicy banku i tak mają je w systemie).
  • Jeśli znajomy znienacka prosi Cię o kod BLIK w rozmowie na komunikatorze, zadzwoń do niego i upewnij się, że to z nim rozmawiasz.
  • Przed potwierdzeniem transakcji BLIK sprawdź dwa razy, ile wynosi kwota i do kogo ona trafi.
  • Nie klikaj w linki otrzymywane od nieznanych numerów – niemal na pewno przeniosą Cię one do stron wyłudzających dane lub pieniądze.
  • Przed zalogowaniem się na konto w banku, dwa razy upewnij się, że adres strony jest właściwy.
  • Nie loguj się wrażliwymi danymi w otwartych sieciach Wi-Fi, m.in. w kawiarniach.
  • Stosuj dwuskładnikowe uwierzytelnienie kont społecznościowych (2FA) – dzięki niemu każda osoba próbująca zalogować się na Twoje konto będzie musiała wprowadzić specjalny kod wysyłany tylko na autoryzowany numer telefonu komórkowego.

Pamiętaj! Kiedy ktoś prosi Cię o kod BLIK:

  • Nie działaj pochopnie. Najlepiej zadzwoń do tej osoby.
  • Zawsze sprawdzaj, komu wysyłasz kody do płatności mobilnych.
  • Nigdy nie przekazuj pieniędzy obcym osobom.

Płatności BLIKIem są bezpieczne

Pamiętaj, że zagrożenie nie wynika ze sposobu płatności, ponieważ zarówno BLIK, jak i sama aplikacja bankowa, mają szereg zabezpieczeń gwarantujących bezpieczne transakcje. Źródłem niebezpieczeństwa jest fałszywy znajomy. Pamiętaj, że jeżeli sam nie podasz nieuprawnionej osobie haseł ani kodów i właściwie zabezpieczasz swoje konto oraz smartfon, prawdopodobieństwo wyłudzenia jest znikome.

27 luty 2023r. - Uważaj na oszustwa typu „na wnuczka”

Uważaj na oszustwa typu „na wnuczka”

Komunikat FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP, Centralnego Biura Zwalczania Cyberprzestępczości oraz Komendy Głównej Policji z dnia 27 lutego 2023 r.



Policja i FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa Związku Banków Polskich odnotowują przypadki oszustw z wykorzystaniem zaawansowanej manipulacji polegającej na podszywaniu się pod osoby bliskie np. pod wnuczka lub pod inne osoby będące przedstawicielami instytucji zaufania publicznego, w tym policjantów czy pracowników banków, wywołując silny stan niepokoju w celu wyłudzenia pieniędzy. 

Cechą charakterystyczną opisanych działań przestępczych jest z wykorzystaniem zaawansowanej socjotechniki podszycie się pod członka rodziny lub przyjaciela, który się znalazł w trudnej sytuacji i potrzebuje natychmiastowej pomocy finansowej. Przestępcy podszywają się również pod przedstawicieli instytucji zaufania publicznego takich jak Policja lub banki informując o zagrożeniu pieniędzy ulokowanych przez klienta i potrzebie podjęcia natychmiastowych działań w celu ich zabezpieczenia przed kradzieżą. Przedstawione powyżej schematy działań przestępców należy traktować jako przykładowe, gdyż przestępcy rozwijając swój proceder tworzą nowe scenariusze działania oparte na fikcyjnych historiach. Cechami wspólnymi tego typu przestępstw są:

  • kontakt telefoniczny;
  • stosowanie manipulacji;
  • podszycie się pod osobę bliską lub wzbudzającą zaufanie;
  • wprowadzenie w stan silnych emocji wywołujących ograniczone postrzeganie rzeczywistości i błędną ocenę sytuacji;
  • nakłanianie do wypłaty pieniędzy ze swojego rachunku bankowego. 

Poniżej przedstawiamy przykładowe warianty działania przestępców.

Wariant I – „na wnuczka” – osobę bliską
Przestępcy nawiązując kontakt telefoniczny z potencjalną ofiarą, który może trwać nawet kilka godzin, swoje działania dzielą na kilka etapów: 

  • w pierwszym etapie oszust podszywając się pod osobę bliską lub jej znajomego buduje poczucie zagrożenia dla bliskiej osoby i wskazują na konieczność udzielenia bardzo pilnej pomocy finansowej;
  • w drugim etapie oszust włącza do gry inną osobę, która odbierze pieniądze, aby rzekomo przekazać je zagrożonej osobie bliskiej;
  • w trzecim etapie ofiara wypłaca pieniądze z kasy w banku i przekazuje je zgodnie z instrukcją podaną przez oszusta;
  • alternatywnie dla powyższych etapów: drugiego i trzeciego przestępcy mogą wskazywać potrzebę przelania pieniędzy na podany przez nich rachunek bankowy.

Wariant II – „na policjanta” – przedstawiciela instytucji zaufania publicznego
Podobnie jak to ma miejsce w wariancie nr I przestępcy nawiązują kontakt z potencjalną ofiarą z wykorzystaniem telefonu:

  • w pierwszym etapie oszust podszywając się pod policjanta lub inną osobę reprezentującą instytucję zaufania publicznego kontaktuje się budując poczucie zagrożenia i informując o wysokim ryzyku utracenia pieniędzy;
  • w drugim etapie oszust wskazuje bezpieczną metodę ochrony pieniędzy przed złodziejami – może to być tzw. „bezpieczne konto”;
  • w trzecim etapie zmanipulowana ofiara przelewa pieniądze na wskazany przez oszusta „bezpieczny rachunek” lub może dokonać wypłaty pieniędzy w oddziale banku i wpłaceniu ich w bankomacie z wykorzystaniem kodu BLIK lub porzuceniu ich we wskazanym przez przestępców miejscu.

Kiedy ktoś dzwoni i próbuje wywierać na Tobie presję, wymuszając wypłatę pieniędzy, stosuj się do poniższych zasad:

  1. zachowaj spokój;
  2. nie wykonuj ślepo poleceń;
  3. rozłącz się i weź kilka głębokich wdechów;
  4. zweryfikuj opisaną sytuację:
  5. w przypadku scenariusza „na wnuczka” - powiadom najbliższych o zdarzeniu – zweryfikuj przedstawioną Ci historię; 
  6. w przypadku scenariusza „na policjanta” – skontaktuj się z najbliższą jednostką policji lub instytucją, pod którą podszył się oszust;
  7. Powiadom Policję o usiłowaniu popełnienia przestępstwa lub o jego popełnieniu.
  8. Powiadom swój bank, dzwoniąc do niego na numer infolinii znajdującej się na stronie internetowej banku – nigdy nie korzystaj z numeru podanego przez oszustów podczas rozmowy.

Zachęcamy do zapoznania się z filmem edukacyjnym traktującym o oszustwach typu „na wnuczka” zrealizowanego przez Komendę Powiatową Policji w Żorach – link: https://youtu.be/INnelwiQqLc oraz dostępnym na stronie Policji https://zory.policja.gov.pl/k31/informacje/wiadomosci/353753,To-gra-o-Twoje-pieniadze.html

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP - Centrum Wymiany i Analiz Informacji Sektora Finansowego
Centralne Biuro Zwalczania Cyberprzestępczości
Komenda Główna Policji

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP – jednostka operacyjna funkcjonująca w ramach Zespołu Bezpieczeństwa Banków Związku Banków Polskich, która gromadzi, analizuje oraz przekazuje w ramach sektora bankowego i we współpracy z organami ścigania oraz innymi instytucjami informacje dotyczące możliwych zagrożeń oraz o incydentach o charakterze przestępczym, godzących w bezpieczeństwo banków lub ich klientów.

11 stycznia 2023r. - UWAŻAJ NA KONTAKT TELEFONICZNY, SMS’OWY I MAILOWY ZE STRONY OSZUSTÓW O RZEKOMO ZAGROŻONYCH TWOICH OSZCZĘDNOŚCIACH W BANKU

Komunikat FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP, Centralnego Biura Zwalczania Cyberprzestępczości oraz Komendy Głównej Policji z dnia 11 stycznia 2023 r.


Uważaj na połączenia telefoniczne, w których oszuści podszywają się pod pracownika banku lub inną osobę godną zaufania (np. pracownika Urzędu Komisji Nadzoru Finansowego, pracownika Związku Banków Polskich, czy policjanta). Podczas fałszywego połączenia na Twoim telefonie może wyświetlić się numer telefonu lub nazwa zaufanej instytucji, o tego typu oszustwach ostrzegaliśmy wspólnie FinCERT.pl – BCC ZBP z Centralnym Biurem Zwalczania Cyberprzestępczości oraz Komendą Główną Policji komunikatem z dnia 7 grudnia 2022 r. pt. „Oszuści dzwonią z numerów podszywających się pod banki lub inne instytucje zaufania publicznego” link: https://zbp.pl/Aktualnosci/Wydarzenia/Oszusci-dzwonia-z-numerow-podszywajacych-sie-pod-banki

Zwracamy uwagę, że w ostatnim czasie oszuści nie tylko w rozmowie telefonicznej nakłaniają klienta do przekazania środków, ale coraz częściej przesyłają również do poszkodowanego wiadomość mailową z rzekomą umową przekazania zagrożonych środków na konto techniczne banku lub wysyłają na numer telefonu ofiary sms z numerem rachunku, na który należy przekazać środki. Wszystko po to, aby uwiarygodnić zagrożenie. 

Po nawiązaniu połączenia telefonicznego i przekazaniu informacji o rzekomym zagrożeniu dla naszych pieniędzy scenariusz może wyglądać tak:

To tylko przykładowy scenariusz. Pamiętaj bądź ostrożny, nie ulegaj panice, kontaktuj się ze SWOIM BANKIEM korzystając z zasady: „rozłącz się, odczekaj minimum 30 sekund”. Następnie, połącz się z bankiem lub instytucją, której przedstawiciel dzwonił do Ciebie. Koniecznie wybierz oficjalny numer na klawiaturze numerycznej, nie oddzwaniaj z listy połączeń, które wyświetlają się na telefonie.  

Nie daj się oszukać, przygotowana przez oszustów umowa:

  • to tylko pretekst, aby przekonać Ciebie do podjęcia decyzji o przelaniu swoich oszczędności na „techniczny” rachunek bankowy wskazany przez oszustów;
  • nie uwzględnia wszystkich elementów wymaganych przez ustawę – Prawo Bankowe tj. między innymi: czasu trwania umowy; przesłanki i trybu rozwiązania umowy czy zasad rozliczeń;
  • nie zawiera miejsca na Twój podpis;
  • zawiera skan podpisu dostępnego w Internecie – np. podpisu niektórych postaci historycznych (przykładowo gen. Tadeusza Kościuszki);
  • często może zawierać błędy gramatyczne lub ortograficzne;
  • może być sporządzona z użyciem języka potocznego np. zamiast terminu „rachunek bankowy”, używane jest słowo „konto”.


Oszustwo lub jego usiłowanie zgłoś w Twoim banku i złóż zawiadomienie na Policji!

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP - Centrum Wymiany i Analiz Informacji Sektora Finansowego
Centralne Biuro Zwalczania Cyberprzestępczości
Komenda Główna Policji

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP – jednostka operacyjna funkcjonująca w ramach Zespołu Bezpieczeństwa Banków Związku Banków Polskich, która gromadzi, analizuje oraz przekazuje w ramach sektora bankowego i we współpracy z organami ścigania oraz innymi instytucjami informacje dotyczące możliwych zagrożeń oraz o incydentach o charakterze przestępczym, godzących w bezpieczeństwo banków lub ich klientów.

21 grudnia 2022r. - UWAŻAJ NA SYLWESTROWE LAST MINUTE

Komunikat FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP, Centralnego Biura Zwalczania Cyberprzestępczości Komendy Głównej Policji z dnia 21 grudnia 2022 r.


31 grudnia to ostatni dzień starego roku, warto zadbać o to by spędzić go z rodziną i znajomymi, tam gdzie planowaliśmy, uważajmy zatem na nieuczciwych zainteresowanych lub sylwestrowe oferty Last Minute, które mogą pojawić się w portalach społecznościowych czy sprzedażowych.

Możliwych jest kilka wariantów oszustwa: 

  • oferowana do wynajmu nieruchomość nie istnieje; 
  • podszycie się pod właściciela nieruchomości i oszukańczy wynajem miejsc na internetowych portalach sprzedażowych;
  • przygotowanie strony łudząco podobnej do strony funkcjonującego hotelu, pensjonatu lub innego obiektu;
  • wyłudzenie danych/środków od właściciela wynajmowanego obiektu  z wykorzystaniem portali społecznościowych lub sprzedażowych (np. wpłata zaliczki poprzez uznanie karty kredytowej);

Ostrzegamy, by ze zwiększoną uwagą weryfikować oferty wynajmu domków, apartamentów,  pensjonatów, ale także potencjalnych zainteresowanych wynajmem, którzy mogą być oszustami.

Jak co roku w tym czasie mogą pojawiać się ogłoszenia, które nęcą swoją wyjątkową ofertą cenową, doskonałą lokalizacją, kuszącymi zdjęciami wnętrz czy najatrakcyjniejszymi widokami. Początkowo kontakt z wynajmującym może przebiegać poprawnie jednak już po wpłaceniu zaliczki mogą pojawić się problemy z komunikacją.  To powinno być dodatkowym sygnałem, aby ponowie zweryfikować ofertę i nie narazić się na dodatkowe koszty związane z podróżą. 

Możliwy jest też scenariusz, w którym oszust odwróci sytuację i oszuka wynajmującego (właściciela obiektu) na przykład za pośrednictwem portali sprzedażowych. Kontaktując się w sprawie wynajmu poza oficjalnym kanałem np. poprzez komunikator WhatsApp będzie chciał uregulować zaliczkę. W tym celu udostępni wynajmującemu link, z wykorzystaniem którego wyłudzi od wynajmującego dane do logowania się do bankowości lub dane kart płatniczych, co ostatecznie może skutkować wyczyszczeniem konta pokrzywdzonego. 

Na co szczególnie zwrócić uwagę:

  • atrakcyjność ogłoszenia versus jego cena;
  • lokalizacja miejsca za pomocą kamer i programów umożliwiających podgląd okolicy;
  • zapoznanie się z opiniami innych zainteresowanych szczególnie z tymi negatywnymi;  
  • korzystanie tylko z oficjalnych kanałów komunikacji na portalach sprzedażowych;
  • nigdy nie podawaj danych poufnych takich jak hasło, kody pin, kody autoryzacyjne, numer karty płatniczej potencjalnym gościom zainteresowanym wynajęciem obiektu. 


FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP - Centrum Wymiany i Analiz Informacji Sektora Finansowego
Centralne Biuro Zwalczania Cyberprzestępczości 
Komenda Główna Policji

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP – jednostka operacyjna funkcjonująca w ramach Zespołu Bezpieczeństwa Banków Związku Banków Polskich, która gromadzi, analizuje oraz przekazuje w ramach sektora bankowego i we współpracy z organami ścigania oraz innymi instytucjami informacje dotyczące możliwych zagrożeń oraz o incydentach o charakterze przestępczym, godzących w bezpieczeństwo banków lub ich klientów.

7 grudnia 2022r. - OSZUŚCI DZWONIĄ Z NUMERÓW PODSZYWAJĄCYCH SIĘ POD BANKI LUB INNE INSTYTUCJE ZAUFANIA PUBLICZNEGO

Komunikat FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP, Centralnego Biura Zwalczania Cyberprzestępczości i Komendy Głównej Policji z dnia 7 grudnia 2022 r.

Spoofing czyli fałszywe połączenia telefoniczne przestępców podszywających się pod banki lub inne instytucje zaufania publicznego takie jak Związek Banków Polskich, Urząd Komisji Nadzoru Finansowego…


Uważaj na połączenia telefoniczne, w których oszuści podszywają się pod pracownika banku lub inną osobę godną zaufania (np. pracownika Urzędu Komisji Nadzoru Finansowego, pracownika Zespołu Bezpieczeństwa Banków w Związku Banków Polskich, czy policjanta). Podczas fałszywego połączenia na Twoim telefonie może wyświetlić się numer telefonu lub nazwa zaufanej instytucji.

Przestępca będzie wpływał na Twoje emocje w celu wprowadzenia Ciebie w stan poczucia zagrożenia, zaniepokojenia, zmartwienia lub zaciekawienia. Oszust będzie rozmawiał z Tobą w języku ukraińskim, rosyjskim, rzadziej polskim.  

Celem jest pozyskanie poufnych informacji (loginu i hasła do bankowości internetowej, kodów BLIK, danych dotyczących karty płatniczej) lub nakłonienie Ciebie do wykonania określonych czynności (np. zainstalowania aplikacji dającej przestępcom zdalny dostęp do Twojego komputera lub telefonu).

Poniżej przykłady rozmów: 

Przestępcy kradną Twoje pieniądze m.in. poprzez wyprowadzanie oszczędności z rachunku bankowego, wykonanie transakcji kartowych czy pozyskanie pożyczki/kredytu z wykorzystaniem Twoich danych osobowych.

Jak się chronić by nie stracić pieniędzy? 
Należy stosować się do kilku ważnych zasad:

  1. nie podawaj loginu i hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, daty ważności, imienia i nazwiska posiadacza karty) - prawdziwy przedstawiciel banku nigdy o to nie zapyta;
  2. nigdy nie ujawniaj przychodzących na Twój telefon kodów do bankowości internetowej, kodów BLIK lub kodów 3D Secure wykorzystywanych do potwierdzenia przelewów lub innych płatności, w tym transakcji kartowych w Internecie;
  3. zawsze czytaj treść SMS-ów jakie przychodzą na twój telefon lub komunikatów w aplikacji mobilnej banku. Z ich treści może wynikać, iż akceptujesz transakcję, którą realizują przestępcy;
  4. za każdym razem czytaj treść otrzymywanych powiadomień, szczególnie podczas trwającej rozmowy z rzekomym konsultantem. Z ich treści może wynikać, iż dodajesz NOWE ZAUFANE urządzenie do swojego profilu (konta w bankowości elektronicznej), przy pomocy którego oszuści ukradną Tobie pieniądze lub zaciągną pożyczkę/ kredyt.  


Jeśli rozmowa wzbudza niepokój lub wątpliwości:

  • rozłącz się, odczekaj minimum 30 sekund. Następnie połącz się z bankiem lub instytucją, której przedstawiciel dzwonił. Koniecznie wybierz oficjalny numer na klawiaturze numerycznej, nie oddzwaniaj z listy połączeń, które wyświetlają się na telefonie.  
  • zachowaj zdrowy rozsądek i zimną krew!  Nawet jeżeli zostałeś poinformowany o potencjalnym zagrożeniu np. utrata środków, spokojnie przemyśl czy środki naprawdę mogą być w niebezpieczeństwie? Może jednak rozmawiasz z oszustem? Przerwij połączenie i skontaktuj się z bankiem zgodnie z powyższą zasadą;
  • pamiętaj, że wyświetlony numer telefonu lub nazwa banku nie są gwarancją, że rozmawiasz z prawdziwym przedstawicielem banku;
  • zawsze możesz zgłosić swoje podejrzenia do banku i jeśli doszło do popełnienia przestępstwa również zawiadom policję.


FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP - Centrum Wymiany i Analiz Informacji Sektora Finansowego
Centralne Biuro Zwalczania Cyberprzestępczości 
Komenda Główna Policji

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP – jednostka operacyjna funkcjonująca w ramach Zespołu Bezpieczeństwa Banków Związku Banków Polskich, która gromadzi, analizuje oraz przekazuje w ramach sektora bankowego i we współpracy z organami ścigania oraz innymi instytucjami informacje dotyczące możliwych zagrożeń oraz o incydentach o charakterze przestępczym, godzących w bezpieczeństwo banków lub ich klientów.

30 listopad 2022r. - BEZPIECZNE ZAKUPY PRZEDŚWIĄTECZNE

Poradnik FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP, Centralnego Biura Zwalczania Cyberprzestępczości oraz Komendy Głównej Policji – Bezpieczne zakupy przedświąteczne

Pada śnieg, pada śnieg dzwonią dzwonki… w telefonie, to sms przyszedł z banku o kupionym dziś zegarku…….

Ta historia może mieć dwa zakończenia i każde zależy TYLKO od Ciebie!!! 


Aby prezenty mogły uszczęśliwić obdarowanego pamiętaj o kilku zasadach bezpiecznych zakupów: 

  • weryfikuj sprzedawcę/usługodawcę, czytaj negatywne komentarze i opinie;
  • jeżeli wykonujesz przelew na rachunek bankowy upewnij się, czy rzeczywiście należy on do odbiorcy płatności (nr rachunku może być podmieniony przez oszusta);
  • uważnie czytaj regulamin sprzedawcy – wydaje się, że jest to strata czasu, ale niezapoznanie się z nim może okazać się stratą pieniędzy;
  • przekazuj tylko te dane, które są niezbędne do przeprowadzenia płatności i dostawy towaru;
  • jeśli pojawił się błąd przy płatności, zwróć uwagę czy nie zostaniesz przekierowany na oszukańczą stronę, która tylko przypomina prawdziwą;
  • jeśli dostaniesz komunikat o niedopłacie drobnej kwoty może być to próba oszustwa- wyłudzenie loginu i hasła do bankowości internetowej;
  • wybieraj platformę e-commerce lub dostawcę usługi płatniczej, który zaoferuje Ci ochronę, w przypadku, kiedy towar lub usługa nie zostanie dostarczona lub jakość jego będzie odbiegała od zadeklarowanej w ofercie; 
  • nigdy nie ujawniaj informacji poufnych np.: kodów do bankowości internetowej, kodów BLIK lub kodów 3D Secure wykorzystywanych do potwierdzenia transakcji kartowych w Internecie przychodzących na telefon;
  • przed zatwierdzeniem płatności zawsze uważnie czytaj treść SMS-ów jakie przychodzą na twój telefon lub komunikatów w aplikacji mobilnej banku - z ich treści może wynikać, iż akceptujesz transakcję, którą realizują oszuści;
  • nie instaluj dodatkowego oprogramowania, które jest „rzekomo” wymagane z uwagi na tzw. „bezpieczeństwo płatności”, lub które umożliwi udzielenie Ci zdalnego wsparcia; 
  • nie klikaj na linki przesłane w niespodziewanych wiadomościach e-mail lub SMS’ach.


Nieprzestrzeganie powyższych zasad może stanowić dla Ciebie zawód, rozczarowanie dla Twoich bliskich oraz straty finansowe.

NIE POZWÓL BY ŚWIĘTA ZDEZORGANIZOWAŁ CI OSZUST!

  • jeśli zainstalowałeś zdalny pulpit natychmiast go odinstaluj i powiadom o tym bank;
  • zgłoś reklamację w banku;
  • złóż zawiadomienie na policji lub prokuraturze;
  • jeżeli podejrzewasz oszustwo, w zależności od sytuacji zmień hasło do bankowości internetowej, bankowości mobilnej lub kod PIN do karty płatniczej. 

Życzymy bezpiecznych zakupów i wspaniałych Świąt Bożego Narodzenia  


FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP - Centrum Wymiany i Analiz Informacji Sektora Finansowego
Centralne Biuro Zwalczania Cyberprzestępczości 
Komenda Główna Policji

FinCERT.pl - Bankowe Centrum Cyberbezpieczeństwa ZBP – jednostka operacyjna funkcjonująca w ramach Zespołu Bezpieczeństwa Banków Związku Banków Polskich, która gromadzi, analizuje oraz przekazuje w ramach sektora bankowego i we współpracy z organami ścigania oraz innymi instytucjami informacje dotyczące możliwych zagrożeń oraz o incydentach o charakterze przestępczym, godzących w bezpieczeństwo banków lub ich klientów.

Cookies