Łukasz Lubański (portal PolskieRadio24.pl): Na stronie rządu znajdziemy ostrzeżenie przed oszustami wyłudzającymi dane osobowe, którzy - wykorzystując m.in. połączenia telefoniczne - podszywają się pod pracowników Krajowej Informacji Skarbowej bądź Krajowej Administracji Skarbowej. Jakie są obecnie najbardziej powszechne sztuczki stosowane przez cyberprzestępców?
Adam Haertle: W Polsce osoby fizyczne - nie mówimy o firmach, instytucjach, wobec których przestępcy stosują inne metody - najczęściej narażone są na trzy rodzaje ataków. Pierwszym jest phishing. Mowa o mailach zawierających linki, które prowadzą do witryn wyłudzających dane, takie jak informacje osobowe albo login i hasło do konta w banku. Często są one powiązane z pewną ofertą.
To znaczy?
Załóżmy, że próbujemy coś sprzedać na Allegro albo na Olx. Nagle odzywa się rzekomy nabywca - wysyła nam link, pod którym - jak twierdzi - odbierzemy pieniądze. Tyle że nie prowadzi on do prawdziwego serwisu, lecz do witryny złodzieja.
Co na niej znajdziemy?
Prośbę o podanie danych, np. do naszego konta bankowego. Jeżeli zastosujemy się do tej instrukcji - stracimy pieniądze.
Witryny oszustów przypominają te prawdziwe?
Wizualnie tak, natomiast w pasku adresu będzie widać, że to nie jest allegro.pl czy olx.pl, tylko nazwa innej domeny - czasem podobna, a czasem nie. Wiele osób nie zwraca na to uwagi, więc dają się złapać.
To jest pierwszy scenariusz. Jakie są kolejne?
Drugą metodą, stosowaną przez przestępców, na którą wielu daje się nabrać, są SMS-y z linkami do ich stron. Często podszywają się oni pod instytucje. Słowem, możemy dostać SMS od nadawcy, który będzie się tak nazywał, jak nasz bank, inna instytucja czy sklep internetowy. Przestępcy łatwo mogą zamieścić taką nazwę w treści SMS-a. Przykładowo: możemy dostać informację o rzekomych zaległościach w opłatach za energię elektryczną czy gaz. Przeważnie jest to próba nakłonienia nas do podania loginu i hasła do konta bankowego.
Co dalej?
Jeśli damy się oszukać i zalogujemy się do naszego konta na fałszywej stronie banku, w kolejnym kroku dostaniemy kod, który "bank" czy inna "instytucja" wyśle nam w celu autoryzowania transakcji. Będziemy myśleli, że autoryzujemy przelew na drobną kwotę, np. trzy złote, a w rzeczywistości może to być przelew na 10 003 zł. Jeżeli nie przyjrzymy się treści SMS-a i przepiszemy otrzymany kod - oddamy przestępcom swoje środki.
Jaki jest trzeci scenariusz?
Złodzieje często podszywają się pod instytucje zaufania publicznego, takie jak ZUS, Biuro Informacji Kredytowej czy banki, wykorzystując do tego połączenia telefoniczne. Gdy dzwonią po raz pierwszy, zazwyczaj informują, że ktoś z naszego konta rzekomo zaciągnął kredyt albo "właśnie przelewa z niego pieniądze". Wzbudzają w nas strach, że ktoś włamał się na nasze konto, ukradł naszą tożsamość, a tym samym wyłączają nam logiczne myślenie. Wtedy przestępca daje nam szansę "rozwiązania" problemu.
Proszę rozwinąć.
Zapowiada, że za chwilę zadzwoni ktoś z "banku" czy z "policji". I po chwili rzeczywiście odbieramy telefon (również z fałszywego numeru, np. infolinii banku), słysząc inny głos - nie jest to zresztą skomplikowana sztuczka. Następnie usłyszymy, przykładowo, że "złodzieje nadal mogą mieć kontrolę nad pana/pani kontem, dlatego proszę przelać wszystkie swoje środki na bezpieczne konto techniczne - za chwilę podam numer konta, pieniądze będą na nim bezpiecznie czekać, aż pójdzie pan/pani do naszego oddziału, aby je odebrać".
Ludzie naprawdę na to się nabierają?
Tak, a przecież w tym przypadku przestępcy nie wykorzystują wyszukanych środków technicznych. Wystarcza im rozmowa. Znam przypadki (liczne), w których ludzie po takiej rozmowie przesyłali złodziejom saldo rachunku bankowego.
To oszustwo opiera się na możliwości dzwonienia z cudzych numerów telefonów. Mamy niestety takie sieci telekomunikacyjne, że podszywanie się, np. pod numer infolinii banku, technicznie nie jest dla złodziei wyzwaniem.
W jaki sposób - poza wzmożoną czujnością - możemy się przed nimi bronić?
Jest wiele sytuacji, w których technicznie nie jesteśmy w stanie się obronić, zwłaszcza jeżeli przestępca używa jedynie siły perswazji. Ale mamy, chociażby szlachetne inicjatywy w zakresie ustawodawstwa, które już w najbliższych dniach pozwolą operatorom telekomunikacyjnym blokować wysyłanie, a także usuwać z sieci SMS-y, o których wiadomo, że są podejrzane.
Jak to będzie działać?
Mamy zespół CERT Polska, który otrzymuje od obywateli zgłoszenia podejrzanych SMS-ów (pod darmowym numerem: 8080). Odtąd, jeżeli SMS zostanie uznany jako stanowiący zagrożenie dla polskich użytkowników sieci, CERT prześle jego wzór operatorom telekomunikacyjnym, którzy będą mogli go zablokować; nie będzie dalej rozpowszechniany. Takich SMS-ów powinno przychodzić do odbiorców znacznie mniej.
Ile przychodzi obecnie?
Zespół CERT Polska tylko w styczniu odnotował 100 tys. zgłoszeń. Mam nadzieję, że uruchomienie tych procedur znacząco poprawi bezpieczeństwo w obszarze SMS-ów. Zespół, poza tworzeniem wzorów podejrzanych SMS-ów, tworzy też listę stron niebezpiecznych (te również można zgłaszać) - adresy również są blokowane. Jeżeli wchodzimy na daną stronę i widzimy komunikat „niebezpieczna strona”, to prawdopodobnie ktoś uratował nasze pieniądze.
Natomiast nadal nie znaleziono skutecznego sposobu na połączenia telefoniczne z fałszywych numerów…
A co z hasłami do naszych kont internetowych? Jak należy zadbać o ich bezpieczeństwo?
To dosyć skomplikowane zagadnienie. Otóż jest wiele problemów związanych z hasłami. Nie chcemy, aby były one zbyt proste, ale posiadanie skomplikowanych haseł - szczególnie, gdy jest ich wiele - może być trudne, jako że nasza pamięć ma ograniczone możliwości. Stąd eksperci rekomendują program do zapamiętywania, tzw. menedżer haseł, który nam w tym pomoże.
Kluczowe jest posiadanie wielu różnych haseł, dzięki czemu zmniejszamy potencjalne skutki wycieku jednego z nich. Jeżeli mamy jedno hasło - wszędzie takie samo - to wystarczy, że w jednym miejscu - raczej nie spodziewamy się, że hasła wypłyną z Google’a, Facebooka czy Allegro, ale może się to zdarzyć choćby w przypadkowym sklepie internetowym, w którym są słabsze zabezpieczenia. Jeżeli złodziej ukradnie nasze hasło, to następnie będzie sprawdzał, czy ono pasuje do kont dotyczących innych usług.
Może też przejąć naszą skrzynkę pocztową, a tym samym konta internetowe, np. w mediach społecznościowych, albowiem mają one możliwość resetowania hasła z wykorzystaniem skrzynki pocztowej.
Czyli należy tworzyć hasła różnorodne.
Tak, a dodatkowo - zmniejszając ryzyko, jeżeli ktoś by poznał nasze hasło - warto korzystać z dwuskładnikowego uwierzytelnienia konta. Oznacza to, że podczas logowania musimy np. odebrać SMS-a i przepisać z niego kod, ewentualnie przepisać kod z aplikacji. Możemy też podłączyć do komputera dodatkowe urządzenie, tzw. kluczyk bezpieczeństwa.
Czy ma znaczenie, z jakiej przeglądarki internetowej korzystamy?
Popularne przeglądarki [typu Google Chrome, Mozilla Firefox - red.] są w porządku; korzystając z nich - poziom bezpieczeństwa jest porównywalny. Natomiast poleciłbym zainstalowanie wtyczki do blokowania reklam. Po pierwsze, zwiększy to komfort korzystania z internetu, a po drugie - zdarza się, że złodzieje wykupują reklamy, aby dotrzeć do swoich ofiar. Tak więc im mniej reklam pojawi się na ekranie naszego komputera, tym bardziej będziemy bezpieczni.
Czytaj także:
Rozmawiał Łukasz Lubański