Oszustwa internetowe, wyłudzenie pieniędzy, kradzież z konta – jak się bronić przed oszustami w sieci?

Kradzież z konta internetowego – techniki wykorzystywane przez przestępców

Oto kilka popularnych technik stosowanych przez oszustów – ich znajomość to już pierwszy krok w stronę zabezpieczenia pieniędzy przed ich utratą.

Phishing

Pod tą nazwą (całkiem słusznie kojarzącą sią z „łowieniem”) kryje się nic innego jak zjawisko wyłudzania danych. W kontekście bankowości objawia się on podszywaniem się przestępców pod bank – jeśli ofiara w porę nie zorientuje się, że ma do czynienia z oszustem, zdąży podać mu cały szereg informacji o sobie, posiadanych produktach lub dostępie do serwisu transakcyjnego.

Próba phishingu może mieć miejsce np. telefonicznie (gdy dzwoni rzekomy pracownik banku), choć wydaje się, że obecnie dochodzi do nich przede wszystkim za pośrednictwem fałszywych e-maili i

wiadomości SMS – to właśnie przed takimi szczególnie wyrafinowanymi metodami banki ostrzegają ostatnio wyjątkowo często.

Ofiara może otrzymać fejkową wiadomość, rzekomo pochodzącą od sklepu internetowego, firmy kurierskiej, dostawcy usług, a nawet instytucji publicznej (jak np. ZUS czy urząd skarbowy). Nadawca takiej wiadomości wzywa do zapłaty konkretnej, z reguły niewielkiej kwoty i udostępnia link, który ma umożliwić dokonanie płatności. W pesymistycznym scenariuszu odbiorca klika link, który przenosi go do fałszywej strony logowania do bankowości – do złudzenia przypominającej jednak tę prawdziwą. Próba zalogowania na takiej podrobionej stronie kończy się przekazaniem oszustowi dostępu do pieniędzy.

Wirus komputerowy

Z klikaniem linków pochodzących z niepewnego źródła wiąże się kolejne ryzyko, a mianowicie „zarażenie” urządzenia złośliwym oprogramowaniem. Może do niego dojść również w wyniku pobrania zainfekowanego pliku – muzyki, filmu czy gry.

Dzięki programom szpiegującym cyberprzestępcy są w stanie wykraść nawet zaszyfrowane dane. Nie muszą bowiem przełamywać zabezpieczeń banku – wystarczy, że oprogramowanie potrafi zidentyfikować znaki wprowadzone na klawiaturze.

Na tym jednak możliwości wirusów się nie kończą. Część z nich potrafi np. podmienić numer rachunku, który wpisujemy podczas zlecania przelewu.

Manipulowanie emocjami

Czasem oszustwa internetowe przybierają formę wyjątkowo perfidnej gry na emocjach. Przestępcy już dawno zauważyli, że szczególnie podatne na tego typu manipulację są osoby starsze – stąd ogromna skala oszustw „na wnuczka”. Wystarczy telefon w sprawie rzekomego wypadku kogoś bliskiego lub jego nagłej potrzeby finansowej, by sparaliżowany strachem senior posłusznie wykonał polecenie złodzieja (czyli wypłacił oszczędności i przekazał je obcej osobie).

Do tej samej kategorii należy zaliczyć przypadki oszustw internetowych, o których co jakiś czas słyszymy w mediach, a które zyskały miano „kradzieży na nigeryjskiego księcia”. Oczywiście to tylko umowne określenie, a fikcyjnym „bohaterem” całej historii może być praktycznie dowolna osoba zamożna.

Przytoczę zaledwie jeden przykład, by było jasne, o co chodzi. Znany jest przypadek mieszkanki Piaseczna, która w sumie przelała ponad 600 tysięcy (!) zł oszustowi podającemu się za… syna Clinta Eastwooda.

Choć całkiem naturalną reakcją jest niedowierzanie, że kobieta okazała się aż tak naiwna, to na pewne jej usprawiedliwienie dodajmy, że oszust był do całej „akcji” naprawdę dobrze przygotowany. Najpierw nawiązał kontakt z ofiarą poprzez portal randkowy (cóż może skuteczniej uśpić czujność niż marzenie o dozgonnej miłości?), gdzie krok po kroku zyskiwał zaufanie kobiety. By się uwiarygodnić, opowiadał szczegółowe historie z życia rodziny, wysłał nawet zdjęcie paszportu.

Korespondencję wysyłaną w celu zdobycia zaufania, a następnie wyłudzenia pieniędzy określamy jako scam. Jest on groźniejszą odmianą spamu, czyli niechcianych i uciążliwych (choć poza tym raczej nieszkodliwych) wiadomości. W szerszym kontekście (lub np. w przypadku oszustw dotyczących inwestowania i kryptowalut) scamem nazywana jest właściwie każda działalność, której celem jest wyłudzenie pieniędzy.

Tłem historyjki była wymyślona choroba słynnego aktora oraz związane z nią problemy finansowe, które miały coraz bardziej pogrążać rodzinę. Oszust obiecał, że jeśli ofiara przeleje mu środki, nie tylko pomoże Eastwoodowi powrócić do zdrowia, ale także zarobi dzięki inwestycji w kryptowaluty. O całej sprawie, ku przestrodze, policja poinformowała opinię publiczną.

Skrajny brak rozsądku ofiary

Zdarza się jednak, że przestępcy wcale nie muszą uciekać się do tak wyrafinowanych metod. Czasem klienci sami proszą się o kłopoty, a największym ich wrogiem staje się nie oszust, a zwyczajny brak zdrowego rozsądku.

Najprostszy przykład to ustawianie bardzo oczywistych, a przez to szczególnie łatwych do złamania haseł. Spora część klientów wiąże obowiązek nadania hasła głównie z przykrą koniecznością zapamiętania kolejnego ciągu znaków; tymczasem chodzi przecież o to, by było ono realnym zabezpieczeniem dostępu do konta.

Słabe hasła to niestety powszechne zjawisko, o czym świadczy fakt, że banki nieustannie przed nim przestrzegają. Oto przykład:

Przykłady słabych haseł do konta bankowego

Źródło: ING Bank Śląski.

Rodzaje oszustw internetowych: konkretne przykłady

Oszuści w sieci próbują podszywać się już nie tylko pod instytucje finansowe, ale także pod duże firmy czy państwowe spółki. Kolejną charakterystyczną cechą powszechnych obecnie oszustw jest wykorzystywanie mediów społecznościowych.

Poniżej przykłady przestępstw, które w ostatnich latach zyskały na popularności.

Oszustwa „na Blika”

Transakcje Blik szybko zyskały uznanie wśród klientów, którzy cenią sobie szybkość i prostotę takich płatności. Niestety i one są wykorzystywane przez oszustów. Choć o metodzie „na Blika” sporo mówiło się jeszcze przed pandemią, to swój rozkwit przeżywała właśnie w erze pozostawania w domach i przeniesienia ogromnej części interakcji społecznych do internetowych komunikatorów.

Do tego typu oszustw dochodzi często w wyniku uzyskania dostępu do profilu w mediach społecznościowych, zwłaszcza na Facebooku. Wówczas przestępca pisze do znajomych właściciela konta z prośbą o pomoc finansową w nagłej potrzebie, sugerując, że najszybszym i najwygodniejszym rozwiązaniem będzie podesłanie kodu Blik. Ofiara wysyła kod i zatwierdza transakcję w aplikacji mobilnej banku, nieświadoma tego, że wcale nie pomogła znajomemu z Facebooka, a po prostu dała się oszukać.

Oszustwo na Orlen

Wiele osób z pewnością dałoby się skusić na zainwestowanie kapitału w wielką spółkę, której wyniki finansowe są co najmniej stabilne. Problem pojawia się, gdy za ofertą inwestycji stoją tak naprawdę oszuści, którzy jedynie takie przedsiębiorstwo udają.

Dobrym przykładem jest oszustwo na inwestycję w Orlen. Koncern ostrzega przed oszukańczymi materiałami w mediach społecznościowych:

Oszustwo na Orlen

Źródło: PKN Orlen

Orlen instruuje też, jak wychwycić fałszywe źródło podobnych ofert. Zwraca uwagę m.in. na nieprawidłową nazwę profilu (2), pojawienie się na grafice kolorów niewykorzystywanych na co dzień w komunikacji marketingowej (5) czy adres strony, do których kieruje reklama, a który nie należy ani do koncernu, ani do licencjonowanego domu maklerskiego (6). Post może też wykorzystywać wizerunki osób publicznych na grafikach, często znajdziemy też pod nim liczne negatywne reakcje (7) i nieproporcjonalnie małą liczbę komentarzy, która świadczy o usuwaniu opinii demaskujących próbę oszustwa.

Oszustwo na OLX

Na kolejny rodzaj oszustwa powinni uważać zwłaszcza użytkownicy wszelkich platform z ogłoszeniami typu „kupię/sprzedam”, np. OLX czy Vinted.

Przykładowy scenariusz: oszust nawiązuje kontakt z użytkownikiem za pośrednictwem portalu lub komunikatora (wyjątkowo często wykorzystywany jest WhatsApp) i przekonuje ofiarę do kliknięcia w link. Ofiara wchodzi na stronę przypominającą znaną mu platformę i podaje dane karty.

Zdarza się, że złodziej informuje sprzedającego o dokonaniu płatności i zachęca do odbioru pieniędzy właśnie za pośrednictwem wspomnianego linka. Po podaniu danych karty ofiara otrzymuje SMS-a z kodem autoryzacyjnym, który bezrefleksyjnie wpisuje na fejkowej stronie. Tymczasem kod służy do zatwierdzenia operacji dodania karty do mobilnego portfela, dzięki czemu oszust może wypłacić z niej gotówkę. A wystarczyłoby nie wchodzić w obcy link albo – na późniejszym etapie – dokładnie przeczytać treść otrzymanego SMS-a z kodem…

Oszustwo na Inpost

SMS-y informujące o konieczności dopłaty do kosztów przesyłki Polacy zaczęli masowo otrzymywać w okresie pandemii, czyli szczytowej popularności zakupów internetowych. To oczywiste oszustwo wykorzystujące efekt skali – wystarczył fakt, że ostatnio wysyłało się jakąś paczkę, by podobna wiadomość zyskała na wiarygodności wśród wielu całkowicie przypadkowych odbiorców.

Dalej wszystko toczy się przewidywalnym torem – ofiara wchodzi w link i wykonuje płatność. Nie trzeba dodawać, że w rzeczywistości opiewa ona na znacznie wyższą kwotę niż ta, która jest widoczna na wezwaniu.

W tej samej kategorii mieszczą się też inne oszustwa polegające na wysyłaniu fałszywych wezwań do zapłaty. Obserwuje się np. ostrzeżenia od rzekomych dostawców mediów, które grożą wyłączeniem usług po nieuregulowaniu fikcyjnej należności z wykorzystaniem podrobionej strony płatności.

Oszustwo na zdalny pulpit

W celu przejęcia kontroli nad naszym kontem oszust jest w stanie nie tylko przekonać ofiarę, że jest pracownikiem banku, ale także nakłonić do zainstalowania oprogramowania, które ma umożliwić intruzowi zdalną obsługę komputera.

Rzecz jasna prawdziwy pracownik jakiejkolwiek instytucji finansowej nigdy nie poprosi o pobranie takiego programu. Niestety, oszustom nierzadko udaje się przekonać ofiarę, że to jedyny sposób na rozwiązanie wyimaginowanego problemu; ta, pod wpływem wywołanego w niej niepokoju, nieraz posłusznie spełnia każde polecenie przestępcy.

Oszustwo na kryptowaluty

Autor sekcji: Marcin Kowalczyk

Popularnym sposobem działania oszustów jest „podpinanie się” pod modne w danym okresie tematy inwestycyjne. W ostatnim czasie szczególnie dużo przekrętów odnosiło się do kryptowalut, ale to akurat szczególnie nie dziwi. Waluty cyfrowe weszły już do mainstreamu i zaczęły powszechnie kojarzyć się z szybkimi, spektakularnymi zyskami, a z drugiej strony – ich działanie dla wielu pozostało niezrozumiałe. Taka mieszanka przyciąga uwagę, także tych mniej zaznajomionych z inwestowaniem i jednocześnie daje przestępcom szerokie możliwości działania.

Oszustwa „na kryptowaluty” przybierają różne formy, przy czym najczęściej bazują na dobrze znanych technikach: phishingu, wirusach komputerowych i manipulowaniu emocjami ofiar. Przestępcy często podszywają się pod znane giełdy kryptowalut, namawiając do kliknięcia w fałszywy link, założenia konta na podrobionej stronie czy przesłania wysokiego przelewu „weryfikacyjnego”. Czasami przekręt jest kilkuetapowy i polega na wyciągnięciu kilku transz pieniędzy, np. na potwierdzenie tożsamości i inwestycje kryptowalutowe, dodatkową weryfikację czy zapłatę podatku. Oczywiście wszystko to jest fikcją, a nieświadoma ofiara nie otrzymuje ani zysków, ani zainwestowanych przez siebie środków.

Warto dodać, że z walutami cyfrowymi wiążą się nie tylko oszustwa, które wykorzystują naiwność ofiar i ich nieznajomość tematu. W tej branży działają też oszuści, którzy tworzą bezwartościowe tokeny inwestycyjne czy nawet całe giełdy kryptowalut, które działają legalnie, ale są z góry nastawione na wykradzenie środków swoich użytkowników. Podkreślmy jednak, że prawdziwe kryptowaluty i znane kryptogiełdy, które od lat istnieją na rynku, nie mają nic wspólnego z opisanymi przekrętami.

Kradzież pieniędzy z konta – jak się przed nią bronić?

Osoby, które dały się oszukać i straciły oszczędności, otrzymały już swoją gorzką lekcję. O czym warto jednak pamiętać, by nie być „mądrym po szkodzie” i każdego dnia minimalizować ryzyko utraty pieniędzy na rzecz przestępców?

Wspólnym mianownikiem wszystkich wskazówek jest konieczność zachowania rozsądku. Pamiętaj, że w zdecydowanej większości przypadków kradzież pieniędzy z konta nie byłaby możliwa, gdyby ofiara nie „współpracowała” z oszustem.

1. Przede wszystkim bądź ostrożny w kwestii podawania komukolwiek danych osobowych oraz umożliwiających dostęp do bankowości. Pracownik banku może co prawda pytać o wybrane informacje w celach weryfikacji, ale nigdy nie poprosi Cię o login i hasło (te powinny być znane tylko i wyłącznie Tobie).
2. Korzystaj z dwuskładnikowego uwierzytelniania (2FA) zawsze, gdy jest taka możliwość.
3. Loguj się na swoje konto wyłącznie z poziomu właściwej, odpowiednio zabezpieczonej strony banku. Adres do strony logowania warto dodać do zakładek i tylko z takiego skrótu korzystać – daje to pewność, że dane podajemy we właściwym miejscu.
4. Nie klikaj w linki pochodzące z nieznanych Ci źródeł, nawet jeśli pozornie nie dotyczą one bankowości (ryzyko zainfekowania komputera). Zachowaj szczególną ostrożność w przypadku wiadomości wzywających Cię do zapłaty poprzez logowanie do bankowości.
5. Nie bagatelizuj kodu Blik – ten 6-cyfrowy numer powinien służyć wyłącznie do wykonywania transakcji, nad którymi masz pełną kontrolę. Nie podawaj go nikomu i nigdzie poza bramką do płatności / bankomatem, o ile to rzeczywiście Ty zlecasz operację.
6. Ustawiaj silne hasła, które będą trudne do złamania – to podstawowa ochrona przed oszustwami o charakterze hakerskim.
7. Śledź informacje dotyczące nowych sposobów oszustw i ostrzeżenia banków. Katalog metod stosowanych przez przestępców stale się wydłuża, a ich kreatywność zdaje się nie mieć granic. Warto zaglądać m.in. na stronę CERT Polska oraz korzystać z aplikacji CyberAlerty od Niebezpiecznik.pl.
8. Korzystaj z legalnego i aktualnego oprogramowania oraz programu antywirusowego zarówno na komputerze, jak i urządzeniu mobilnym.

Jeśli padniesz ofiarą oszustwa, brak legalnego oprogramowania może być nie tylko jedną z przyczyn nieszczęścia, ale także pretekstem dla banku, by odrzucił Twoją reklamację.

Gdzie zgłosić oszustwo internetowe?

A co w sytuacji, gdy jest już za późno na profilaktykę i oszustwo się dokonało? Nawet jeśli wydaje się, że szanse na odzyskanie pieniędzy nie są duże, to poddanie się jest i tak najgorszą rzeczą, jaką możesz w takim przypadku zrobić.

Jeśli masz podejrzenia, że Twoje dane osobowe lub dostępowe zostały wykradzione, powinieneś jak najszybciej poinformować o sprawie bank. Zakładając, że zadziałasz odpowiednio szybko, być może uda się udaremnić próbę uzyskania dostępu do konta przez osobę niepowołaną. Gdyby chodziło o dane karty płatniczej, bank najpewniej zaproponuje Ci jej zastrzeżenie i wyrobienie nowej, co z pewnością jest słusznym rozwiązaniem. Dodatkowo incydent związany z oszustwem internetowym warto zgłosić zespołowi CERT Polska, któremu zostały powierzone obowiązki wynikające z ustawy o krajowym systemie cyberbezpieczeństwa.

Zgłoszenie oszustwa internetowego na policję

Nie trzeba chyba nikogo przekonywać, że kradzież pieniędzy w Internecie czy choćby próba oszustwa internetowego to zjawiska, z którymi należy walczyć wszystkimi dostępnymi metodami – nawet gdy ta walka wydaje się z góry skazana na niepowodzenie.

Warto więc zgłosić sprawę na policję i uparcie domagać się, by takie zawiadomienie rzeczywiście zostało oficjalnie przyjęte. Niestety, z doświadczenia wielu ofiar wynika, że funkcjonariusze nieraz taki krok odradzają (tajemnicą poliszynela jest, że chodzi o obawę przed spadkiem statystyk wykrywalności). Tymczasem spora część oszustw ma charakter przestępczości zorganizowanej o szerokim zasięgu – jeśli oszukanych jest więcej, rosną szansę na to, że służby poważnie potraktują sprawę.

Oczywiście powyższe działania w żadnym stopniu nie gwarantują, że odzyskasz pieniądze; pytanie, czy masz inne wyjście?

Oszustwa internetowe w kk

W przypadkach kradzieży z konta zastosowanie może mieć ten paragraf Kodeksu karnego dotyczący oszustw:

Art. 286 § 1. Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Ponadto zdarza się, że podobne przypadki przestępstw podpadają pod kradzież (art. 278 kk) lub kradzież z włamaniem (art. 279 kk).

Oszustwa internetowe – czujność i rozsądek to najlepsza broń

Jak to zwykle bywa, lepsze od zmagania się ze skutkami nieszczęścia jest jemu zapobieganie. Przestrzeganie prostych zasad i świadoma ochrona swoich danych uchronią nas na tyle, na ile to tylko możliwe. W kwestii bezpieczeństwa w Internecie najwięcej zależy bowiem od nas samych.

Gdy zawiedzie rozsądek, jedynie sprawnie działające i poinformowane instytucje są w stanie dać jakąkolwiek ochronę pieniędzy przed dobrze przygotowanymi oszustami. Na dowód warto przytoczyć statystykę udostępnioną przez Biuro Informacji Kredytowej, z której wynika, że tylko w pierwszych trzech miesiącach po wybuchu pandemii udało się udaremnić ok. 1,6 tys. prób wyłudzenia kredytu przez Internet na łączną kwotę ponad 60 mln zł.

Oszustwa bankowe są jednak wciąż powszechne i nie ma złudzeń, że kiedykolwiek uda się je całkowicie wyeliminować. Wręcz przeciwnie, znacznie bardziej prawdopodobna jest coraz większa skala tego zjawiska.

Wypada życzyć Ci, byś nigdy nie musiał testować skuteczności organów ścigania i potrafił z powodzeniem bronić się przed zagrożeniami na co dzień.