Kradzież pieniędzy z konta

Phishing – fałszywe strony bankowe

Phishing to atak cybernetyczny polegający na podszywaniu się atakującego pod stronę banku, w którym prowadzony jest rachunek bankowy. Strona do złudzenia przypomina oryginalną witrynę, a jedyną różnica jest adres WWW. Jeśli ofiara się nie zorientuje, będzie próbować zalogować się do bankowości internetowej, a wtedy złodziej przechwyci login oraz hasło, który wykorzysta do przeprowadzenia nieautoryzowanej transakcji.

Konsultant bankowy – vishing

Vishing to odmiana Phishingu. Również polega na wyłudzeniu danych, jednak w tym przypadku kradzież pieniędzy odbywa się podczas rozmowy telefonicznej. Najczęstszym w ostatnich czasach sposobem jest telefon złodzieja wykonany za pośrednictwem bramki internetowej. Podczas rozmowy zgłasza podejrzenie nieautoryzowanych transakcji , prosi o weryfikacje i uwierzytelnienie danych ofiary lub założenie nowego konta celem zabezpieczenia pozostałych środków. Złodziej jest bardzo wiarygodny, najczęściej posiada dane ofiary uzyskane wskutek ataku na dane przetwarzane przez sklepy internetowe.  

Link do płatności na portalu ogłoszeniowym

Jedna z najbardziej popularnych metod oszustwa, w której często uczestniczą zagraniczni złodzieje. Metoda jest prosta, a za jej pomocą dochodzi do wyłudzenia danych karty kredytowej i loginów do bankowości elektronicznej. Podobnie jak w przypadku Phishingu i tutaj do utraty danych dochodzi za pomocą stworzonego przez hakera formularza, który do złudzenia przypomina popularne serwisy płatności internetowej. 

Spoofing telefoniczny

To jedna z najpopularniejszych metod oszustwa, w której przestępcy dzwonią do nas, udając pracowników banku. Na ekranie wyświetla się numer infolinii bankowej, więc na pierwszy rzut oka wygląda to bardzo wiarygodnie. Oszuści używają specjalnych narzędzi, które pozwalają im „podrobić” numer dzwoniącego. Dzięki temu zabiegowi mamy wrażenie, że rozmawiamy z prawdziwym bankiem. Podszywani pracownicy podczas rozmowy twierdzą na przykład, że na Twoim koncie wykryto podejrzaną aktywność, ktoś próbował wypłacić pieniądze lub musisz pilnie potwierdzić swoją tożsamość. W rzeczywistości chodzi o to, aby wyłudzić Twoje dane, takie jak login i hasło do bankowości, numer karty, kod SMS, a nawet zainstalować na Twoim telefonie złośliwe oprogramowanie. 

Jak rozpoznać to oszustwo? Bardzo często wygląda to w następujący sposób: ktoś dzwoni z „banku” i mówi, że musisz natychmiast coś zrobić, na przykład podać dane, potwierdzić transakcję czy zainstalować aplikację. Rozmówca jest bardzo przekonujący, może znać Twoje imię, nazwisko, a nawet numer konta. Naciska na pośpiech, stresuje Cię, mówi żebyś z nikim nie rozmawiał o tej sytuacji. Prosi o dane, których bank nigdy nie wymaga przez telefon, na przykład kodów SMS, haseł, PIN-u. 

Jak się przed tym chronić? Po pierwsze, zawsze zachowuj ostrożność, nawet jeśli numer wygląda znajomo! Nigdy nie podawaj przez telefon swoich danych do logowanie, haseł, kodów czy numeru PIN – bank tego nie robi. Jeśli cokolwiek Cię zaniepokoi, zakończ rozmowę  i sam zadzwoń na oficjalny numer banku. I co najważniejsze, nie instaluj żadnych aplikacji na polecenie „konsultanta bankowego”.

Oszustwa inwestycyjne

Obietnice szybkich zysków, które kończą się stratami…

Oszustwa inwestycyjne to sposób naciągania ludzi na duże pieniądze pod przykrywką „super okazji” do szybkiego wzbogacenia. Przestępcy kuszą wizją łatwego zysku z inwestycji w kryptowaluty, akcje, start-upy, a nawet sztuczną inteligencję. W rzeczywistości jednak nie chodzi o inwestowanie, tylko o wyłudzenie pieniędzy. Często zaczyna się od reklamy w Internecie np. na Facebooku czy YouTubie.  Może też pojawić się wiadomość na Messengerze albo e-mail z zaproszeniem na „webinar inwestycyjny”. Kiedy ktoś się zainteresuje, dzwoni do niego rzekomy doradca finansowy i przedstawia ofertę nie do odrzucenia: wpłać niewielką kwotę np. 250 euro, a zobaczysz jak rośnie, nawet kilka procent dziennie! W tle są fałszywe platformy inwestycyjne, strony, które wyglądają profesjonalnie i pokazują „rosnące” zyski. Gdy ktoś chce wypłacić pieniądze, okazuje się, że musi zapłacić podatek, prowizję albo… wpłacić jeszcze więcej, żeby „aktywować wypłatę”. W końcu kontakt się urywa, a pieniądze znikają.

Część takich oszustw to klasyczne piramidy finansowe. Zysk dla „starych inwestorów” jest wypłacany z wpłat nowych. Gdy napływ pieniędzy się kończy, całość się rozsypuje.

Jak rozpoznać, że to oszustwo? Znakiem rozpoznawalnym tego typu oszustwa jest obietnica szybkich zysków przy minimalnym wysiłku. To czerwona flaga! Kolejną kwestią, po której w głowie powinna zapalić się czerwona lampka jest brak przejrzystości.  Nie wiadomo, w co dokładnie inwestujesz, a firma nie ma żadnych licencji ani historii. W tego typu oszustwie również mamy do czynienia z presją na szybka decyzję i w tle słyszymy slogany typu „okazja jest ograniczona w czasie”, „musisz działać teraz”. „Doradca” nie ma oficjalnego adresu mailowego, a kontakt odbywa się tylko przez telefon lub komunikatory. I co ważne, platforma inwestycyjna nie ma siedziby w Unii Europejskiej lub nie widnieje w rejestrach Komisji Nadzoru Finansowego.

Jak chronić się przed oszustwami inwestycyjnymi? Zawsze sprawdzaj firmę, zanim gdziekolwiek wpłacisz pieniądze. Możesz to zrobić np. na stronie Komisji Nadzoru Finansowego. Pamiętaj: legalne inwestowanie nie daje gwarancji szybkich zysków.  Nigdy nie inwestuj pod wpływem impulsu ani emocji, szczególnie jeśli ktoś naciska, żebyś działał natychmiast. Nie instaluj żadnych aplikacji ani nie udostępniaj pulpitu komputera „doradcy”, nawet jeśli mówi, że to „pomoc techniczna”. Jeśli masz wątpliwości, porozmawiaj z kimś zaufanym albo skonsultuj się z doradcą finansowym.

Przejęcie konta społecznościowego i wyłudzenie BLIKa

„Hej, możesz mi pomóc? To pilne!”

Na czym to polega? To jeden z bardziej podstępnych sposobów oszustwa, bo opiera się na zaufaniu. Przestępcy włamują się na czyjeś konto na Facebooku, Instagramie czy Messengerze i podszywają się pod właściciela. Potem piszą do jego znajomych, najczęściej w stylu: „Hej, możesz mi pomóc? Mam pilną sprawę, potrzebuję szybko zapłacić BLIKiem, a nie mam teraz dostępu do banku. Oddam Ci za chwilę.” Wiadomość wygląda, jakby pisał znajomym, często zaczyna się od zwykłego „co tam?” albo „możesz chwilę pogadać?”. Gdy ofiara odpowiada, oszust prosi o kod BLIK i natychmiast go wykorzystuje do wypłaty gotówki z bankomatu lub opłacenia czegoś online.

Czasem też proszą o zainstalowanie jakiejś aplikacji albo zalogowanie się „dla weryfikacji” na fałszywej stronie, wtedy przejmują kolejne konta.

Jak oszuści przejmują konta? Istnieje kilka możliwości: ofiara kliknęła w podejrzany link i wpisała dane logowania do fałszywej strony. Hasło było zbyt proste albo używane w kilku miejscach, jeśli gdzieś wyciekło, oszuści z łatwością się zalogowali. Konto nie było zabezpieczone dwuskładnikowo (np. kodem SMS lub potwierdzeniem z aplikacji).

Jak rozpoznać, że coś jest nie tak? Twoją uwagę na pewno powinno zwrócić nienaturalne zachowanie znajomego, który nagle pisze z prośbą o pieniądze i twierdzi, że „zaraz odda”, jednocześnie unikając rozmowy telefonicznej mówi, że „jest na spotkaniu” albo „nie może teraz rozmawiać”. Kolejnym niepokojącym sygnałem jest sytuacja, w której osoba, która prosi nas o BLIKA pisze po prostu „dziwnie”, na przykład może używać nietypowych słów, nieznanego stylu albo wyglądać na osobę, która „nagle” zaczęła się do Ciebie odzywać.

Jak się chronić? Zanim podasz jakikolwiek kod, zadzwoń do znajomego i upewnij się, że to naprawdę on pisze. Nigdy nie wysyłaj kodu BLIK na prośbę przez komunikator, nawet jeśli to osoba, którą znasz. Zabezpiecz swoje konto społecznościowe, używaj silnego hasła i włącz uwierzytelnianie dwuskładnikowe. Jeśli ktoś przejął Twoje konto, natychmiast zmień hasło i poinformuj znajomych, żeby nie odpisywali na wiadomości od Ciebie. Zgłoś naruszenie administratorom portalu społecznościowego oraz jeśli doszło do wyłudzenia pieniędzy również na policję.

Fałszywe aplikacje mobilne

Z pozoru bank, w rzeczywistości złodziej danych…

Na czym to polega? Oszuści tworzą fałszywe aplikacje, które wyglądają niemal identycznie jak te prawdziwe – np. aplikacje bankowe, portfele kryptowalut, narzędzia do płatności albo popularne aplikacje do zarządzania finansami. Mogą też podszywać się pod znane sklepy, firmy kurierskie czy nawet aplikacje do śledzenia paczek. Fałszywa aplikacja, po zainstalowaniu, udaje „oficjalną” i prosi użytkownika o podanie danych logowania, numeru karty czy kodów SMS. Często działa normalnie w tle, więc ofiara nie od razu zauważa, że coś jest nie tak. W rzeczywistości jednak dane są przesyłane bezpośrednio do przestępców, którzy mogą w tym czasie np. zalogować się do banku i przelać pieniądze, zaciągnąć kredyt albo przejąć konto.

Na tego typu aplikacje najczęściej ofiary trafiają przez reklamy w Internecie lub SMS-y z linkiem „do pobrania aplikacji”,  rzekomo od banku, firmy kurierskiej, czy sklepu. Na forach, grupach lub komunikatorach ktoś może polecać „lepszą wersję” aplikacji albo zachęcać do pobrania z nieoficjalnego źródła. Czasem takie aplikacje trafiają nawet do sklepu Google Play, zanim zostaną wykryte i usunięte.

Jak rozpoznać fałszywą aplikację? Aplikacja wymaga nietypowych uprawnień, np. dostępu do SMS-ów, kontaktów czy pulpitu, mimo że nie powinno to być potrzebne. Ma mało opinii albo są one podejrzanie entuzjastyczne i powtarzające się. Ikona, nazwa lub wygląd aplikacji jest bardzo podobny do oryginału, ale coś się nie zgadza, np. literówka w nazwie, inne logo. Link do pobrania aplikacji nie prowadzi do oficjalnego sklepu (Google Play lub App Store), tylko do dziwnej strony z końcówką .apk.

Jak się chronić? Przede wszystkim zawsze pobieraj aplikacje tylko z oficjalnych sklepów (Google Play, App Store). Uważaj na SMS-y i e-maile z linkami do „aktualizacji” lub „nowej wersji” aplikacji: banki nigdy nie wysyłają takich wiadomości. Nie instaluj aplikacji z linków przesłanych przez nieznajomych ani z nieznanych źródeł. Korzystaj z oprogramowania antywirusowego także na telefonie, wiele z nich wykrywa złośliwe aplikacje.

Oszustwa na kuriera

To oszustwo opiera się na bardzo prostym, ale skutecznym schemacie: oszuści podszywają się pod firmy kurierskie i wysyłają SMS-y lub e-maile, informując o rzekomej niedoręczonej paczce albo konieczności drobnej dopłaty. Wiadomość brzmi na przykład „Twoja paczka nie mogła zostać doręczona. Ureguluj opłatę 3,50 zł, aby ją odebrać” lub „Brakuje danych adresowych. Kliknij w link, aby zaktualizować informacje”.

Do wiadomości dołączony jest link, który prowadzi albo do fałszywej strony płatności, która wygląda jak system bankowy, albo do pobrania złośliwej aplikacji (szczególnie na Androidzie). Gdy ofiara kliknie i poda dane logowania lub karty, przestępcy błyskawicznie wykorzystują je do kradzieży pieniędzy z konta. Jeśli zainstalujesz aplikację, może ona przejąć kontrolę nad telefonem, odczytywać SMS-y, a nawet logować się do Twojej bankowości mobilnej.

Wielu z nas rzeczywiście czeka na jakąś paczkę, a oszuści wykorzystują ten fakt. Wiadomość wygląda wiarygodnie, jest krótka i pilna, a kwota dopłaty na tyle mała, że nie wzbudza podejrzeń. No i przecież nikt nie chce, żeby paczka wróciła do nadawcy, prawda?

Jak rozpoznać to oszustwo? SMS zawiera link do nieznanej strony (np. z dziwnym adresem, literówkami albo rozszerzeniem innym niż .pl czy .com). W wiadomości jest mowa o „dopłacie”, „nieudanej próbie doręczenia”, „błędnych danych” bez podania żadnych szczegółów. Link przekierowuje na stronę wyglądającą jak płatność internetowa lub do pobrania pliku .apk (czyli aplikacji na Androida). Pojawia się nacisk na pośpiech: „kliknij teraz”, „ostatnia szansa na odbiór”.

Pamiętaj!
Nigdy nie klikaj w linki z wiadomości SMS lub e-maili, jeśli nie masz 100% pewności, że pochodzą z oficjalnego źródła. Sprawdzaj status paczek tylko przez oficjalne aplikacje lub strony przewoźników (np. InPost, DPD, DHL). Nie instaluj aplikacji z linków wysłanych w wiadomości, a aplikacje pobieraj tylko z Google Play lub App Store. Jeśli coś budzi Twoje wątpliwości, skontaktuj się bezpośrednio z firmą kurierską. Zadbaj o aktualne oprogramowanie i zabezpieczenia na telefonie, to pierwszy front obrony.

Oszustwa na OLX, Vinted i Allegro Lokalnie