Cyberbezpieczeństwo

Cyberbezpieczeństwo

UWAŻAJ NA FAŁSZYWE WIADOMOŚCI SMS
    SMS.pngtest7
 

Poniżej przedstawiamy pełny opis schematu oszustwa oraz dokument PDF, w którym umieściliśmy wybrane screenshoty dotyczące tego oszustwa.

PEŁNY SCHEMAT OSZUSTWA:

Fałszywe wiadomości SMS są jednym z częściej występujących metod oszustw stosowanych przez cyberprzestępców. Oszuści za ich pośrednictwem dystrybuują fałszywe strony bądź złośliwe oprogramowanie. Aby jak najbardziej uwiarygodnić swoje działania podszywają się pod znane banki, firmy lub instytucje, gdzie informują o pojawieniu się nagłych problemów bądź konieczności szybkiej reakcji.

[Krok; 1] Oszustwo rozpoczyna się od przesłania przez cyberprzestępców wiadomości SMS z linkiem. Cyberprzestępcy w celu uwiarygodnienia swoich działań podszywają się pod znane banki, firmy kurierskie, portale sprzedażowe, serwisy rozrywkowe czy instytucje rządowe. W treści wiadomości (rys. 1) najczęściej informują użytkowników o konieczności potwierdzenia płatności, dopłaty do przesyłki bądź zaktualizowania swoich danych.

Rysunek 1 Fałszywa wiadomość SMS podszywająca się pod firmę kurierską DHL

 

[Krok; 2] Po wejściu w link znajdujący się  w wiadomości e-mail ofiara przenoszona zostaje do niebezpiecznej strony, gdzie oszuści mogą wymagać od niej:

  • wprowadzenia danych uwierzytelniających do bankowości elektronicznej (rys. 2)


Rysunek 2 Fałszywa strona, na której oszuści wyłudzają poświadczenia logowania do bankowości elektronicznej użytkowników

  • wprowadzenia danych do karty płatniczej (rys. 3)

Rysunek 3 Fałszywa strona podszywająca się pod firmę DPD i wyłudzająca dane do kart płatniczych

  • pobrania złośliwej aplikacji (rys. 4)

Pobranie złośliwego oprogramowania skutkuje zainfekowaniem telefonu. Złośliwe aplikacje bardzo często żądają od użytkownika nadania uprawnień do funkcji Dostępność/Ułatwienia dostępu. Pozwala to cyberprzestępcom na przejęcie kontroli nad urządzeniem i samodzielne nadanie niebezpiecznych uprawnień.

Rysunek 4  Fałszywa strona, na której użytkownik zachęcany jest do pobrania aplikacji

[Krok; 3] Jeżeli na stronie phishingowej wyłudzone zostały dane uwierzytelniające do bankowości elektronicznej lub/i dane karty płatniczej, to pieniądze wyprowadzone mogą zostać m.in. poprzez:

  • przelew na rachunek słupa,
  • przelew na giełdę kryptowalutową,
  • płatność kartą w internecie,
  • wypłata BLIK w ATM,
  • przelew na przekaz pieniężny Poczty Polskiej.

Aby nie paść ofiarą cyberprzestępców należy pamiętać o kilku najważniejszych zasadach, które pozwolą na uchronienie się przed utratą oszczędności:

  • Pamiętaj przede wszystkim o tym, aby dokładnie weryfikować otrzymywane wiadomości SMS. Zachowaj czujność w przypadku otrzymania wiadomości zawierających w swojej treści linki. Mogą one prowadzić do niebezpiecznych stron wyłudzających dane lub zawierające złośliwe oprogramowanie.
  • Zachowaj szczególną ostrożność w przypadku aplikacji usiłujących uzyskać uprawnienia do korzystania z tzw. ułatwień dostępu (ang. accessibility services).
  • Korzystaj z 2FA (weryfikacji dwuskładnikowej np. za pomocą SMS) lub stosuj klucze U2F do weryfikacji Twojej tożsamości w serwisach internetowych.
  • Zwróć szczególną uwagę na treść wiadomości SMS z kodem, które zawierają opis dokonywanych transakcji, Weryfikuj numer rachunku odbiorcy i kwotę zlecanej operacji.
  • Dokładnie sprawdzaj adres strony internetowej, na której się znajdujesz. Oszuści wykorzystują coraz nowsze techniki. Adres strony internetowej może zawierać drobne literówki lub znaki, które pochodzą z innych alfabetów.
  • Dobrym sposobem jest samodzielne wpisywanie adresu strony internetowej, na którą chcemy wejść za pośrednictwem paska adresu. Dzięki temu będziemy mieć pewność, że strona na której się znajdujemy jest właściwa.
  • Inną, ale również skuteczną praktyką jest dodanie adresu strony swojego banku do zakładek i korzystanie wtedy, gdy chcemy ją odwiedzić.
UWAŻAJ NA OSZUSTWA NA PORTALACH SPRZEDAŻOWYCH
test8SKLEPY.png

Obecnie wiele osób kupuje potrzebne im rzeczy poprzez Internet. Zaczynając od sprzętu elektronicznego, przez ubrania i kosmetyki, po produkty spożywcze – można śmiało powiedzieć, że bez wychodzenia z domu jesteśmy w stanie zadbać o wszystkie swoje materialne potrzeby. Dodatkowo, wybierając zakupy w Internecie możemy zapoznać się z opiniami innych osób, czy sprawdzić różne oferty. Nie jest więc zaskoczeniem fakt, że cyberprzestępcy również zdają sobie z tego sprawę i chętnie wykorzystują to by spróbować okraść użytkowników Internetu.

Atakujący tworzą strony łudzące podobne do oficjalnych stron znanych marek lub przygotowują całkowicie nowe, nieznane „sklepy”, na których przedstawiają produkty. Bez różnicy na wybrany sposób, na fałszywej stronie najczęściej zobaczyć można ofertę w zadziwiająco niskiej cenie.

Dlaczego?

Bo mając wiele możliwości, najczęściej oczywiście szukamy tej najtańszej, bo jeżeli wszystkie inne cechy produktu są takie same, to dlaczego nie zdecydować się na promocyjną cenę. Kolejnym powodem jest próba oszukania osoby, która wcale nie planowała kupić danej rzeczy, ale da się zachęcić na rzekomą okazję.

Jakie produkty najczęściej wybierają cyberprzestępcy?

To zależy :) Oczywiście te najczęściej kupowane w Internecie – sprzęt elektroniczny, ubrania. Dostosowują się jednak to tzw. „potrzeb rynkowych” i manewrują rodzajem sklepu oraz rzekomo oferowanego asortymentu w zależności od tego, co ludzie potrzebują. Właśnie dlatego w czasie, kiedy szukano możliwości zakupu węgla, to ten motyw był przewodni na wielu fałszywych sklepach, w okresie przedświątecznym dominuje tematyka prezentów, a w czasie tzw. „back to school” – wyprawek szkolnych.

Co wyłudzają przestępcy?

Najczęściej na stronie fałszywego sklepu, po wyborze potrzebnych produktów i przejściu do zapłaty, pojawi się formularz do wypełnienia danymi osoby zamawiającej: imię, nazwisko, adres dostawy, numer telefonu, adres e-mail etc. Następnie wyświetlony zostanie rachunek z informacją o konieczności dokonania przelewu. W takim wypadku celem cyberprzestępców jest bezpośrednie wyłudzenie środków. Zdarza się, że podstawiony zostanie formularz do wyłudzenia danych karty płatniczej. Po wpisaniu ich na stronie fałszywego sklepu, trafią w ręce przestępców, którzy będą próbowali za jej pomocą wyprowadzić pieniądze z rachunku ofiary.

Jak rozpoznać, że to fałszywy sklep?

  1. Jeżeli na stronie widzimy zadziwiająco (wręcz niewiarygodnie) niskie ceny, to powinno być znakiem, że należy być ostrożnym. UWAGA: Oczywiście, może być zarówno tak, że w legalnym sklepie będą konkurencyjne ceny lub przestępcy nie wykorzystają motywu „promocji” do zachęcenia wykorzystania ich strony.
  2. Brak możliwości wyboru sposobu zapłaty. Narzucona konieczność zrobienia przelewu na wskazanych rachunek, czy wpisania danych karty płatniczej. Dodatkowo brak możliwości wyboru opcji „płatność za pobraniem”, czyli w momencie otrzymania zamówionego towaru. UWAGA: Nawet jeżeli nie planujemy wybrać takiej formy, warto sprawdzić, czy jest ona dostępna.
  3. Kolejnym znakiem ostrzegawczym powinien być brak informacji o konkretnych danych firmy: nazwa, adres, numer NIP etc. Jeżeli takie na stronie się znajdują, warto zweryfikować ich prawidłowość np. wyszukując podmiot w wyszukiwarce KRS. UWAGA: Pamiętajmy, że przestępcy mogą wykorzystywać podszycie pod istniejący sklep i „pożyczyć sobie” dane firmy.
  4. Warto zweryfikować adres strony – jeżeli zawiera błędy, literówki lub nie jest powiązana z nazwą sklepu, to może być sygnał, że możemy mieć do czynienia z fałszywym sklepem.
  5. Sprawdź opinie w Internecie. Zdarza się, że osoby, które dały się oszukać, dzielą się swoją historia w sieci. Przed zakupem warto sprawdzić, czy na którymś forum lub w social mediach nie został poruszony wątek sklepu, w którym zamierzamy dokonać zakupu. UWAGA: Brak opinii, nie musi oznaczać, że wszystko jest w porządku. Tak samo jak skrajnie pozytywne oceny, warto zwrócić uwagę, czy „nie wydają się sztucznie napisane”.

Co robić, jeżeli nie rozpoznam, że to fałszywy sklep i „dokonam zakupu”?

Informację o zdarzeniu należy przekazać do Banku, w którym mamy rachunek np. dzwoniąc na infolinię. Jeżeli na fałszywej stronie zostały podane informacje o karcie płatniczej, będzie trzeba jak najszybciej ją zabezpieczyć. Następnie sprawę warto zgłosić na policję. A jeżeli znamy adres strony, na której zostaliśmy oszukani, można zgłosić ją do CERT Polska (incydent.cert.pl) i zadbać o to, żeby przestępcy nie oszukali kolejnych osób.

Pamiętajmy: w sieci nieustannie należy kierować się zasadą ograniczonego zaufania, ponieważ nigdy nie wiemy kto siedzi „po drugiej stronie monitora”!  

UWAŻAJ NA OSZUSTWA W MEDIACH SPOŁECZNOŚCIOWYCH

MEDIA.png

Media społecznościowe stały się nieodłącznym elementem korzystania z Internetu, dla znacznie większej części społeczeństwa. Nie powinno być to zaskoczeniem, ponieważ dzięki profilom na różnych platformach możemy dowiedzieć się co nowego słychać u naszych znajomych, napisać do nich, dowiedzieć co dzieje się na świecie, poznać tzw. „life hack’i”, poszukać nowej pracy i wiele, wiele innych rzeczy. Podobnie, nie będzie nikt zdziwiony faktem, że skoro jest to tak szeroko wykorzystywane medium, to leży ono w zakresie zainteresowania cyberprzestępców, którzy wymyślają liczne sposoby, aby wykorzystać media społecznościowe do wykradania:

  • danych osobowych,
  • danych logowania do konta na platformie społecznościowej,
  • informacji o produktach bankowych,
  • bezpośrednio przelewów oszukańczych. 

Poniżej przedstawiono przykładowe sposoby działania przestępców.

WSTRZĄSAJĄCE WIADOMOŚCI

Zdarza się, że trafiamy na treść informującą o smutnych i przerażających, a jednocześnie spektakularnych, w pewien sposób też ciekawych historii. Co to może być? Mrożący krew w żyłach wypadek, tragedia w której najczęściej głównym bohaterem jest dziecko, znana osoba w bardzo niekomfortowej dla siebie sytuacji i wiele innych. Przestępcy umieszczają taką fałszywą informację wraz z rzekomym nagraniem, jednak przy chęci obejrzenia go, pojawia się komunikat informujący o potrzebie zweryfikowania wieku, a w związku z tym konieczności ponownego rzekomego logowania (ponowne logowanie do portalu Facebook, kiedy cały czas niby na tej platformie jesteśmy?). W rzeczywistości, kliknięcie w ikonę imitującą filmik niepostrzeżenie przenosi nas do strony phishingowej, wykorzystującej wizerunek np. Facebooka, a wpisane tam dane trafiają w ręce przestępców (rys.1).

Rysunek 1 Oszukańczy panel logowania do Facebooka

ŁAMIESZ NASZ REGULAMIN

Przestępcy zakładają konta na platformie Facebook podszywając się pod… samego Facebooka. Nazwa takiego profilu nazywa się np. „KontrolaBezpieczeństwa”. Następnie przy wykorzystaniu tego konta publikują informację o rzekomym złamaniu zasad Meta, a w konsekwencji grożącej blokadzie fanpage. Pozostawiają jednak opcję, dająca możliwość odwołania się od decyzji. W tym celu należy kliknąć w podany link, po przekierowaniu na phishingową stronę pojawia się panel imitujący stronę Facebooka, na której należy podać dane logowania, wpisanie ich tam oznacza, że trafią w ręce cyberprzestępców. A jak atakujący docierają do profili firmowych? W poście publikowanym za pomocą nowego konta, po użyciu „wielu enterów”, czyli maksymalnym, fizycznym wydłużeniu tekstu, oznaczają kilka/kilkadziesiąt, prawdopodobnie przypadkowo dobranych, fanpage. Co widzi użytkownik? W powiadomieniach pojawia się informacja o oznaczeniu w poście np. przez konto o nazwie „KontrolaBezpieczeństwa”, a po przejściu do postu, czytają treść jw., napisane tak, by odwiedzający miał złudne poczucie, że to już całość komunikatu i nie wiedział, czy widzi je tylko on, czy ktoś jeszcze. Tylko Ci, którzy zorientują się, że post jest dłuższy, rozszerzą go, a następnie przechodzą przez puste pole, do końca publikacji, zauważą oznaczenia (rys.2).

Rysunek 2 Oszukańczy post z groźbą blokady konta firmowego

SZCZEGÓŁY OGŁOSZENIA

Kolejnym wykorzystywanym przez cyberprzestępców sposobem jest publikowanie ogłoszeń z informacją o rzekomej sprzedaży przedmiotu lub usługi. Po nawiązaniu kontaktu z wystawiającym, ofiara zainteresowana zakupem/wynajmem otrzymuje informację, że pod wskazanym linkiem znajduje się więcej szczegółów. Po kliknięciu w niego, wchodzimy w rzeczywistości na stronę phishingową, na której przedstawiony jest fałszywy panel logowania (rys. 3). Po podaniu w nim danych logowania do platformy, trafiają one w ręce przestępców.

Rysunek 3 Dystrybucja linku phishingowego

ALE CIĘ OŚMIESZYLI

Kto z nas nie przestraszyłby się, gdyby z konta swojego znajomego otrzymał informację, że znajduje się na nagraniu video lub zdjęciach, w bardzo niekorzystnej, a wręcz kompromitującej sytuacji? To niestety, kolejny sposób działania atakujących, podszywając się pod inne osoby rozsyłają wiadomości z informacją jw., a w treści umieszczają link (rys. 4), do rzekomego zasobu. Po kliknięciu, ofiara przekierowywana jest na stronę phishingową z panelem imitującym stronę logowania do platformy. A wpisane tam dane, rzecz jasna, trafiają do przestępców.

Rysunek 4 Dystrybucja linku phishingowego 

CYBERPRZESTĘPCY PRZEJĘLI MOJE KONTO, CO MOGĄ Z NIM ZROBIĆ?

Niestety, szereg rzeczy. Przede wszystkim, mogą zacząć podszywać się pod daną osobę.

  • Jednym z najpowszechniejszych schematów działania w tej sytuacji, są wiadomości rozsyłane w Messager, do listy kontaktowej ofiary, z prośba o pożyczkę, pod pretekstem jakiejś naglącej sytuacji np. potrzebie pilnej opłacie paczki lub opłacenia rezerwacji. W tej sytuacji przestępcy, przedstawiając się jako prawdziwy właściciel konta z którego piszą, proszą o podanie kodów BLIK oraz zatwierdzenia transakcji (rys.5). W ten sposób wykradając pieniądze od niczego nieświadomych (kolejnych) ofiar tego scenariusza, będących w przekonaniu, że pomagają znajomemu.

Rysunek 5 Wyłudzenie środków pieniężnych

  • Kolejnym sposobem działania przestępców jest wykorzystanie przejętego konta, do rozesłania kampanii mającej na celu wykradanie danych logowania kolejnych użytkowników platformy ->  patrz wyżej „Ale Cię ośmieszyli”.
  • Przy wykorzystaniu przejętego profilu mogą publikować fałszywe ogłoszenia nakłaniające do działania, w wyniku którego inni będą tracić środki finansowe. Dzięki wykorzystaniu przejętego profilu, przestępcy uwiarygadniają publikowane przez siebie treści. Dlaczego? Przy próbie analizy, widzi się, że (najczęściej) konto ma dłuższą historię, publikowało, „lajkowało”, czy udostępniało inne treści i do tej pory wykorzystywane było „standardowo”. A takie przesłanki wzbudzają zaufanie czytających do opublikowanego postu.
  • W skrajnych przypadkach, zwłaszcza jeżeli przestępcy pozyskają dostęp do konta firmowego, mogą publikować kompromitujące treści.

Podejmowane przez cyberprzestępców działania mogą prowadzić do:

  • wykradania pieniędzy od znajomych osoby, pod której tożsamość się podszywają z przejętego profilu,
  • oszukiwania innych, obcych osób, wykorzystując dane ofiary,
  • naruszenia reputacji osoby prywatnej lub firmy,
  • inne, co akurat wymyślą atakujący.

Niestety praktycznie niemożliwym jest opisanie wszystkich sposobów działania cyberprzestępców w mediach społecznościowych. Tym bardziej, że nieustannie wymyślają nowe metody, jak oszukiwać ludzi. W powyższym materiale nie poruszano schematów, w których do starty finansowej doprowadza się już tą pierwszą osobę (w zamian za niewykradanie jej danych dostępowych do profilu), a są to m.in.:

  • fałszywe ogłoszenia sprzedaży,
  • reklamy informujące o rzekomej możliwości inwestowania (pisaliśmy o tym tutaj),
  • podszyciach pod Bank i wyłudzaniu danych uwierzytelniających logowania do konta bankowości internetowej,
  • oszukańcze zbiórki charytatywne,
  • wiele, wiele innych…

Należy również pamiętać, że media społecznościowe są nośnikiem wielu tzw. „fake news-ów”, które w danym momencie nie muszą prowadzić do starty finansowej, ale w trochę dłuższej perspektywie są równie niebezpieczne, co kradzież środków czy danych logowania do profilu.

CO ROBIĆ, JAK ŻYĆ?

Sprawdzać adres strony, na której wpisujemy dane logowania do naszych kont w mediach społecznościowych. Korzystać z 2FA (weryfikacji dwuskładnikowej np. za pomocą SMS) lub stosowować klucze U2F do weryfikacji tożsamości w serwisach internetowych. Należy jednak pamiętać, że atakujący mogą próbować przejąć i tę informację, np. poprzez podstawienie ekranu na stronie phishingowej do wpisania kodu z SMSa, który trafia w ich ręce. Utrudnia to jednak działania atakującym, ponieważ mają już ograniczony czas na dostanie się do profilu (czas ważności kodu 2FA). A kiedy już się stanie i zorientujemy się, że cyberprzestępcy zarządzają naszym kontem, nie można spanikować, tylko trzeba szybko zacząć działania. Przede wszystkim zgłaszają się do pomocy technicznej danego serwisu (tej prawdziwej!), z prośba o pomoc w odzyskaniu lub doraźnym zablokowaniu naszego profilu. Dobrą praktyką jest też publikowanie przez znajomych/innych użytkowników, na naszym profilu, informacji o przejęciu konta. Uwaga: przestępcy często czyszczą tablicę z tych wpisów.  A jaka jest zatem najważniejsza rada? Zachowanie zdrowego rozsądku i kierowanie się zasadą ograniczonego zaufania w Internecie, ponieważ nigdy nie wiemy kto kryje się po drugiej stronie monitora, nawet jeżeli nazwa profilu i/lub zdjęcie profilowe wskazuje na kogoś, kogo znamy.

UWAŻAJ NA ZŁOŚLIWE APLIKACJE MOBILNE

ZOAP.png

PEŁNY SCHEMAT OSZUSTWA:

Zdecydowana większość osób obecnie posiada telefon komórkowy. Z czego największą popularnością nadal cieszą się smartfony z systemem operacyjnym Android. Wiedzą o tym również przestępcy i chętnie wykorzystują ten fakt celem wymyślania coraz to kreatywniejszych kampanii phishingowych.

Kampanie te zaczynają się „standardowym phishingiem”. Pod wybranym pretekstem przestępcy zachęcają do pobrania aplikacji.

Gdzie będzie się ona znajdować?
Zdarza się, że atakujący tworzą stronę phishingową imitującą np. Sklep Google Play, ale niestety znają również sposoby na umieszczenie złośliwej aplikacji w legalnym sklepie Googla z aplikacjami.

Myślisz, że Ty nie dałbyś się oszukać?
Po co Ci aplikacja zawierająca złośliwe oprogramowanie na telefonie? Oczywiście niepotrzebna, ale… co jeżeli będzie istnieć pod nazwą „Whatsapp”, a Ty dostaniesz informację, że musisz zaktualizować aplikację? A może przyjdzie mail informujący, że jeżeli nie klikniesz w link i nie pobierzesz dodatku do aplikacji bankowej, to przestanie ona działać? Socjotechnika, manipulacja i budowanie presji to filary, którymi na tym etapie mogą posługiwać się cyberprzestępcy. 

A co jak już nieświadomie pobierzesz aplikację?
Najczęściej jest tak, że złośliwe oprogramowanie, wykorzystując systemowy komponent WebView, wyświetli fałszywą stronę logowania do usługi, którą uruchomił użytkownik (jest to tzw. mechanizm nakładek - ang. overlay). Dla przykładu, jeżeli na liście celów przestępców znajduje się aplikacja bankowa, a użytkownik, który zainfekował swoje urządzenie postanowi zalogować się do bankowości, nad oryginalną aplikacją wyświetli mu się fałszywe okno logowania. Jeżeli ofiara nie zorientuje się, że wyświetlony ekran nie jest prawdziwą aplikacja banku i wprowadzi swoje dane logowania, trafią one bezpośrednio w ręce cyberprzestępców. 

Co robi złośliwe oprogramowanie na telefonie?
To zależy od pomysłowości, potrzeb i umiejętności technicznych przestępców. Z najczęściej znanych przypadków, atakujący mogą:

  • wykradać dane uwierzytelniających do bankowości elektronicznej,
  • odczytywać SMSkody, a nawet je sobie przesyłać,
  • czytać wiadomości w aplikacji (np. Whatsapp link do Hookbota),
  • przekierowywać połączenia,
  • nagrywać ekran,
  • wykradać historię konwersacji i listę kontaktów,
  • a nawet wysłać wiadomości z zainfekowanego urządzenia (np. kolejne wiadomości phishingowe), a następnie usunąć je z „wysłanych”.

Co robić, aby chronić się przed złośliwym oprogramowaniem?

  • pamiętaj o tym, aby pobierać aplikacje z zaufanych źródeł, tj. Sklep Google Play. Pobranie aplikacji ze złośliwej strony może grozić przejęciem Twoich danych dostępowych do bankowości, a także utratą środków zgromadzonych na rachunku bankowym,
  • dobrą praktyką jest zweryfikowanie przed instalacją jakie uprawnienia będą wymagane przez aplikację (informacja ta jest dostępna w sklepie Google Play),
  • regularnie aktualizuj oprogramowanie na swoich urządzeniach.
UWAŻAJ NA ATAKI TYPU BEC

bec.png

SCHEMAT OSZUSTWA - BEC

Ile razy dziennie otrzymujesz służbową wiadomość e-mail? Wielu z nas odpowiedziałoby „zbyt często”… i doskonale wiedzą o tym przestępcy. Z tego też powodu często uznają, że to świetna droga ataku na pracowników większych i mniejszych firm, prywatnych i publicznych organizacji, z każdego sektora.

Ataki typu BEC (ang. Business e-mail compromise) to rodzaj oszustwa, w którym atakujący wykorzystują socjotechnikę celem pozyskania wrażliwych informacji o organizacji lub wyłudzenia przelewów na wysokie kwoty.

Cyberprzestępcy najczęściej wykorzystują następujące scenariusze:

  • atakujący podszywając się pod CEO lub członka zarządu, wysyłają wiadomość e-mail do pracownika działu finansowego, informując o potrzebie wykonania pilnego przelewu na wskazany rachunek,
  • atakujący podszywają się pod pracownika danej organizacji i rozsyłają wiadomości e-mail informujące o konieczności zapłaty za zobowiązania na wskazany w wiadomości rachunek, który rzekomo jest nowym kontem firmy,
  • atakujący tworzą fałszywe faktury i rozsyłają z rzekomą potrzebą pilnej zapłaty, wiadomość często wygląda generycznie, a cyberprzestępcy nie podszywają się pod konkretnego pracownika, a ogólnie organizację,
  • atakujący podszywają się pod prawnika, informując o rzekomym działaniu w imieniu właściciela firmy (lub innej osoby zarządzającej/decyzyjnej) starają się wymusić konkretne działania,
  • atakujący podszywają się pod pracownika firmy i wysyłają wiadomości do działu kadr/HR informując o rzekomej zmianie numeru rachunku do wypłaty wynagrodzenia.

Należy jednak pamiętać, że i w tym rodzaju ataku kreatywność przestępców nie zna granic i mogą wymyślić nowe scenariusze. Dodatkowo, stosowana przez atakujących socjotechnika może być wzmocniona poprzez przejęcie oryginalnych wiadomości e-mail i wykorzystanie ich do manipulacji. Przejęcie tego typu wiadomości pozwala przestępcom na kontynuowanie korespondencji (z wykorzystaniem adresu e-mail łudząco przypominającym poprawny) i/lub na weryfikowanie jaki styl języka jest wykorzystywany w komunikacji, czy rozmówcy zwracają się do siebie po imieniu, a następnie stworzenie wiarygodniejszych treści oszukańczych.

Co robić, aby ustrzec pracowników mojej firmy przed oszustwem?

Istotnym jest budowanie świadomości pracowników, np. poprzez regularne szkolenia i/lub informacje nt. bieżących oraz często występujących zagrożeń, na które narażeni jesteśmy my – jako użytkownicy Internetu, oraz my – jako pracownicy firm.

 

A jeżeli ja lub ktoś z mojej firmy nie zorientuje się w porę, że został oszukany?

Wszystko zależy od tego jakie dane zostały wyłudzone.

Jeżeli:

  • wrażliwe dane dotyczące firmy, należy niezwłocznie uruchomić procedury wewnętrzne i zadbać o zabezpieczenie potencjalnych skutków, wynikających z poznania przez osoby trzecie tych informacji;
  • przelew środków, należy niezwłocznie powiadomić bank oraz dokładnie przedstawić zaistniałą sytuację.

W obu przypadkach, warto zgłosić również sprawę do organów ścigania, poprzez złożenie zawiadomienie o popełnieniu przestępstwa. Warto również pamiętać, że wstyd nie jest dobrym doradcą. W takich sytuacjach, jak i w przypadku innego rodzaju oszustw, tym którzy dali się nabrać przestępcom, często towarzyszy pewnego rodzaju poczucie kompromitacji czy hańby. To niestety sprawia, że działania zabezpieczające dalsze skutki oszustwa lub możliwość naprawienia tego, co już się wydarzyło opóźnia się, a to działa na niekorzyść ofiary (a w tym wypadku również jego firmy).

ATAKI SOCJOTECHNICZNE, CZYLI UMYSŁ W NIEBEZPIECZEŃSTWIE

Ataki socjotechniczne, czyli umysł w niebezpieczeństwie

Cyberprzestępcy wykorzystują nie tylko zaawansowane narzędzia informatyczne i techniki, aby włamać się do komputerów lub na konta użytkowników. Czasem uciekają się do nakłonienia internautów do popełnienia błędu za pomocą metody zwanej socjotechniką. Jak się przed nią obronić, przypominamy w ramach kampanii „Jak chronić się w internecie – nie tylko podczas Europejskiego Miesiąca Bezpieczeństwa”, która powstała w Państwowym Instytucie Badawczym NASK na podstawie materiałów SANS Institute.

Atak socjotechniczny polega na tym, że cyberprzestępca podszywa się pod kogoś znanego lub zaufanego – przedstawiciela banku, współpracownika albo firmę zapewniającą wsparcie – aby uzyskać to, co jest mu potrzebne.

Cyberprzestępcy mogą przeprowadzać ataki socjotechniczne, używając różnych metod, np. poczty e-mail, komunikatora, telefonu lub osobistego kontaktu. Aby przyciągnąć uwagę potencjalnej ofiary, używają wielu sztuczek – oferują bezpłatne pobrania, ogłaszają wygraną w konkursie albo twierdzą, że komputer został zainfekowany. Ponadto ataki te często wydają się wiarygodne – dokumenty mają oficjalne logo lub podpis. Jaki jest ich cel? Skłonić użytkownika do udostępnienia informacji (jak hasła) lub podjęcia konkretnych czynności (np. otwarcia zainfekowanego załącznika).

Jak mogą wyglądać ataki?

Może to być np. telefon od osoby podającej się za pracownika urzędu skarbowego. Informuje ona ofiarę, że ma zaległości podatkowe i jeśli nie ureguluje ich w ciągu najbliższych 48 godzin, trafi do więzienia. Następnie objaśnia kroki umożliwiające dokonanie płatności natychmiast, przez telefon, i uniknięcie aresztowania.

Tak naprawdę nie jest to jednak urzędnik państwowy. Mamy tu do czynienia z cyberprzestępcą próbującym wyłudzić pieniądze. Stara się on wywołać strach i przekonać, że sprawa jest pilna, zmuszając do popełnienia błędu, np. podania danych karty kredytowej czy informacji potrzebnych do przelewu.

A teraz inny przykład ataku socjotechnicznego: otrzymanie od szefowej e-maila z informacją, że jest w podróży. Twierdzi ona, że musi natychmiast skontaktować się z kimś z działu HR, ale nie posiada, niestety, ich numeru telefonu. Ponadto jej laptop właśnie się rozładował i nie ma dostępu do firmowej skrzynki pocztowej. W związku z tym prosi o przesłanie na jej prywatny adres w domenie gmail.com firmowej książki telefonicznej.

Nie jest to jednak szefowa użytkownika, ale cyberprzestępca, który próbuje zaatakować go przez e-mail. Przestępca próbuje podstępem zmusić go do przesłania mu listy numerów telefonów, aby później zaatakować inne osoby z organizacji.

Oznaki ataków socjotechnicznych

Najprostszym sposobem obrony przed atakami socjotechnicznymi jest po prostu zdrowy rozsądek. Jeśli coś wydaje się podejrzane albo ma się co do tego złe przeczucia, to może być atak. Częste oznaki ataku socjotechnicznego to:

  • wywoływanie wrażenia, że sprawa jest niezwykle pilna. Nacisk, aby podjąć bardzo szybką decyzję.
  • prośba o informację, do której ta osoba nie powinna mieć dostępu.
  • żądania ominięcia bądź zignorowania zasad lub procedur bezpieczeństwa.
  • coś jest zbyt piękne, by było prawdziwe. Typowy przykład stanowi informacja o wygranej na loterii (pomimo braku udziału).

Kilka sposobów ochrony

1. Jeśli istnieje podejrzenie, że ktoś wziął nas na cel, nie należy komunikować się więcej z tą osobą. Najlepiej po prostu odłożyć słuchawkę lub zignorować wiadomość i natychmiast zawiadomić pomoc techniczną lub zespół bezpieczeństwa.

2. Odrzuć pośpiech. 

Ataki socjotechniczne często sugerują, że sytuacja jest niezwykle pilna. Cyberprzestępcy informują cię, że istnieje ścisły termin i prowokują do popełnienia błędu. Jeśli ktoś naciska, aby ominąć lub zignorować procedury, to zapewne atak.

3. Poznaj sztuczki socjotechniczne

Cyberprzestępcy używają emocji, jak strach, onieśmielenie, ciekawość czy podekscytowanie, aby zmusić cię do czegoś, czego chcą. Jeśli coś wydaje się zbyt piękne, aby było prawdziwe, to zapewne takie jest.

4. Pomyśl, zanim klikniesz

Ataki socjotechniczne prowokują cię do nieuważnego klikania w odnośniki i otwierania załączników. Uważaj: jeden błędny ruch może spowodować infekcję urządzenia i rozprzestrzenienie się jej na inne.

5. Rozważnie pobieraj i podłączaj

Cyberprzestępcy oczekują, że pobierzesz złośliwe oprogramowanie, podłączysz zainfekowany nośnik lub urządzenie. Używaj zatwierdzonego sprzętu i oprogramowania. Jeśli nie wiesz, czy coś zostało zaaprobowane, zapytaj.

6. Pytaj, a jeśli coś jest dziwne lub podejrzane, skontaktuj się z ochroną

Jeśli uważasz, że doświadczasz ataku socjotechnicznego, odłóż słuchawkę (lub nie odpowiadaj na e-mail) i natychmiast skontaktuj się z pomocą techniczną.

UWAŻAJ NA OSZUTÓW, PODAJĄCYCH SIĘ ZA PRACOWNIKA TWOJEGO BANKU LUB ZNANEJ CI FIRMY

Uważaj na oszustów, którzy mogą do Ciebie zadzwonić i podawać się za pracownika Twojego banku lub znanej Ci firmy

Uważaj na oszukańcze telefony lub maile. Nie daj się nabrać, zwróć uwagę kto naprawdę do Ciebie dzwoni. Tylko oszuści pytają o login czy hasło, proszą o zainstalowanie aplikacji lub o pełny numer karty, datę jej ważności czy o kod CVV2/CVC2. Trzeba uważać na popularny ostatnio sposób działania przestępców, którzy podszywają się pod znane instytucje finansowe.

Mnożą się sposoby wyłudzania i nieuprawnionego wykorzystania skradzionych danych. Metod, jakimi posługują się złodzieje danych jest bardzo wiele. Do jednych z bardziej niebezpiecznych sposobów oszustów należą chwyty socjotechniczne. To, co je łączy, to element zaskoczenia oraz bazowanie na ludzkiej naiwności lub nieuwadze.

W ostatnim czasie eksperci BIK zaobserwowali zwiększoną aktywność telefoniczną oszustów podszywających się pod rozmaite instytucje zaufania publicznego w celu zebrania danych personalnych. Pojawiły się przypadki podawania się za pracowników BIK i nakłaniania rozmówców do ujawnienia danych osobowych pod pretekstem zweryfikowania informacji o rzekomo niedokończonym wniosku kredytowym lub próbie wyłudzenia kredytu. Na szczęście klienci bankowości są coraz bardziej  świadomi i nie ulegają oszustom.

Nie daj się zaskoczyć, weryfikuj

Dane osobowe i kontaktowe w rękach złodziei oznaczają dla nas wysokie ryzyko utraty pieniędzy. A dla złodziei szansę na zarobek. Dlatego oszuści stosują wyszukane metody socjotechniczne. Obecnie plagą stały się tzw. spoofing – metoda telefoniczna lub mailowa, polegająca na podszywaniu się pod prawdziwe organizacje (w tym banki czy BIK) oraz phishing. Złodzieje wykorzystują narzędzia umożliwiające wykonanie połączenia telefonicznego z wyświetleniem prawdziwego numeru wiarygodniej instytucji, np. znanego dostawcy usług lub banku.

Przestępca nawiązuje bliski i przekonujący kontakt z ofiarą, namawiając do podania danych, np. do wykonania przelewu lub dokonania transakcji kartowej. Wszystkie szczegóły są zmyślone: przestępcy podają fikcyjne uzasadnienie, fikcyjne kwoty zobowiązań, nieistniejące dane odbiorcy.

Rozmowy mogą trwać długo, przestępcy przełączają rozmowę do innych „konsultantów”, żeby stworzyć pozory prawdziwego kontaktu np. z bankiem. Rozmówca jest zmanipulowany, zaczyna wierzyć, że jego pieniądze są w niebezpieczeństwie. Często zdarza się, że jest nakłaniany do zainstalowania na swoim komputerze lub smartfonie aplikacji, która zwiększy bezpieczeństwo pieniędzy. W rzeczywistości ten program czy aplikacja umożliwi oszustom przejęcie kontroli nad telefonem lub komputerem ofiary.

- Zwracam uwagę na konieczność zachowania szczególnej ostrożności przez nas wszystkich. BIK nigdy nie wymaga podania wrażliwych informacji przez telefon. Wszelkie tego typu sytuacje należy zgłaszać do Centrum Obsługi Klientów BIK. Nowoczesna bankowość i coraz częstsze przenoszenie operacji związanych z wykorzystaniem naszych danych do internetu wymagają od nas czujności i świadomego korzystania z nowych możliwości. Praktycznie wszystkie zidentyfikowane przypadki ingerencji oszustów wynikają z niefrasobliwości i łatwowierności klientów. Jeżeli kogoś zaskakuje telefon z firmy, której nie zna, natychmiast powinien przerwać rozmowę i skontaktować się z biurem obsługi danej firmy na podstawie informacji z oficjalnej strony. Nie wdawajmy się w dyskusję z nieznajomymi – mówi Andrzej Karpiński, Szef Bezpieczeństwa Biura Informacji Kredytowej.

Ważne rady, jak nie dać się oszukać

Charakter wszystkich działań złodziei danych jest ten sam - mają one na celu uzyskanie korzyści finansowych.

  • Pielęgnuj dobre nawyki bezpieczeństwa danych - zwracaj uwagę, gdzie i komu je udostępniasz, rozważnie dokonuj transakcji płatniczych w sieci, dokładnie sprawdzaj adresy portali internetowych;
  • Nie oddzwaniaj na nieznany numer ani nie odpisuj anonimowym nadawcom. Jeśli masz wątpliwości co do wiarygodności osoby, która dzwoni – natychmiast rozłącz się, a następnie zadzwoń na oficjalną infolinię firmy, aby potwierdzić czy faktycznie jej pracownik kontaktował się z Tobą;
  • Pamiętaj, pracownik BIK, Związku Banków Polskich, Twojego banku NIGDY nie pyta się o login i hasło do logowania na Twoje konto w banku, nie prosi o pełny numer Twojej karty, jej daty ważności oraz kod CVV2/CVC2, ani nie namawia do zainstalowania aplikacji na Twoim komputerze lub smartfonie;
  • Nie potwierdzaj operacji, których sam nie zlecasz albo których do końca nie rozumiesz;
  • Nie daj się zwieść atrakcyjnym ofertom inwestycyjnym pod pozorem szybkiego zarobku (Komenda Główna Policji i FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP stale ostrzegają przed próbami oszustw przy inwestowaniu w kryptowaluty oraz na rynku Forex);
  • Nigdy nie wiadomo, kiedy i skąd nasze dane zostaną skradzione, dlatego miej włączone Alerty BIK – ostrzeżenia sms, które otrzymasz, gdy ktoś na Twoje dane zaciąga kredyt, pożyczkę, umowę z operatorem telekomunikacyjnym, dokonuje zakupów na raty.

Działaj ostrożnie i rozsądnie - Twoje zachowanie ma wpływ na bezpieczeństwo Twoich pieniędzy.

DWA SKŁADNIKI, CZYLI SPOSÓB NA CYBERBEZPIECZEŃSTWO

Dwa składniki, czyli przepis na cyberbezpieczeństwo

Hasła nie są już wystarczającym sposobem na ochronę naszych kont przed przejęciem ich przez cyberprzestępców. Warto stosować dodatkową weryfikację. Oto, o co chodzi i jak to działa.

Uwierzytelnienie wieloskładnikowe, czyli MFA z ang. Multi-Factor Authentication (najczęściej stosowane jako dwuskładnikowe, czyli 2FA – Two-Factor Authentication), bo o nim mowa, to skuteczny sposób zabezpieczenia kont e-mail czy profili w mediach społecznościowych. Dzięki niemu - nawet jeśli cyberprzestępca w jakiś sposób pozna nasze hasło - nie dostanie się do konta.

Włącz!

Jeśli korzystacie z bankowości elektronicznej będziecie wiedzieli o co chodzi. Banki mają bowiem prawny obowiązek stosowania uwierzytelnienia dwuskładnikowego. Jeden składnik to najczęściej hasło lub PIN, którym logujecie się do konta. Drugi – to np. sms z kodem, który trzeba wpisać przy potwierdzaniu przelewu.

Tak samo to działa w przypadku kont e-mail czy profili w mediach społecznościowych. Tam nie jest to jednak zawsze automatyczne ustawienie. Często musimy włączyć je sami. Warto to zrobić! 
- Uwierzytelnienie dwuskładnikowe warto stosować do ważnych kont, czyli tych, na których naprawdę nam zależy, na które włamanie spowodowałoby dla nas największe szkody – mówi minister Marek Zagórski, pełnomocnik rządu ds. cyberbezpieczeństwa. – To np. poczta elektroniczna. Jeśli przestępcy dostaną się do naszej skrzynki odbiorczej – mogą ją wykorzystać do resetowania haseł na innych kontach. Dlatego warto zadbać o dodatkowe zabezpieczenie – dodaje.

Tak jak już wspominaliśmy - niektóre usługi online będą miały od razu włączone 2FA. Większość jednak nie ma takiej opcji. Musimy zatem włączyć je sami. Jeśli opcja włączenia dwuskładnikowego uwierzytelnienia jest dostępna - zwykle znajduje się w ustawieniach zabezpieczeń konta (może być tam nazwana np. „weryfikacją dwuetapową”).

Dwa typy

A czym dokładnie jest drugi składnik uwierzytelnienia (pierwszy to hasło)? Opcji jest kilka. Jedną z najpopularniejszych są wiadomości SMS.

Podczas uruchamiania 2FA podajemy swój numer telefonu, a usługa – np. przy zmianie hasła lub próbie logowania - wysyła nam wiadomość zawierającą kod. Dopiero po jego wprowadzeniu będziemy mogli się zalogować lub zmienić hasło.

Wiadomości tekstowe nie są najbezpieczniejszym typem 2FA, ale nadal oferują znacznie lepszą ochronę niż jego brak.

Co jeśli nie SMS? Lista kodów lub bezpłatne aplikacje generujące kody jednorazowe.

Najpierw lista kodów. Po włączeniu 2FA na niektórych kontach dostaniemy listę kodów do wykorzystania. Każdy kod będzie działał tylko raz, więc gdy użyjemy wszystkich – będziemy musieli utworzyć kolejne. Kody zapasowe są bardzo przydatne, jeśli musimy się zalogować bez telefonu. Trzeba jednak pamiętać, by trzymać je w bezpiecznym miejscu.

Dużo wygodniejszym i bezpieczniejszym niż listy kodów narzędziami wspierającymi uwierzytelnienie dwuskładnikowe są bezpłatne aplikacje. Najpopularniejsze z nich to Google Authenticator i Microsoft Authenticator generujące kody do najpopularniejszych usług oraz wspierające uwierzytelnienie dwuskładnikowe w logowaniu do zasobów organizacji (np. wewnętrznych portali).

Instrukcje konfiguracji aplikacji:

Istnieją jeszcze inne drugie składniki, które oferuje kilka usług. Niektóre aplikacje po zalogowaniu proszą np. o pozwolenie. Inne umożliwiają korzystanie z „kluczy bezpieczeństwa”, czyli małych urządzeń (tokeny), które można dokupić. Czasem można także użyć adresu e-mail jako drugiego składnika, pod warunkiem, że jest to inne konto e-mail niż to użyte do zresetowania hasła.

Jeśli Twoje konto oferuje choćby jeden z nich i Twoim zdaniem działa prawidłowo - wszystkie one są dobrymi drugimi czynnikami.

A co jeśli 2FA nie jest dostępne? Wtedy jedynym sposobem na wzmocnienie ochrony konta jest silne i unikatowe hasło. Jak takie utworzyć? Sprawdź nasze podpowiedzi.

Możesz też rozważyć zmianę usług na takie, które oferują uwierzytelnianie dwuskładnikowe.

Więcej informacji o tworzeniu bezpiecznych haseł, dwuetapowej weryfikacji i inne wskazówki, jak dbać o swoje bezpieczeństwo w internecie – znajdziecie w naszym poradniku „Jak chronić się przed cyberatakami?” oraz w bazie wiedzy o cyberbezpieczeństwie, którą stale uzupełniamy.

Źródło: https://www.gov.pl/web/baza-wiedzy/dwa-skladniki-czyli-przepis-nacyberbezpieczenstwo

FILMY EDUKACYJNE - CYBERBEZPIECZEŃSTWO

POPULARNE METODY NA WYŁUDZENIA PIENIĘDZY PRZEZ CYBERPRZESTĘPCÓW

Seria składająca się z 4 klipów filmowych w których poruszono kwestie nieustająco popularnych metod na wyłudzanie pieniędzy przez cyberprzestępców. Przedstawiono w nich różne scenariusze oszustw: „na wnuczka”, „na pracownika banku”, fałszywych linków do płatności, a także oszukańczych serwisów oferujących inwestycje w kryptowaluty i na rynku Forex.

 

Odc. 1 "Bankowość dla seniorów - zalety konta w banku" 
Odc. 2 "Uwaga! Fałszywe linki do płatności"
Odc. 3 "Uwaga! Oszukańcze serwisy oferujące inwestycje w kryptowaluty i na rynku Forex"  
Odc. 4 "Uwaga! Oszustwa na pracownika banku"     

 

Obejrzyj filmy na kanale You Tube: https://youtube.com/playlist?list=PLvWZa2ao-01DnBdA9tYSl_SFFfGRP-4Nm  

„BĄDŹ CYBERBEZPIECZNY!”  

W serii 8 mini-klipów przewodnikiem po świecie cyber jest aktor Michał Piela, który w cyklu filmów pod hasłem „BĄDŹ CYBERBEZPIECZNY!” ostrzega przed ułudą łatwych zarobków, fałszywymi linkami do płatności, oszustwami „na pracownika banku”. Uświadamia, że numer karty płatniczej to dane poufne, kopie zapasowe są niezbędne, autoryzacja transakcji wymaga przeczytania treści komunikatu, i że hejtera dopingować nie warto.  

 piela

Cykl klipów "Bądź cyberbezpieczny!":

Odc. 1 Nie daj się zwieść łatwym zarobkom!

Odc. 2 Uważaj na fałszywe linki do płatności!

Odc. 3 Numer karty płatniczej to Twoje dane poufne!

Odc. 4 Rób kopie zapasowe!

Odc. 5 Czytaj, co autoryzujesz!

Odc. 6 Stosuj podwójne uwierzytelnienie!

Odc. 7 Uważaj na oszustwa „na pracownika banku”!

Odc. 8 Nie dopinguj hejtera!

 

Obejrzyj filmy na You Tube: https://youtu.be/hoxUq_4Qw0w

CYBERBEZPIECZNA BANKOWOŚĆ

Artur Andrus postanowił udowodnić, że „siwy także potrafi” działać w świecie cyber i robić to bezpiecznie. Wyjaśnia więc jak założyć konto na selfie, jak płacić bezgotówkowo i jak korzystać z bankowego kantoru.

 andrus

Odc. 1 "Bezpieczne konto na selfie"

Odc. 2 "Bezpieczne płatności bezgotówkowe"

Odc. 3 "Bezpieczny kantor bankowy"

 

Zachęcamy do obejrzenia filmów na You Tube pod adresem: https://youtu.be/UZrD6w1MO0A

Cookies