Chroń się przed wyłudzeniami

Scam, przekręt, wyłudzenie, oszustwo. Nazw na to zjawisko jest wiele. Od dawna słyszymy o wyłudzaniu pieniędzy i danych różnymi sposobami. Sygnalizowałem także ten temat w tym wpisie. Na wnuczka, na policjanta, na nigeryjskiego księcia. Łatwo powiedzieć – chroń się przed wyłudzeniami. Ale jak to zrobić?

Metody wyłudzeń

Obecnie istnieje wiele rodzajów i wektorów ataku. Maile, telefony, komunikatory, platformy handlowe – tylko wyobraźnia ogranicza wyłudzaczy. Nie da się omówić wszystkich scenariuszy, bo jest ich tak wiele, jak przestępców. Jednak jest kilka ogólnych i popularnych schematów, które postaram się omówić.

Podszycie się pod zaufaną instytucję

Najpopularniejszy w ostatnich latach sposób prowadzenia wyłudzeń. Nie tylko w Polsce, ale w ogóle w krajach dotkniętych tym zjawiskiem. Nagranie takiej rozmowy opublikował w tamtym roku Niebezpiecznik. Zachęcam do wysłuchania całego materiału, ponieważ różne warianty tego ataku nie różnią się od siebie aż tak bardzo, a dowiecie się, jak wygląda jego schemat.

Podszycie się pod członka rodziny

Czyli klasycznie „na wnuczka”. Oszust dzwoni do osoby starszej i mówi, że potrzebuje pieniędzy pod różnymi pretekstami, zwykle wymagającymi pilnej wpłaty. Na przykład wpłacenia kaucji/zapłacenia mandatu/pilnego przelewu. Świetny artykuł na ten temat opublikowała pucka policja.

„Nigeryjski szwindel”

Pomysł na ten przekręt powstał około 50 lat temu, na przełomie lat 70. i 80. I dalej ma się bardzo dobrze, chociaż oczywiście ewoluują niektóre jego elementy. Schemat działania opiera się o to, że oszust proponuje ofierze podział dużej sumy pieniędzy z wątpliwego źródła (na przykład podaje się za członka nigeryjskiej rodziny królewskiej, skąd wzięła się nazwa przekrętu). Operacja ta często rzekomo wymaga dodatkowych działań w rodzaju założenia fikcyjnej działalności gospodarczej czy przekupywania urzędników państwowych. Następnie ofiara musi zainwestować własne środki w celu przeprowadzenia „operacji”. Oczywiście oszust po otrzymaniu środków od ofiary ulatnia się i ślad po nim znika.

Platformy handlowe/social media

Scam, który pojawił się w ciągu kilku ostatnich lat w związku z rosnącą popularnością platform typu OLX, Vinted, Allegro Lokalnie czy grup sprzedażowych na Facebooku. Znowu mamy tutaj do czynienia z mnogością scenariuszy. Ogranicza je tylko fantazja scammerów. Kilka możliwych przebiegów wyłudzeń opisało w swoim poradniku OLX, a jeżeli władacie językiem angielskim, to poczytajcie o scamach na Facebook Marketplace (może przygotuję polską wersję artykułu?).

Wektory ataku

Już po pobieżnej lekturze artykułów w powyższych załącznikach możecie się zorientować, że wykorzystywane jest w zasadzie każde medium komunikacyjne. W zależności od scenariusza ataku może to być mail, telefon, komunikator czy SMS.

Telefon

Największym problemem w rozpoznawaniu scamu telefonicznego jest dla wielu tzw. Caller ID Spoofing. Czyli, tłumacząc na nasze, podszywanie się pod identyfikator rozmówcy. Polega ono na tym, że sieć telefoniczna wskazuje odbiorcy, że inicjator połączenia jest stacją inną niż stacja inicjująca połączenie. Czyli osoba wykonująca połączenie może doprowadzić do tego, iż odbiorcy połączenia pokazuje się identyfikator inny niż numer telefonu, z którego wykonano połączenie. Na przykład banku czy operatora telefonicznego.

SMS

Zasada jest bardzo podobna do spoofingu ID rozmówcy, ale od strony technicznej jest jeszcze łatwiejsze. W sieci dostępne są bramki SMS, które pozwalają zmienić tzw. „nadpis” nadawcy, czyli tę nazwę, która pojawia się nad rozmową sms-ową.

E-mail

E-mail spoofing to wysyłanie maili, których dane nagłówkowe (głównie dotyczące nazwy i adresu e-mail nadawcy) zostały zmodyfikowane, aby wyglądały na pochodzące z innego źródła. Drugim rozwiązaniem jest wykorzystywanie domen, które na pierwszy rzut oka są bardzo podobne do faktycznie istniejących i zaufanych adresów, jak Netlfix, Alegro, Amzaon… Bez uważnego przeczytania ciężko zauważyć różnicę, prawda?

Komunikatory

Tutaj problem jest dość złożony, bo w zasadzie możesz sobie ustawić taką nazwę użytkownika, jaka tylko Ci się podoba. I wcale nie musisz rejestrować konta na swój numer telefonu, więc ustalenie tożsamości nadawcy graniczy z cudem. Szczególnie, że wiele współczesnych komunikatorów oferuje szyfrowanie end-to-end, więc nawet dostawca usługi (operator komunikatora) nie wie, kto jest po drugiej stronie. Najprostsze rozwiązanie? Jeśli nie masz tej osoby na liście kontaktów w swoim telefonie, nie odpowiadaj.

No dobra, to jak się przed wyłudzeniami bronić?

Ha, bardzo dobre pytanie. I bardzo trudno na nie odpowiedzieć. Bo skoro przestępcy są w stanie podszyć się pod jakąkolwiek tożsamość, to jakie mamy narzędzia kontroli nad naszym bezpieczeństwem?

Przede wszystkim zasada ograniczonego zaufania. Jeżeli masz jakiekolwiek wątpliwości, czy faktycznie rozmawiasz z osobą, za którą podaje się rozmówca, pod żadnym pozorem nie podawaj żadnych danych. Ani osobowych, ani tym bardziej bankowych! Jeśli podasz dane swojej karty kredytowej w niewłaściwym miejscu, to po prostu stracisz pieniądze.

Za mBankiem (cały artykuł do przeczytania tutaj):

Pracownik banku NIGDY nie będzie prosił Cię o zainstalowanie aplikacji np. AnyDesk lub TeamViewer Quick Support na Twoim komputerze lub smartfonie. Pracownik banku NIGDY nie będzie Cię pytał o login i hasło do logowania na Twoje konto w banku. Pracownik banku NIGDY nie będzie Cię pytał o pełny numer Twojej karty, jej daty ważności oraz kodu CVV2/CVC2. Uważnie czytaj wszystkie wiadomości SMS przesłane z banku lub komunikaty autoryzacyjne w aplikacji mobilnej. Nie potwierdzaj operacji, których sam nie zlecasz albo których do końca nie rozumiesz!

To się tyczy nie tylko banków, ale każdej instytucji i firmy, której pracownicy się z Tobą kontaktują.

Jak wspominałem we wcześniejszym artykule: jeśli masz wątpliwości czy rozmawiasz z pracownikiem danej instytucji, przerwij rozmowę i zadzwoń do nich sam/sama, aby potwierdzić czy to pracownik firmy się z Tobą kontaktował.

Jeśli chodzi o platformy komunikacyjne/sprzedażowe, to kontaktuj się z innymi użytkownikami tylko przez skrzynki oferowane w ramach konkretnych platform. Wtedy przynajmniej operator platformy ma wgląd w sprawę. A Ty (w większości przypadków) jesteś chroniony przez regulamin portalu i możesz próbować składać reklamację.

I pamiętajcie, każde takie zdarzenie warto zgłaszać! To daje narzędzia do pracy pionom bezpieczeństwa firm, pod które podszywają się przestępcy.