Jak nie dać się okraść w Internecie – wyłudzenia i oszustwa w mediach społecznościowych

Materiał informacyjny UKNF
Czy otrzymałeś kiedyś podejrzaną wiadomość na Messengerze od swojego znajomego? Prosił Cię o kliknięcie w link, zrobienie przelewu lub podanie kodu BLIK? Być może jego konto zostało przejęte przez oszusta, który próbował wyłudzić od Ciebie pieniądze.

W Polsce z mediów społecznościowych korzysta prawie 25 mln osób. Konto na Facebooku ma niemal co drugi Polak. To powoduje, że jesteśmy w szczególny sposób narażeni na ataki przy pomocy tej platformy.

Pamiętajmy przede wszystkim, że uniwersalna zasada ograniczonego zaufania powinna być przez nas stosowana także w mediach społecznościowych – zwłaszcza że tutaj zagrożenie najczęściej przychodzi z kont naszych znajomych, najbardziej zaufanych osób. To jednak nie oni piszą do nas alarmujące wiadomości o pilne wsparcie i pomoc, lecz cyberprzestępcy, którzy chwilę wcześniej przejęli ich konto.

Jak to się dzieje? Przestępca uzyskuje dostęp do konta twojego znajomego poprzez poznanie hasła i loginu. Pozyskać je może na skutek wycieku danych lub ataku na nieświadomego internautę. Przy ich pomocy loguje się na konto i przejmuje nad nim kontrolę. Dalej scenariusze wyłudzania pieniędzy mogą różnić się od siebie.

Podstawowa i najczęściej spotykana jest próba wyłudzenia od znajomych kodu do szybkiej płatności – kodu Blik. Oszust, po przejęciu konta, przegląda konwersacje z innymi użytkownikami i na tej podstawie ustala, w jaki sposób dwoje znajomych zwraca się do siebie, o czym pisze i jak. Następnie w bardzo podobnym schemacie kontynuuje rozmowę, prosząc znajomego o kod Blik. Powodów jest wiele – zapomniał portfela, musi szybko za coś zapłacić, lub nie ma pieniędzy i prosi o pożyczkę. Po podaniu kodu oszust natychmiast wypłaca pieniądze w bankomacie i prosi o kolejne kody. Pretekstem może być jakiś rzekomy błąd transakcji lub niewystarczająca ilość środków. Dopiero gdy osoba oszukiwana zda sobie sprawę z rzeczywistych intencji rozmówcy, oszust urywa kontakt i znika z pieniędzmi.

Innym schematem działania jest przesyłanie linków do podejrzanych stron. Oszust z przejętego konta może zachęcać do wzięcia udziału w loterii, dobrej inwestycji lub odebrania kuponu na zakupy. W każdym z tych przypadków następuje wyłudzenie danych do logowania do bankowości elektronicznej lub numerów karty płatniczej, wraz z kodem CVC i terminem ważności. Zdarza się również, że po kliknięciu w link na komputerze lub telefonie pobiera się złośliwa aplikacja i to za jej pomocą oszust kradnie środki z konta. Najczęściej przejęte konto zaprosi nas do grupy, gdzie inni fałszywi użytkownicy również będą pozytywnie wypowiadać się o owych stronach i potwierdzać dobroczynny schemat ich działania.

W jaki inny sposób przestępcy mogą ukraść pieniądze z konta? Bardzo często zakładają fałszywe profile bankowe i zachęcają do skorzystania z superpromocji. Wystarczy kliknąć w ich link, by znaleźć się na stronie oszusta. Tam – podobnie jak przy poprzednim schemacie – następuje wyłudzenie numerów karty lub loginu i hasła do bankowości. Oszuści często korzystają z możliwości płatnej reklamy, w związku z czym złośliwe posty prezentują się tuż po zalogowaniu na znane portale internetowe. Często pod postami znajdziemy bardzo dużo przychylnych komentarzy – są to opinie kont tworzonych masowo przez oszustów, za którymi stoi robot, a nie człowiek.

Zdarza się również, że przestępcy podszywają się pod znane osoby i przy wykorzystaniu ich wizerunku promują swoje oszukańcze usługi. W Polsce popularne jest podszywanie się pod Roberta Lewandowskiego, za granicą pod Elona Muska. Fałszywe profile zachęcają do dokonywania podejrzanych transakcji lub inwestowania poprzez fikcyjne platformy. Zdarza się, że oszuści oferują z takich kont możliwość podwojenia kwoty inwestycji, lub wyjątkowe rabaty, dostępne tylko przez krótki czas.

Popularnym oszustwem w mediach społecznościowych jest też wszelkie „opróżnianie magazynów” lub wyprzedaż dużej partii nowych telefonów, rzekomo wycofanych ze sprzedaży przez błahy powód, np. brak przewodu do ładownia lub uszkodzone pudełko. Kliknięcie w link takiej „promocji” powoduje finalnie utratę pieniędzy z naszego konta.

Jak zabezpieczyć się przed takim oszustwem? Przede wszystkim, nie wierz we wszystko, co jest w Internecie. Pamiętaj, że nawet twój najbliższy przyjaciel mógł paść ofiarą kradzieży konta, z którego może pisać do Ciebie oszust. Stosuj zasadę ograniczonego zaufania – upewnij się, czy faktycznie osobą proszącą o przelew jest Twój dobry znajomy. Zadzwoń do znajomego, spytaj, czy to na pewno on pisze ze swojego konta.

By zabezpieczyć siebie i swoich znajomych, pamiętaj również, aby w Internecie nigdy nie stosować tego samego hasła dwa razy! Na konto do Facebooka ustaw inne hasło niż do poczty czy do banku. Zalecamy, aby do samego hasła dodać również weryfikację dwuetapową (2FA). Polega ona na tym, że po wpisaniu loginu i hasła, należy dodatkowo potwierdzić logowanie – przepisując kod SMS lub potwierdzając je na innym urządzeniu.

Pamiętaj również o weryfikacji wszystkich danych kontaktowych. Sprawdź w ustawieniach profilu czy podany e-mail i numer telefonu jest aktualny. Takie ustawienie może skutecznie odstraszyć złodzieja, gdyż trud włożony w kradzież kilkuset złotych będzie mniej wart niż włamanie się na Twoje konto!

Jak może wyglądać rozmowa z oszustem?

Zapraszamy do śledzenia naszego profilu na Twitterze, gdzie na bieżąco ostrzegamy przed różnymi oszustwami w Internecie https://twitter.com/CSIRT_KNF

CSIRT KNF – Zespół cyberbezpieczeństwa polskiego sektora finansowego powołany przez KNF w ramach ustawy o krajowym systemie cyberbezpieczeństwa.

Autor: Bartosz Biderman – Zespół CSIRT KNF

Materiał oryginalny: Jak nie dać się okraść w Internecie – wyłudzenia i oszustwa w mediach społecznościowych - Polska Times

Dodaj ogłoszenie