fbpx
poniedziałek, 25 września, 2023
Strona głównaArchiwumCYBER SECURITY: Jak dbać o bezpieczeństwo naszych finansów

CYBER SECURITY: Jak dbać o bezpieczeństwo naszych finansów

Cyberprzestępcy używają coraz przebieglejszych metod kradzieży pieniędzy, bazując na niewiedzy, naiwności i emocjach u potencjalnych ofiar. Fałszywy SMS czy telefon od osoby podającej się za pracownika banku może otrzymać każdy, więc pojawiające się ostrzeżenia ze strony banków należy traktować bardzo poważnie. Klienci powinni być nie tylko bardzo ostrożni, ale też przestrzegać podstawowych zasad bezpieczeństwa.

Chociaż banki na różne sposoby ostrzegają swoich klientów o aktualnych zagrożeniach, internetowi oszuści modyfikują swoje metody działań, by uśpić czujność potencjalnych ofiar i uzyskać dostęp do ich poufnych danych. Przestępcy przede wszystkim chcą pozyskać loginy i hasła umożliwiające dostęp do kont bankowych, ale także dane kart płatniczych czy pełne dane osobowe.

Podstępne wyławianie takich informacji to phishing i z roku na rok przybiera coraz bardziej wyrafinowane formy. Jedną z form tej przestępczej praktyki jest podszywanie się pod pracownika banku lub funkcjonariusza policji. Oszuści przy pomocy swoich narzędzi są w stanie wyświetlić dowolny numer telefonu na telefonie odbiorcy, np. numer infolinii banku czy numer 112. Stosują socjotechniczne sztuczki, aby skłonić swoją ofiarę do podania poufnych danych, zainstalowania aplikacji czy bezpośredniego przekazania pieniędzy. Socjotechnika jako sztuka wywierania wpływu jest obecna także w atakach skierowanych w wiadomościach. Wywieranie wpływu, podszywanie się i wyłudzenie danych to działania, które są wspólnym mianownikiem dla ataków różnego rodzaju.

Uwiarygodnianie oszustwa

SMS-y z informacją o konieczności dopłaty do paczki, dokonania opłaty za prąd, gaz czy wodę to przykład schematu fałszywych wiadomości, które na stałe wtopiły się w rzeczywistość. Podszycie się pod firmy kurierskie czy innych dostawców kluczowych usług daje większe szanse na to, że odbiorca uzna wiadomość za autentyczną i instynktownie kliknie w link w niej zawarty.

Dodatkowo taki nieprawidłowy ruch może wynikać ze wzbudzaniu w odbiorcy niepokoju np. groźbą odłączenia energii elektrycznej. Zazwyczaj samo kliknięcie w link nie jest sytuacją niebezpieczną, lecz wpisanie poufnych danych na stronie, do której link prowadzi, już tak. W większości przypadków strony stworzone przez cyberprzestępców do złudzenia przypominają te prawdziwe, co sprawia, że ofiary, zamiast sprawdzić adres www (który jest różny od strony autentycznej), pozostają nieświadome oszustwa i wpisują swoje loginy, hasła i inne poufne dane.

Fałszywe linki

Przestępcy są też pomysłowi i szybko reagują na bieżące wydarzenia. Często tworzą treści podszywające się pod nowe usługi i funkcjonalności, licząc na dezorientację użytkowników, którzy nie zawsze nadążają za zmieniającym się rynkiem. Wykorzystują także ludzką naiwność, rozsyłając wiadomości o rzekomej przyznanej nagrodzie czy wiadomości zawierające fałszywą reklamę łatwego zysku. Należy pamiętać, aby nie klikać w linki bez uzyskania pewności, kto go skierował. Linki przesyłane za pośrednictwem SMS-ów lub komunikatorów internetowych mogą bowiem także prowadzić do zainfekowanych stron, które spowodują instalację złośliwego oprogramowania.

Warto jednak pamiętać, że nie tylko linki mogą być niebezpieczne. W wiadomościach e-mailowych poza linkiem należy uważać na załączniki. Te wysyłane przez przestępców mogą udawać urzędowe pismo lub wyciąg z konta. Przestępcy w tym przypadku zazwyczaj także podszywają się pod znany podmiot, wykorzystując np. logo innej firmy, a niebezpieczne załączniki nazywając dowolną nazwą skłaniającą do ich otwarcia. W przypadku wiadomości e-mail przed kliknięciem w taki załącznik należy dokładnie zweryfikować adres e-mail nadawcy, bowiem oszuści chętnie tworzą adresy e-mail podobne do nazw, jakimi operują podmioty, pod które się podszywają. Różnice w adresie e-mail mogą pomóc rozpoznać próbę podszycia się. Także nietypowy charakter załącznika lub błędy zawarte w wiadomości mogą być sygnałem ostrzegawczym, że wiadomość należy traktować jako podejrzaną.

Aspektem świadczącym o złych intencjach może być wymuszenie pośpiechu w odbiorcy lub poczucia niepokoju. To właśnie socjotechnika, czyli wywieranie wpływu na drugiego człowieka, jest kluczowa w atakach skierowanych do klientów banków. Oszuści są mistrzami manipulacji – przypisując sobie fałszywą tożsamość, podszywając się pod znane podmioty, potrafią zintensyfikować w odbiorcy każde emocje, zazwyczaj lęk bądź zaufanie.

Niestety wzbudzają w ofiarach także pośpiech, który jest złym doradcą i powoduje zignorowanie zasad bezpieczeństwa. Należy pamiętać, że oszuści wizualnie są w stanie stworzyć komunikaty czy strony www z niemal idealnym odwzorowaniem tych, pod które się podszywają, dlatego w rozpoznaniu ataku pozwala weryfikacja adresów e-mail, adresów stron www czy samodzielny kontakt z podmiotem, jeśli wiadomość wydaje się być podejrzana.

Spoofing telefoniczny

Na tym jednak nie koniec. Fałszywe wiadomości mogą być tylko częścią bardziej skomplikowanego oszustwa – mogą je jedynie uwiarygadniać. Taki przykład można odnaleźć w oszustwie na pracownika banku wykorzystującym spoofing telefoniczny. Ofiara często otrzymuje SMS-em jedną lub nawet kilka wiadomości, wśród których może być informacja o zaciągnięciu pożyczki na jego dane. To prosty trik, by przestraszyć potencjalną ofiarę, a następnie w rozmowie przedstawić jej fałszywy scenariusz o próbie wyłudzenia kredytu. Na ataki w równym stopniu narażone są osoby prywatne i doświadczeni przedsiębiorcy.

W przypadku największego polskiego banku PKO BP – jeżeli klient ma wątpliwość, czy rozmawia z pracownikiem tego banku, może powiedzieć rozmówcy, że chce potwierdzić jego tożsamość w aplikacji IKO. Jeśli klient rzeczywiście rozmawia z pracownikiem banku, dostaje powiadomienie push w aplikacji IKO z danymi pracownika. Taka funkcjonalność znacząco ułatwia rozpoznawanie ataków tego typu (na stronie internetowej banku jest dokładnie wyjaśnione krok po kroku, jak to zrobić).

Scenariusze prób wyłudzenia danych umożliwiających dostęp do konta bankowego są różne. Oszuści kontaktują się ze swoimi ofiarami zarówno przez wiadomości SMS, komunikatory, jak i rozmowy telefoniczne. Jeszcze raz warto podkreślić, że zawsze należy sprawdzać, gdzie wpisujemy swój login i hasło dostępu do konta bankowego, dane karty płatniczej i swoje dane osobowe. Przed zatwierdzeniem każdej transakcji bankowej należy dokładnie przeczytać, czego ona dotyczy, na czyją rzecz jest robiona i w jakiej wysokości. Emocje nie powinny przysłonić podstawowych zasad bezpieczeństwa.

Sieć publiczna

Będąc poza domem, na przykład w delegacji, powinno się zwrócić uwagę na sposób logowania się do sieci. Najlepiej jest korzystać z własnej sieci internetowej w telefonie bądź posiadać urządzenie mobilne i zabierać je ze sobą (niewielki modem). Taki modem uniezależnia od konieczności korzystania z sieci publicznej, na przykład hotelowej. Jest też opcją bezpieczniejszą, ponieważ wymaga od przestępcy złamania dodatkowego hasła. Publiczne, otwarte sieci są podatne na ataki. Dodatkowo istnieje ryzyko podłączenia się do fałszywych hotspotów, ponieważ używają tej samej nazwy co sieć, którą naśladują.

Użytkownik, logując się do takiej sieci, ryzykuje, że jego dane zostaną przechwycone przez oszustów. Należy brać to pod uwagę szczególnie w sytuacji logowania się do bankowości elektronicznej czy wykonywania transakcji płatniczych. W sieci publicznej najlepiej tego unikać. Przy korzystaniu z internetowej sieci publicznej należy pamiętać, by nie przeglądać, nie otwierać ani tym bardziej nie pracować z udziałem podejrzanych załączników.

Chcąc zachować podstawowe zasady cyberbezpieczeństwa, warto skorzystać z tzw. połączenia VPN. Wirtualne sieci prywatne (ang. VPN) tworzą bezpieczne połączenie między użytkownikiem a Internetem, zapewniając dodatkową ochronę prywatności i anonimowości. To w pewnym sensie tunel, w którym poruszają się informacje wymieniane między komputerem użytkownika i Internetem.

Podstawą zabezpieczenia każdego urządzenia powinno być zaktualizowane oprogramowanie antywirusowe. Nie mniej ważna jest też zapora ogniowa, czyli technologia pozwalająca na wykrywanie i blokowanie zagrożeń sieciowych.

Przede wszystkim jednak dostęp do ważnych miejsc w sieci powinien być zabezpieczony silnymi hasłami, czyli odpowiednio długimi i skomplikowanymi. Wszędzie tam, gdzie jest to możliwe, należy włączać uwierzytelnianie dwuskładnikowe, zwane także weryfikacją dwuetapową. Hasło jest wówczas tylko jednym składnikiem weryfikacji. Drugim może być kod SMS bądź kod utworzony przez aplikację zainstalowaną na urządzeniu mobilnym. Taki rodzaj silnego uwierzytelnienia posiada bankowość internetowa. Inne platformy coraz częściej umożliwiają zabezpieczenie konta w ten sposób, jednak przedstawiają dwuetapowe logowanie jako funkcję ponadobowiązkową. Warto silniej zabezpieczać także skrzynki pocztowe, konta w mediach społecznościowych i wszelkie miejsca, gdzie udostępniamy swoje dane bądź wymieniamy się istotnymi informacjami.

Media społecznościowe

Coraz częściej wykorzystywanym przez cyberprzestępców kanałem dotarcia do użytkownika i do wyłudzania środków finansowych są też media społecznościowe. Oszust najpierw dąży do zdobycia zaufania swojej ofiary, by potem wyłudzić jej dane logowania do konta lub skłonić do niekorzystnego zarządzenia swoimi pieniędzmi.

Bywają sytuacje, gdy użytkownik portalu społecznościowego dostaje wiadomość od swojego znajomego, który prosi o pomoc i pożyczkę np. na leczenie śmiertelnie chorej osoby z rodziny. Rozmowę przez komunikator internetowy prowadzi tak naprawdę oszust, który chce pozyskać maksimum danych dotyczących swojej ofiary, w tym loginy i hasła dostępu do kont.

Na portalach społecznościowych można natrafić także na reklamy gwarantujące wysokie zyski w krótkim czasie i zachęcające do inwestowania. Takie „inwestycje” mają często gwarantować niebotyczne dochody. Z dużą dozą prawdopodobieństwa jest to jednak próba oszustwa.

Uwaga na „wyjątkową promocję”

Czasami oszuści przechwytują konta profili społecznościowych i przez ich wewnętrzne komunikatory zachęcają do skorzystania z atrakcyjnych kuponów czy promocji załączając złośliwy link. Efektem aktywowania takiego linku może być pobranie na urządzenie złośliwego oprogramowania, które może wykradać dane. W innym przypadku link kieruje na stronę www, która wyłudza poufne dane. Wszystkie informacje, które poda się na fałszywej stronie, trafiają bezpośrednio do przestępcy, który może wykorzystać dane do kradzieży tożsamości czy wypłaty pieniędzy z konta ofiary.

Wyłudzane bywają także kody BLIK. Przestępca w tym przypadku także zazwyczaj korzysta z przejętych kont profili społecznościowych. BLIK to szybka i bezpieczna metoda płatności, jednak należy weryfikować wszelkich nadawców próśb o pomoc finansową, a także czytać powiadomienia z aplikacji o kwocie i rodzaju transakcji. Transakcja zawsze wymaga potwierdzenia, dlatego zaniechanie sprawdzenia powiadomienia może być dotkliwe w skutkach.

Wszelkie nieprawidłowości wskazujące na oszustwo i próbę włamania na konto powinno się zgłaszać na policję oraz na specjalny numer w swoim banku. W przypadku PKO Banku Polskim jest to numer infolinii: 800 302 302.

Opisane wyżej sposoby wyłudzania danych i pieniędzy nie wyczerpują oczywiście całej gamy oszustw, których dopuszczają się złodzieje. Znajomość najczęściej stosowanych „chwytów” oraz sposobów odpierania ataków pozwolą uchronić przed utratą pieniędzy.

10 zasad cyberbezpieczeństwa w PKO Banku Polskim

  1. Dokładnie sprawdzaj treść SMS i powiadomienia IKO przed potwierdzeniem transakcji, w szczególności: kwotę i rodzaj operacji oraz nr konta do przelewu.
  2. Nikomu nie udostępniaj swoich poufnych danych – weryfikuj komu przekazujesz takie dane i gdzie je wpisujesz
  3. Nie zakładaj, że widoczna nazwa nadawcy e-maila, SMS-a czy połączenia telefonicznego jest prawdziwa.
  4. Jeżeli wiadomość od nadawcy wzbudzi Twoje wątpliwości, nie otwieraj załączonych plików, nie klikaj w linki i nie instaluj żadnych dodatkowych aplikacji.
  5. Nie zakładaj, że kłódka przy pasku przeglądarki oznacza, że strona jest bezpieczna. Sprawdzaj adresy stron www, na których się logujesz, a także ich certyfikaty bezpieczeństwa.
  6. Regularnie aktualizuj urządzenia i oprogramowanie na komputerze i telefonie (system, aplikacje, przeglądarkę, oprogramowanie antywirusowe).
  7. Twórz skomplikowane hasła i korzystaj z uwierzytelniania dwuskładnikowego wszędzie, gdzie to możliwe.
  8. Nie używaj tego samego hasła do różnych kont oraz nie zapisuj haseł na kartkach ani w plikach na komputerze.
  9. Nie loguj się do serwisu internetowego iPKO i aplikacji mobilnej IKO przez publiczne, niezabezpieczone Wi-Fi ani na urządzeniach publicznie dostępnych np. w kafejkach, hotelach.
  10. Nie podłączaj zewnętrznych nośników danych do swojego urządzenia, jeśli nie masz pewności co do ich bezpieczeństwa.

Materiał powstał we współpracy z PKO Bankiem Polskim

Robert Azembski
Robert Azembski
Dziennikarz z ponad 30-letnim doświadczeniem; pracował m.in. w „Rzeczpospolitej”, „Wprost” , „Gazecie Bankowej” oraz wielu innych tytułach prasowych i internetowych traktujących o gospodarce, finansach i ekonomii. Chociaż specjalizuje się w finansach, w tym w bankowości, ubezpieczeniach i rynku inwestycyjnym, nieobce są mu problemy przedsiębiorców, przede wszystkim z sektora MŚP. Na łamach magazynu „Forum Polskiej Gospodarki” oraz serwisu FPG24.PL najwięcej miejsca poświęca szeroko pojętej tematyce przedsiębiorczości. W swoich analizach, raportach i recenzjach odnosi się też do zagadnień szerszych – ekonomicznych i gospodarczych uwarunkowań działalności firm.

INNE Z TEJ KATEGORII

Polskie rewolucje w sektorze zdrowia. Huawei Startup Challenge

Clebre, Oasis Diagnostics oraz PioLigOn znalazły się na podium 3. edycji Huawei Startup Challenge – konkursu, którego celem było wyłonienie najlepszych polskich startupów pozytywnego wpływu tworzących technologie na rzecz ochrony zdrowia. Laureaci otrzymali kolejno 100, 60 i 40 tys. zł nagrody na rozwój własnych projektów.

Silna pozycja Polski na inwestycyjnej mapie świata

Mimo zawiłości geopolitycznych sytuacja polskiej gospodarki nie uległa pogorszeniu. Wręcz przeciwnie – na inwestycyjnej mapie świata Polska jest postrzegana jak atrakcyjny i solidny partner, z którym warto związać się długoletnią umową.

Innowacyjne technologie w transformacji

Jak zmieniać polską energetykę, by była bardziej wydajna? W jaki sposób zapewnić Polakom oraz przemysłowi bezpieczeństwo energetyczne, nieprzerwane dostawy taniej i zeroemisyjnej energii? Jakiego rodzaju inwestycje w energetyce należy potraktować priorytetowo?

INNE TEGO AUTORA

Nowy program grantowy dla MŚP

Z nowego programu wsparcia cyfryzacji firm, który wkrótce ma ruszyć, skorzystają firmy produkcyjne oraz świadczące usługi na rzecz przemysłu.
2 MIN CZYTANIA

Polscy przedsiębiorcy wierzą, że pokonają problemy

Nasi przedsiębiorcy konfrontują się z bezprecedensowymi wyzwaniami, a jednocześnie wykazują zadziwiającą odporność i wiarę w dobrą przyszłość swoich biznesów.
3 MIN CZYTANIA

Koncerny samochodowe szpiegują swoich klientów!

Producenci samochodów nie tylko nie chronią prywatności klientów, ale gromadzone na ich temat – także intymne – informacje sprzedają firmom marketingowym. Gotowi są nawet, na każde wezwanie, przekazać je władzom czy organom ścigania.
3 MIN CZYTANIA