Jeśli telefonuje "pracownik naszego banku", z informacją, że ktoś złożył wniosek o kredyt z użyciem naszych danych i, że zawiadomią policję - sprawdzamy ostatnią transakcję, a także, czy mamy wszystkie dokumenty. Próbujemy dociec, kiedy mogło dojść do wykradzenia danych. Powinno nas zaalarmować już pytanie o stan konta. Oszust buduje wiarygodność w ten sposób, że dzwoni z infolinii banku, do której wcześniej się włamał. Okazuje się, że mamy do czynienia z spoofingiem lub phishingiem.
Czytaj w LEX: Mechanizmy weryfikacji nadawcy wiadomości - poradnik >>>
Sprawdź też: Phishing i inne zagrożenia dla ochrony danych osobowych >>>
Spoofing, czyli oszukańcze podszywanie się
Biuro prasowe Orange wyjaśnia, że tzw. spoofing to podszywanie się pod innego użytkownika lub inne urządzenie tak, by odbiorcy wyświetlał się numer lub nazwa instytucji. Chodzi o pozyskanie danych. W tym przypadku to nie tyle liczba przeprowadzonych ataków stanowi o ich sile, a fakt, że przestępcy podszywają się pod instytucje powszechnie znane i cieszące się publicznym zaufaniem, takie jak właśnie banki. Dodatkowo, kluczowe w przypadku phishingu nie jest użycie spoofingu, a zastosowanie przez przestępców socjotechniki, która prowadzi do podjęcia przez rozmówcę określonych działań.
Sprawdź też: Przeciwdziałanie phishingowi wykorzystującemu technikę man-in-the-middle >>>
Czytaj w LEX: Instytucja blokady rachunku i wymiana danych o przestępstwach dokonywanych na szkodę banków >>>
Chcesz zapisać ten artykuł i wrócić do niego w przyszłości? Skorzystaj z nowych możliwości na Moje Prawo.pl
- Identyfikacja takich połączeń w momencie, kiedy pojawiają się w sieciach, zwłaszcza kiedy przychodzą z zagranicy, jest trudna - przyznają pracownicy Orange. - Współpracujemy z organami ścigania i zgodnie z obowiązkiem wynikającym z Prawa telekomunikacyjnego, przekazujemy na ich żądanie wykazy połączeń. Pozwalają one dość precyzyjne określić, które połączenia z wykorzystaniem danego numeru były faktycznie wykonane przez użytkownika, a które mogły być wykonane z wykorzystaniem spoofingu. W ramach izb branżowych bierzemy także udział w konsultacjach społecznych między innymi projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.
Czytaj też: Rząd chce walczyć z oszustami internetowymi rękami telekomów>>
Czytaj w LEX: Wyłudzony kredyt jako koszt uzyskania przychodów banku >>>
Czytaj w LEX: Nowe wyzwania dla Prokuratury związane ze zwalczaniem przestępczości gospodarczej i cyberprzestępczości >>>
Prawdziwi konsultanci klienta z banku ostrzegają, że nie należy w żadnym wypadku podawać hasła do rachunku, ani nie klikać w linki, które nam przyślą osoby podszywające się pod dostawcę energii, operatora telefonicznego czy bank. - Mamy wiele takich zgłoszeń od klientów. Gdyby ktoś próbował wziąć pożyczkę w naszym banku, to dokładnie sprawdzilibyśmy jego tożsamość - mówi doradca banku PKO BP.
Coraz więcej nowoczesnych oszustw
Wzrost cyberoszustw obejmuje niemal 7,2 tys. zgłoszeń, czyli o 143 proc. więcej niż w podobnym okresie w ubiegłym roku - odnotowuje CERT Polska - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. Największego zagrożenia upatruje w zorganizowanych grupach cyberprzestępczych. Chodzi m.in. o przechwycenie haseł do naszej poczty lub banku. Badania przeprowadzone w 2022 roku wskazują, że w przypadku 41 procent ataków sieciowych wykorzystywano phishing jako metodę uzyskania pierwszego – kluczowego dostępu do systemów informatycznych, stawiając ją na pierwszym miejscu wśród wszystkich metod.
Policjanci z całego kraju dostają zgłoszenia dotyczące oszustwa przy pomocy portalu OLX oraz aplikacji WhatsApp. Najczęściej zdarzają się oszustwa na OLX, gdy wystawiamy jakąś rzecz na sprzedaż, czy na BLIK. Oszustwo na BLIK polega na wyłudzeniu kodu do płatności, najczęściej z wykorzystaniem komunikatorów. Oszuści wykorzystują nowinki techniczne i osoby, które rzadziej korzystają z zakupów przez internet.
Ale też, jak mówią eksperci, sieć zarzucana jest szeroko: zakłada się wirtualny fałszywy bank i pozycjonuje w internecie przy wykorzystaniu SEO. Wyszukiwarka "wyrzuca" ten pseudo-bank jako pierwszy i np. firma szuka w tym banku korzystnej pożyczki. Otrzymuje linki, wpisuje swoje dane i już "jest złapana na wędkę".
Czytaj w LEX: Zbieg przepisów: oszustwo ogólne i oszustwo kredytowe >>>
Szkodliwe oprogramowanie i sposoby ataku
Phishing jest ogólną nazwą metody przestępnego działania, która wykorzystuje inżynierię społeczną, brak wiedzy informatycznej oraz ludzką ufność. Polega na próbie wyłudzenia istotnych informacji, takich jak stan konta czy dane logowania do systemów bankowości, bądź próby skłonienia do wykonania pewnych czynności w systemach komputerowych za pomocą maili, telefonów, SMS-ów czy innych kanałów komunikacji - wyjaśnia dr Adam Behan, z Katedry Prawa Karnego Uniwersytetu Jagiellońskiego, specjalista w zakresie przestępczości komputerowej, autor monografii o walutach wirtualnych.
Czytaj w LEX: Locus delicti przestępstw popełnianych za pośrednictwem sieci teleinformatycznej - przypadek oszustwa "na prezesa" >>>
Czytaj w LEX: "Kradzież" dóbr wirtualnych w grach sieciowych >>>
Ekspert wymienia następujące, przykładowe metody phishingu:
Tabela 1 Przykładowe sposoby ataku
|
Sposób działania sprawcy |
Możliwe konsekwencje |
Sposób postępowania |
|
Wysyłka maili zatytułowanych: „Faktura Orange”, „Faktura PLAY”, „Faktura Firma XXX” „eFaktura za energię elektryczną [numer]”, “Re: zamówienie”
z załącznikiem nie będącym plikiem PDF (np. faktura_telefon.zip czy rozliczenie.docx, zam_3782_proforma_.xls.)
|
Otwarcie takiego załącznika wiązać się będzie najpewniej z zainfekowaniem naszego komputera jakimś szkodliwym oprogramowaniem. Może to być np. Keylooger który sczytywać będzie wprowadzane przez na klawiaturze dane, malware (szkodliwe oprogramowanie) który uczyni z naszego komputera część botnetu kontrolowanego przez przestępców, czy nawet oprogramowanie ransomware które zaszyfruje dane na naszym komputerze żądając okupu za podanie klucza do ich odszyfrowania. |
USUNĄĆ MAILA BEZ OTWIERANIA ZAŁĄCZNIKA. Stan konta można sprawdzić na stronie operatora/w jego aplikacji. |
|
Wysyłka maili zatytułowanych: „Zaległość na koncie”, „Nieopłacony rachunek”; Faktura Orange”, „eFaktura za energię elektryczną [numer]”, “Re: zamówienie”, „Przyjęte zgłoszenie o odłączeniu gazu”
W których będzie informacja o natychmiastowej konieczność zalogowania na koncie, z uwagi na wyłącznie gazu/prądu/telefonu/ kluczowej usługi z której korzystamy, czy który informować będzie o wygaśnięciu hasła, które trzeba natychmiast zmienić.
|
Link najpewniej będzie prowadzić do przygotowanej przez przestępców strony, która prosić nas będzie o podanie danych logowania do konta (bankowego, mailowego, innego systemu).
Strona taka, czasem będącą wizualnie bardzo profesjonalnie przygotowaną kopią rzeczywistej strony wyłudzać będzie nasze dane logowania pozwalając przestępcom przejąć nasze konto.
Link prowadzić też może do strony która wyświetli jakiś komunikat z prośbą o kliknięcie np. „przejdź do strony”. Kliknięcie przez nas w taki komunikat pozwoli zainstalować na naszym komputerze jakieś szkodliwe oprogramowanie.
|
WERYFIKOWAĆ LINKI PRZESŁANE W MAILU. Jeśli np. dostaliśmy maila „Faktura Orange” z linkiem prowadzącym do strony www.ogongee.com/konto (a nie poprawnej https://www.orange.pl/twojekonto/zaloguj to należy natychmiast wyjść z takiej strony, i skontaktować się z obsługą klienta czy informacja o wyłączeniu jest prawdziwa.
UWAGA! Spoofing Jest jednym z rodzajów Phishingu polegającym na podszyciu się pod domenę. Jest możliwość przesłania maila który pozornie będzie wyglądał jakby wysłany został z poprawnego adresu. To co może zidentyfikować atak to strona do której przeniesie nas link |
|
Wysyłka wiadomości SMS – analogicznie jak w przypadku e-maili treść wiadomości SMS sugeruje konieczność kliknięcia w znajdujący się w wiadomości link, który zawiera szczegółowe informacje bądź konieczność dokonania płatności za zamówienie. |
Link najpewniej będzie prowadzić, która prosić nas będzie o podanie danych logowania do konta (bankowego, pocztowego, jakiegoś systemu), bądź podanie nr Blik do opłacenia rachunku za gaz/telefon/prąd.
|
NIE SUGEROWAĆ SIĘ NAZWĄ NADAWCY JAK SIĘ WYŚWIETLA W TELEFONIE. Może być ona za pomocą specjalnego oprogramowania zmieniana. W razie jakichkolwiek wątpliwości należy samodzielnie wejść na stronę danej firmy i zalogować się na konto ew. skontaktować z działem obsługi klienta dzwoniąc na numer podany na stronie |
Oszustwo na krypto-waluty
Dr Behan, który obronił doktorat z prawnokarnych aspektów walut wirtualnych, ok. 1,5 roku temu otrzymał telefon od osoby, która go przekonywała, że na giełdzie krypto-walut był błąd i może otrzymać 1 Bitcoina (wartego wówczas ok. 150 tys. zł). Z uwagi jednak na „przepisy prawa” konsultantka musi nadzorować ten proces, a uczynić to może tylko za pomocą programu do pomocy zdalnej, który trzeba pobrać i zainstalować, podając następnie dane do zalogowania (login i hasło). Przez 15 minut prawnik rozmawiał z tą osobą mając świadomość, iż jest przedmiotem ataku, śledząc mechanizm oszustwa i odpowiedzi, jakich udzielała oraz szczegółowe instrukcje, jakimi się posługiwała, czy tłumaczenia, w jaki sposób ów program zainstalować i dlaczego to jest niezbędne.
Czemu miało służyć zainstalowanie programu do pomocy zdalnej (np. AnyDesk czy TeamViewer)? Zainstalowanie takiego programu i podanie danych logowania, oznacza danie dostępu do naszego systemu atakującemu. Analogicznie, jak w przypadku ataku z wykorzystaniem maila, będzie najpewniej z zainfekowaniem naszego komputera jakimś szkodliwym oprogramowaniem. Może to być np. Keylooger, który zczytywać będzie wprowadzane przez na klawiaturze dane, malware, który uczyni z naszego komputera część botnetu, czy nawet oprogramowanie ransomware, które zaszyfruje dane na naszym komputerze, żądając okupu za podanie klucza do ich odszyfrowania.
Czytaj w LEX: Poradnik ransomware >>>
Czytaj w LEX: Pseudonimizacja i szyfrowanie danych osobowych ze wskazaniem dobrych praktyk >>>
Telefon z księgowości
Przestępcy coraz częściej stosują też łączenie modeli ataków phishingowych – wysyłkę maili do firmy poprzedza telefon z „księgowości” czy „działu zaopatrzenia”, który informuje, że zostanie przesłane zestawienie czy dokument do pilnego rozpoznania.
- Statystycznie zwiększa to około trzykrotnie liczbę kliknięć w link czy otwarcie dokumentu, a tym samym skuteczność samego ataku - wyjaśnia dr Behan.
Znakiem ostrzegawczym, czerwoną lampką, która powinna zapalić się w naszych głowach odbierając połączenia telefonicznie, jest m.in.:
- prośba o podanie PESEL
- prośba o podanie loginu czy hasła
- prośba o zainstalowanie jakiegoś programu/dodatku
- prośba o podanie nr karty debetowej lub kredytowej
- prośba o podanie stanu konta
W takich sytuacjach zalecane jest rozłączenie się i kontakt z Biurem Obsługi Klienta, dzwoniąc na numer podany na stronie, gdyż najpewniej jesteśmy właśnie celem przestępczego ataku - radzi dr Adam Behan.
Człowiek - najsłabsze ogniwo
Radca prawny Bartosz Wojciechowski z Kancelarii ANSWER mówi, że nawet specjaliści od cyberbezpieczeństwa mogą dać się oszukiwać.
- Najsłabszym ogniwem w tym procederze jest człowiek. Phishing opiera się na inżynierii społecznej, która łamie właśnie człowieka, a nie system informatyczny. Wszelkie rodzaje zabezpieczeń przed cyberprzestępcą okazują się zawodne. Prowadzimy sprawy dotyczące phishingu i zdarzają się przypadki oszustw wobec osób bardzo świadomych. Znamy przypadek ofiary phishingu, której ukradziono wszystkie oszczędności poprzez aplikację bankową. Co ciekawe, ta osoba była przez wiele lat pracownikiem tego banku i dobrze znała wszelkie zabezpieczenia - mówi mec. Wojciechowski.
Największym wrogiem w takich sytuacjach jest trzymanie się utartych schematów myślowych. Mecenas Wojciechowski przez 11 lat był szefem działu prawnego w Allegro odpowiedzialnym także za bezpieczeństwo systemów i twierdzi, że nie ma idealnych zabezpieczeń przed phishingiem.
Chcesz zapisać ten artykuł i wrócić do niego w przyszłości? Skorzystaj z nowych możliwości na Moje Prawo.pl
Czytaj w LEX: Pojęcie przestępczości bankowej - komentarz praktyczny >>>
Czytaj w LEX: Bankowe oszustwo kredytowe - komentarz praktyczny >>>
Reakcja banków
- Bankom powinno najbardziej zależeć na zabezpieczeniu klientów przed phishingiem. Dlatego że jego konsekwencje w postaci utraty środków na naszym rachunku bankowym - zgodnie z prawem - ponosi właśnie bank. Wyjątkami od takiej konstrukcji prawnej jest tylko sytuacja, w której ofiara phishingu dopuści się rażącego niedbalstwa. W przypadku przestępstw phishingowych, banki jednak bardzo rzadko starają się brać odpowiedzialność na siebie, twierdząc, że winę ponosi lekkomyślny klient, który podał hasła. Jednak to jest mylny pogląd.
Czytaj więcej: Straty banku z tytułu wyłudzenia pieniędzy - linia orzecznicza w LEX >>>
- Prowadzimy sprawy przeciwko bankom, wyjaśniając, że utracone przez przestępstwo pieniądze są de facto pieniędzmi utraconymi przez bank, a zarówno krajowe, jak i unijne regulacje przerzucają obowiązek zwrotu tych środków przez bank do klienta i to w ciągu jednego dnia roboczego - wyjaśnia mec. Wojciechowski. - Jeżeli jednak klient banku umyślnie lub z rażącym niedbalstwem przekazał klucze do dysponowania rachunkiem bankowym, a bank jest w stanie to wykazać, wówczas to klient ponosi odpowiedzialność. Tyle że techniki phishingowe prowadzą do tego, że nie pomagamy oszustowi w utracie środków przez swoją świadomość uczestniczenia w tym procederze, a nawet jeśli wykazujemy się niedbalstwem, to z pewnością nie jest to jego rażąca postać. Liczę na to, że im więcej będzie wyroków zasądzających zwrot skradzionych środków przez banki, tym większa będzie ich determinacja w eliminowaniu tego zjawiska - dodaje.
Zobacz orzeczenia w LEX:
- III SA/Wa 2067/15, Strata w wyniku wyłudzenia pożyczki. - Wyrok WSA w Warszawie >
- I KK 59/22, Krąg osób poszkodowanych wyłudzeniem pożyczek - Wyrok SN >
- II AKa 179/21, Rozgraniczenie starania się o kredyt od jego wyłudzenia - Wyrok Sądu Apelacyjnego w Poznaniu >
Warto zauważyć, że bankom zależy na tym, aby klienci mieli dużą swobodę dysponowania pieniędzmi. Szeroki dostęp do rachunków bankowych, proste mechanizmy aplikacji online – sprzyjają budowaniu scenariuszy takiej przestępczości. Łatwość korzystania ze środków złożonych w bankach i ich solidne bezpieczeństwo niekiedy się wykluczają - wskazuje prawnik.
Eksperci podkreślają, że kluczowe powinny być tu także szeroko zakrojone działania edukacyjne o potencjalnych zagrożeniach phishingowych. Na razie, działania banków w tym zakresie koncentrują się na informacjach publikowanych przez własne, bankowe strony internetowe, które nie są ani podstawowym, ani powszechnym źródłem informacji dla użytkowników internetu czy klientów bankowości online.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
