„Twoja przesyłka przekracza dopuszczalny limit masy, prosimy o dodatkową opłatę w wysokości 1,37 zł lub zamówienie zostanie zwrócone do nadawcy” – przeczytał 32-letni mieszkaniec Łazisk Górnych w wiadomości przesłanej mu SMS-em. Do treści dołączony był link. Kliknął. Z jego konta zniknęła duża suma pieniędzy.
Mężczyzna tego dnia akurat kupował coś przez Internet, nic nie wzbudziło więc jego podejrzeń. Kliknął w link i został przekierowany na stronę banku. Tam, podając login i hasło do swojego konta, zrealizował transakcję. Kilka minut później zorientował się, że z jego konta dokonano łącznie trzech wypłat z bankomatu na sumę 10 tys. zł.
Oszukane zostały dwie kobiety, też mieszkanki powiatu mikołowskiego, w wieku 35 i 40 lat. Dostały SMS-y rzekomo od firmy kurierskiej, że mają dopłacić do przesyłki niecały 1 złoty. Uiściły opłatę, klikając dołączony link. Jedna z pań straciła 11 tys. zł, druga 8 tys. zł.
Z konta 33-letniego tyszanina tak zniknęło 6 tys. zł. Dodatkowo poprzez bankowość mobilną został zaciągnięty kredyt na kwotę ponad 15 tys. zł. A zaczęło się jak w przypadkach mikołowskich, od niewinnego SMS-a o dopłatę 1,29 zł.
– W wiadomości był również załączony link, który to miał przekierować na stronę banku celem ukończenia transakcji. Po otwarciu witryny i wprowadzeniu wszystkich swoich danych mężczyzna kliknął „zaloguj” i oczekiwał dłuższy czas na załadowanie strony, która się nie otwierała. Z racji niepowodzenia transakcji zalogował się poprzez aplikację w telefonie i zauważył, że z jego rachunku zostały wypłacone dwukrotnie pieniądze z bankomatów na łączną kwotę 6 tys. zł poprzez formę płatności BLIK – relacjonuje asp. szt. Barbara Kołodziejczyk, rzecznik Komendy Miejskiej Policji w Tychach.
Mieszkaniec Pszczyny – dowiadujemy się od rzecznik pszczyńskiej policji – stracił z konta 105 tys. zł, a chciał tylko zrobić niewielką dopłatę do przesyłki za kupione książki. Przypadek, w którym mieszkanka powiatu pszczyńskiego straciła tym razem 15 tys. zł, odnotowała również Edyta Raimann-Pryszcz, powiatowy rzecznik konsumentów w Pszczynie.
– Konsumentka w jednym ze sklepów internetowych złożyła zamówienie, które opłaciła w całości. Po otrzymaniu potwierdzenia zamówienia i informacji o jego opłaceniu, otrzymała wiadomość SMS, że musi do złożonego zamówienia dopłacić złotówkę. W wiadomości podano również link do strony PayU [operator tzw. szybkich płatności – przyp. red.]. A właściwie link, który przekierował ją do strony łudząco przypominającej PayU. Konsumentka nie zorientowała się i po pewnym czasie odkryła, że z jej konta zniknęło 15 tys. zł. Jak do tego doszło? Otóż konsumentka kliknęła w link i trafiła na (rzekomą) stronę PayU, a następnie chciała zrealizować przelew, musiała się zalogować (fałszywa strona PayU przekierowała ją na fałszywą stronę banku) i dokonać autoryzacji. W tym celu skorzystała z karty kodów jednorazowych. Po przepisaniu pierwszego ujrzała informację o tym, że kod jest nieprawidłowy. Wpisała więc następny i… oszust miał już wszystko, co potrzeba, czyli jej dane logowania i kod ze zdrapki, dzięki czemu mógł wykonać przelew. Czyli do sukcesu wystarczyły dobrze podrobione strony i przesłanie linku pod odpowiednim pretekstem – opowiada Edyta Raimann-Pryszcz.
– Mechanizm
procederu jest prosty: oszuści rozsyłają drogą elektroniczną wiarygodnie wyglądające komunikaty z prośbą o dopłatę niewielkich sum np. do przesyłek czy rachunków. Otwierając taki link i logując się do bankowości internetowej, nieświadomie umożliwiamy oszustom „wyczyszczenie” naszego konta ze wszystkich pieniędzy – wyjaśnia też mł. asp. Ewa Sikora, rzecznik Komendy Powiatowej Policji w Mikołowie.
Zdaniem policji cyberprzestępcy mogą wysyłać wiadomości pod losowe numery telefonów. Podszywają się nie tylko pod firmy kurierskie, pocztę, ale także pod firmy sektora energii czy telefonii komórkowej.
Rzecznik pszczyńskiej policji sierż. sztab. Ewelina Rojczyk zetknęła się z przypadkiem, że mieszkaniec zamieścił ogłoszenie na stronie motoryzacyjnej (potem okazało się, że strona była fałszywa, z literówką w nazwie, co na pierwszy rzut oka nie było zauważalne). Otrzymał SMS, że trzeba zrobić niewielką dopłatę, by ogłoszenie mogło się ukazać. W SMS-ie był link, a kliknięcie przekierowywało na stronę banku. Wykonał przelew. Za chwilę otrzymał z banku SMS, że ma zablokowane na koncie 2000 zł (taki był limit dzienny).
Co więc robić,
by nie paść ofiarą oszustów? – Nie klikajmy w podejrzane linki. Pamiętajmy, że płacąc za zakupiony towar, dokonujemy wyboru sposobu doręczenia paczki i koszt jej wysyłki jest nam od razu naliczany. Tak samo dzieje się w przypadku opłaty za zamieszczenie ogłoszenia kupna-sprzedaży. Mało prawdopodobne jest, że firma przyśle nam SMS o koniecznej kilkugroszowej dopłacie – mówi Ewelina Rojczyk. Radzi też zwracać uwagę na dokładną pisownię nazwy firmy, od której otrzymujemy wiadomość. Często bowiem nieznacznie nazwa różni się od oryginalnej.
– Zanim pochopnie zlecimy przelew na inne konto, upewnijmy się, że korzystamy z właściwej strony banku, pieniądze wpłacamy na odpowiedni rachunek i korzystamy z bezpiecznych systemów dokonywania płatności. Przede wszystkim nie śpieszmy się i kierujmy się zasadą ograniczonego zaufania – podkreślają policjanci.
Należy sprawdzić adres strony banku, na której wpisujemy login i hasło, a także to, czy jest ona zabezpieczona w odpowiedni sposób. – O tym, że jest on prawdopodobnie odpowiedni, informuje zielona kłódka przy polu adresu. Prawdopodobnie, bo zielona kłódka to tak naprawdę wyłącznie informacja o tym, że strona uzyskała certyfikat SSL. Cyberprzestępca również jest jednak w stanie go zdobyć. Dlatego warto dodatkowo upewnić się, kto i komu go wystawił – najczęściej przy samej kłódce pojawia się ten szczegół (powinna to być pełna nazwa banku). Oczywiście zawsze należy mieć też aktualny system operacyjny, aktualną przeglądarkę internetową i aktualne oprogramowanie antywirusowe z aktualną bazą wirusów – wymienia powiatowy rzecznik konsumentów w Pszczynie Edyta Raimann-Pryszcz.
Phishing
CERT Polska (zajmuje się bezpieczeństwem internetowym, działa w strukturach Naukowej i Akademickiej Sieci Komputerowej NASK) odnotował w 2019 r. rekordowy wzrost liczby incydentów dotyczących cyberbezpieczeństwa – zarejestrowano łącznie 6484 przypadki (w 2018 r. było ich 3739). Najczęściej występującym typem ataku był phishing, czyli fałszywe wiadomości udające korespondencję od firm lub instytucji, zawierające wirusy lub linki służące do wyłudzenia haseł i loginów, głównie do bankowości internetowej. Phishing stanowił ok. 54,2 proc. wszystkich incydentów. Popularnym atakiem phishingowym było podszywanie się pod operatora szybkich płatności PayU oraz DotPay. „Przestępcy w sposób masowy wysyłali do przypadkowych osób wiadomości e-mail lub SMS zawierające informacje o koniecznej opłacie, np. dopłacie do paczki, zapłacie za egzekucję komorniczą itd. Podczas podawania danych uwierzytelniających (login, hasło) na fałszywej stronie serwisu płatności atakujący przechwytywali je i pozyskiwali możliwość zalogowania się do bankowości elektronicznej ofiary” – można przeczytać w raporcie CERT Polska.
Jak nie dać się okraść w sieci?
- Nie otwieraj maili nieznanego pochodzenia, nie odpowiadaj na nie, nie otwieraj załączników lub linków wskazanych w tych e-mailach lub komunikatach. Weryfikuj otrzymane informacje u źródła (ale nie korzystaj z numerów zamieszczonych w wiadomości, tylko na oficjalnych stronach usługodawcy).
- Gdy otrzymasz SMS czy mail z prośbą o dopłatę drobnej kwoty, nie klikaj w załączony link.
- Szczególnie uważaj na skrócone linki (cyberprzestępcy tak chcą czasem ukryć rzeczywisty adres strony).
- Wiadomość e-mail powinna dla ciebie wyglądać podejrzanie, gdy ma liczne literówki, błędy ortograficzne, wykrzykniki, wiele słów zapisano w niej dużymi literami.
- Nie przekazuj w korespondencji elektronicznej żadnych loginów ani haseł.
(reb)
Materiał powstał w ramach projektu Stowarzyszenia Gazet Lokalnych z Polsko-Amerykańską Komisją Fulbrighta „Media bliżej ludzi”, finansowanego ze środków Departamentu Stanu USA.
Czytaj także:
