Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Oszustwa internetowe oraz jak się przed nimi bronić: poradnik dla opornych

Tagi:

Daria Gudkowa
Szefowa działu badań i analizy zawartości, Kaspersky Lab

oszustwa_dla_opornych.png Oszustwa internetowe istniały niemal od początku Internetu. Każdego roku cyberprzestępcy wymyślają nowe techniki i taktyki mające na celu oszukanie użytkowników. W artykule wyjaśniamy, na czym polegają różne rodzaje oszustw, oraz podpowiadamy, jak się przed nimi chronić.

Jest jedna rzecz, która odróżnia oszustwo od innych zagrożeń internetowych, takich jak wirusy, trojany, oprogramowanie spyware, spam itd. - za całym procesem stoi nie komputer, a rzeczywisty człowiek. Jednak cyberprzestępcy również mają swoje słabości. Z tego powodu, z jednej strony żaden program nie jest w stanie zapewnić użytkownikom 100% ochrony, z drugiej natomiast, użytkownicy mogą przyjąć proaktywną postawę w zapewnieniu sobie bezpieczeństwa online.

O technicznych aspektach oszustw i typowych metodach wykorzystywanych przez cyberprzestępców podczas oszustw pisaliśmy już wcześniej (zobacz: http://www.viruslist.pl/analysis.html?newsid=502). Nie wystarczy jednak, że wiemy, jak działają oszustwa. W tym artykule przedstawimy kilka prostych zasad, które pomogą użytkownikom uniknąć wielu pułapek w Internecie.

Rodzaje oszustw

Phishing

Wiadomości phishingowe obejmują fałszywe powiadomienia od banków, systemów płatności elektronicznych, operatorów poczty e-mail, portali społecznościowych, portali z grami online itd. Celem tych wiadomości jest uzyskanie poufnych informacji użytkowników (loginów, haseł itd.). Phishing bankowy jest jedną z najpowszechniejszych taktyk stosowanych w celu uzyskania dostępu do konta w banku online lub danych dotyczących konta w systemie płatności elektronicznych. Gdy szkodliwy użytkownik przejmie twój login i hasło, będzie mógł uzyskać dostęp do twojego konta.

 enlarge.gif

Phisherzy potrafią tworzyć fałszywe maile, które do złudzenia przypominają oficjalne wiadomości od różnych organizacji. Aby zmylić odbiorców, wykorzystują oficjalne logo organizacji oraz imitują styl jej korespondencji. Wiadomość zwykle sugeruje użytkownikowi, aby kliknął odsyłacz w celu wprowadzenia swoich informacji osobistych (zazwyczaj mowa jest o rzekomo podjętych przez administrację firmy działaniach mających na celu zwiększenie bezpieczeństwa, które wymagają ponownego zalogowania się użytkownika). Po kliknięciu odsyłacza użytkownik trafia na sfałszowaną stronę internetową będącą doskonałą imitacją oryginału, na której ma wprowadzić swój login i hasło; dane te są następnie wysyłane cyberprzestępcom. Dość często takie sfałszowane strony zawierają exploity, które instalują na komputerze ofiary oprogramowanie spyware. Dlatego nawet jeśli nie wprowadzisz swojego loginu i hasła, a jedynie z ciekawości klikniesz odsyłacz, możesz nieświadomie pobrać na swój komputer szkodliwe oprogramowanie, które ukradnie twoje dane.

Jak rozpoznać wiadomość phishingową

Przykład 1. Dostajesz e-mail z banku, systemu płatności elektronicznych lub operatora poczty elektronicznej. Jeżeli nie korzystasz z usług danego banku, systemu płatności elektronicznych lub operatora poczty elektronicznej - taki e-mail jest z pewnością oszustwem i należy go usunąć.

 enlarge.gif

Przykład 2. Otrzymujesz e-mail z banku, systemu płatności elektronicznych lub operatora poczty elektronicznej, w którym posiadasz konto. W takim przypadku podczas czytania wiadomości zachowaj ostrożność: jeżeli nadawca prosi cię o podanie loginu lub hasła, wiadomość z pewnością jest fałszywa. Legalne firmy i organizacje nie proszą w taki sposób swoich klientów o zalogowanie się.

 enlarge.gif
Istnieje jeszcze jeden łatwy sposób odróżnienia fałszywej wiadomości od autentycznej: wystarczy najechać kursorem na link. Zobaczysz wówczas rzeczywisty adres URL, do którego zostaniesz przeniesiony po kliknięciu odsyłacza. Przyjrzyj mu się uważnie: domena drugiego poziomu (cześć adresu, która bezpośrednio poprzedza ukośnik) powinna należeć do organizacji wysyłającej e-mail.

Na przykład, e-mail z PayPala będzie miał następujący odsyłacz: http://tekst.paypal.com/tekst

Natomiast odsyłacze zamieszczone poniżej lub wszystkie inne odsyłacze, które bezpośrednio przed ukośnikiem mają coś innego niż "paypal.com", są fałszywe.

http://paypal.confirmation.com/tekst,
http://tekst.pay-pal.com/tekst,
http://tekst.paypal.com.anything.com/tekst

 enlarge.gif

Uważaj na e-maile z załącznikami. Nawet jeśli nie są to wiadomości phishingowe, których celem jest wyciągnięcie od ciebie twoich poufnych danych, ich załączniki mogą być szkodliwe.

 enlarge.gif
Jeżeli masz jakieś wątpliwości, odwiedź oficjalną stronę organizacji, od której dostałeś maila. Zamiast klikać odsyłacz zawarty w mailu, wpisz ręcznie adres strony do przeglądarki. W ten sposób zagwarantujesz sobie bezpieczeństwo, unikniesz odwiedzenia sfałszowanej strony oraz sprawdzisz potrzebne informacje na oficjalnej stronie.

 enlarge.gif

Pamiętaj, że oszustów interesuje nie tylko twoje konto w systemie bankowości online czy systemie płatności elektronicznych. Phisherzy nie pogardzą żadnymi informacjami osobistymi. Dlatego celem ich ataków często są systemy poczty elektronicznej, portale społecznościowe, gry online i praktycznie każdy system, który wymaga loginu i hasła.

Masz konto na Facebooku, Twitterze, nk.pl czy innych popularnych portalach społecznościowych? Jeśli tak, wiesz już, jak wyglądają ich oficjalne powiadomienia mailowe.

Problem w tym, że fałszywe powiadomienia mogą być dokładną, trudną do odróżnienia imitacją tych prawdziwych. Z tym że ich celem jest kradzież twoich osobistych danych i uzyskanie dostępu do konta na portalu społecznościowym. Metody wykorzystywane do kradzieży nie różnią się od tych opisanych wyżej, stosowanych w phishingu bankowym. Najpierw otrzymujesz powiadomienie, rzekomo pochodzące z portalu społecznościowego. Z jego treści dowiadujesz się, że ktoś zostawił ci wiadomość lub chce dodać cię do swoich znajomych, lub musisz uaktualnić informacje o swoim koncie. Klikasz odsyłacz, ale zamiast znaleźć się na oficjalnej stronie, lądujesz na jej wiernej imitacji. Następnie podajesz swój login i hasło, które - zanim zostaniesz przekierowany na oficjalną stronę - zostaną wysłane oszustom.

 enlarge.gif

Fałszywe powiadomienia z portali społecznościowych nie zawsze muszą prosić o podanie loginu i hasła. Poza tym, z wyjątkiem odsyłaczy mogą wyglądać na całkowicie prawdziwe. Przyjrzyj się dokładnie rzeczywistemu adresowi strony, do której jesteś prowadzony.

Oszuści często nazywają sfałszowane przez siebie strony bardzo podobnie do tych oryginalnych, tj. http://fasebook.com/ zamiast http://facebook.com/

 enlarge.gif

Phishing: gry online

Nawet darmowe gry online często zawierają elementy, za które użytkownicy muszą zapłacić: np. oryginalny avatar itp. A wszędzie tam, gdzie są pieniądze, znajdzie się ktoś, kto będzie chciał się dorobić. Metoda jest dość standardowa: skłonić użytkownika do odwiedzenia fałszywej strony internetowej. Podobnie jak w przypadku innych odmian phishingu, adres fałszywej strony może być bardzo podobny do adresu oficjalnej strony.

 enlarge.gif

Tylko bardzo uważny użytkownik zauważy, że nazwa domeny sugerowanej strony zawiera dodatkową literę “I” w worlidofwarcraft.com. Jednak osoby, które wiedzą, co to jest phishing, natychmiast zauważą podstęp: żadna legalna organizacja nie poprosi użytkownika o kliknięcie odsyłacza w celu wprowadzenia hasła!

W celu przyciągnięcia uwagi użytkowników oszuści często stosują sprytniejsze sztuczki. Mogą na przykład poprosić cię, abyś został testerem beta nowej gry lub zaproponować ci coś za darmo - musisz jedynie kliknąć odsyłacz! Jeśli jednak to zrobisz, możesz wpaść w pułapkę i wylądować na sfałszowanej stronie, za pośrednictwem której szkodliwi użytkownicy będą próbowali ukraść twoje dane osobiste. Możesz również trafić na zainfekowaną stronę, z której na twój komputer zostaną pobrane wszelkiego rodzaju szkodliwe programy.

 enlarge.gif

 enlarge.gif
Najlepszą ochroną - tak jak w przypadku innych oszustw phishingowych - jest powstrzymanie się od klikania odsyłaczy i podawania osobistych danych. Zawsze możesz bezpośrednio wejść na oficjalną stronę, ignorując odsyłacze do fałszywych stron.

Inne rodzaje phishingu

Istnieje wiele różnych rodzajów phishingu: oszuści tworzą fałszywe e-maile - rzekomo pochodzące z różnych zasobów internetowych - które wymagają podania loginu i hasła. Celem takich ataków mogą być magazyny online itp. Cyberprzestępcy zwykle podszywają się pod znane i cieszące się zaufaniem zasoby online.

 enlarge.gif

Powyższy e-mail jest dość interesującym przykładem: oszuści posłużyli się tu formularzem umowy, który jest wykorzystywany przez firmę Skype, mając najwyraźniej nadzieję, że odbiorca nie przeczyta tekstu drobnym drukiem. Ten natomiast zawierał następujące ostrzeżenie: "Personel firmy Skype NIGDY nie porosi cię o twoje hasło za pośrednictwem e-maila".

Inne tradycyjne rodzaje oszustw

Powiedzenie "wiedza to potęga" jest również prawdziwe w odniesieniu do ochrony przed oszustwami internetowymi. Czasami, aby zorientować się, że ktoś próbuje nas oszukać, wystarczy tylko znać różne taktyki stosowane przez cyberprzestępców. Poniżej przedstawiamy najpowszechniejsze rodzaje oszustw:

  • Fałszywe powiadomienia o wygranych na loterii .

    Są to wiadomości, które informują cię o rzekomej wygranej na loterii. W rzeczywistości, oszust chce wyłudzić od ciebie pieniądze, żądając zapłaty za "przelanie" wygranej.

     enlarge.gif
  • Spam 419 lub nigeryjski szwindel

    Są to wiadomości, w których nadawca prosi cię o przelanie pieniędzy do odległego kraju, najczęściej położonego w Afryce, w zamian za obietnicę wysokiego procentu od przelewanej kwoty. Następnie oszuści proszą cię o numer twojego konta pod pozorem przelania twojej części. Jednak zamiast przelać pieniądze, wycofują twoje własne środki z konta. W innej odmianie tego szwindlu oszuści proszą o wysłanie pewnej kwoty przeznaczonej na opłacenie usług prawnych lub transportu. Po tym jak pieniądze zostaną przelane, ucinają wszelkie kontakty z ofiarą, która na próżno czeka na obiecane miliony w gotówce.

    Groźniejszy wariant tego ataku polega na wykorzystaniu twojego konta w taki sposób, że jesteś jedyną osobą winną prania brudnych pieniędzy. Ofiary takich oszustw mogą nawet trafić do więzienia zamiast rzeczywistych przestępców.

     enlarge.gif

  • Piramidy i łatwe pieniądze Tego typu oszustwa polegają na proponowaniu potencjalnym ofiarom, aby zainwestowały niewielką sumę w celu uzyskania wysokiego zwrotu z inwestycji. W rzeczywistości ofiary nie dostają ani grosza.

     enlarge.gif
    W wiadomości tej odbiorca jest zachęcany do wpłacenia pewnej kwoty, aby wziąć udział w rzekomo lukratywnym projekcie
  • Elektroniczne żebractwo

    W tym oszustwie wykorzystuje się e-maile, które wyglądają, jakby pochodziły od organizacji charytatywnych lub osób potrzebujących. W rzeczywistości stanowią one bezczelne fałszerstwo lub zawierają odsyłacze do prawdziwych organizacji i fundacji, ale przy podawaniu danych wymaganych do dokonania płatności, oszuści sprawiają, że wpłacane datki lądują w ich kieszeni.

     enlarge.gif

    W wiadomości tej odbiorca jest proszony o przekazanie pieniędzy na sieroty z północnej Rosji za pośrednictwem systemu płatności elektronicznych (podane są konta w dwóch różnych systemach). Oszuści próbują poruszyć serca potencjalnych ofiar zakończeniem wiadomości: "P.S. Dzieci, które nie mają rodziców, bardzo potrzebują naszej pomocy".

    Pamiętaj: organizacje charytatywne nie wysyłają spamu - stosują inne metody pozyskiwania pieniędzy. Jeżeli mimo to chcesz sprawdzić informacje zawarte w tego rodzaju wiadomościach, znajdź adres wymienionej organizacji, zadzwoń do niej i dowiedz się, w jaki sposób możesz przekazać datek.

  • Oszustwa SMS-owe przy użyciu spamu

    W tego rodzaju oszustwie wykorzystywane są wiadomości e-mail, które za pomocą różnych taktyk próbują przekonać odbiorców do wysłania wiadomości tekstowej na krótki numer. Oszustwo to obejmuje również e-maile zawierające odsyłacze do stron internetowych, na których użytkownicy zostają poproszeni o wysłanie wiadomości na krótki numer w ramach zapłaty za rzekomą usługę. Niezależnie od tego, co obiecują oszuści, ofiary takich oszustw płacą 10 dolarów lub więcej w zamian za nic.

    Co powinieneś zrobić? Zacznij od kasowania wszystkich wiadomości od nieznajomych osób, które kuszą cię ofertami nie do odrzucenia, takimi jak:

    • łatwe pieniądze (projekty umożliwiające szybkie wzbogacenie się, pomoc w przelewaniu środków, inwestycje z wysokim oprocentowaniem)
    • prośby o przekazanie datku (na leczenie, ubogą nigeryjską piękność itd.)
    • wszelkie "wygrane"
    • oferty darmowego oprogramowania, filmów itd.

    Jak rozpoznać techniczne oznaki oszustwa

    Naturalnie, artykuł nie wyczerpuje wszystkich rodzajów oszustw. Czasami oszustwo rozpoznamy nie na podstawie informacji zawartych w e-mailu, ale sposobu, w jaki wiadomość została napisana, oraz rozkładu tekstu. Dlatego warto wymienić również niektóre techniczne oznaki oszustwa. Gdy już będziesz je znał, bez problemu odróżnisz legalne e-maile od fałszywych wiadomości. /p>

    Poniższe oznaki pośrednio wskazują, że e-mail pochodzi od cyberprzestępcy:

    Pole "Do:" zawiera nazwisko inne niż twoje:

    To oznacza, że masz do czynienia z masową wysyłką, a pole "Do" nie ma nic wspólnego z zawartością e-maila i zostało wybrane losowo.

     enlarge.gif

    W polu "Od" znajduje się nieznany adres:

    To oznacza, że wiadomość nie pochodzi od organizacji, która została podana jako jej nadawca. Pamiętaj, żadna szanująca się organizacja nie wysyła e-maili z darmowego klienta pocztowego.

     enlarge.gif

    Niektóre ze słów są pisane WIELKIMI LITERAMI:

    jest to jedna z taktyk stosowanych przez spamerów w celu przyciągnięcia uwagi użytkownika.

    Niektóre ze słów zostały napisane błędnie ('Lloan' zamiast 'loan,' lub 'Youwon' zamiast 'You won'):

    jest to taktyka, którą spamerzy wykorzystują do obejścia filtrów antyspamowych.

    Odsyłacz nie zgadza się z adresem oficjalnej strony organizacji:

    jak wspomnieliśmy wyżej, jest to niewątpliwa oznaka tego, że ktoś próbuje zwabić cię na sfałszowaną stronę.

    Bezosobowy zwrot powitalny (Drogi Przyjacielu, Szanowny Kliencie, Drogi Subskrybencie, Witam!):

    tego rodzaju powitanie oznacza, że nadawca nie zna twojego nazwiska oraz że wiadomość jest po prostu spamem.

    Kilka słów o socjotechnice

    Jak wiemy, najsłabszym ogniwem w ochronie przed dowolną formą oszustwa, łącznie z oszustwem internetowym, jest człowiek. Żadne metody techniczne nie pomogą nam, jeżeli będziemy nieostrożni. Przyjrzyjmy się, jakie ludzkie słabości najczęściej wykorzystują oszuści.

    Chciwość

    Chciwość jest głównym aspektem natury ludzkiej, jaki wykorzystują oszuści.

    Łatwe pieniądze, wygrane na loterii, wykorzystywanie luk w systemach płatności elektronicznych lub innych - wszystkie te oszustwa opierają się na zasadzie "na początek daj nam trochę pieniędzy, później dostaniesz miliony". Naturalnie, nie ma żadnego "później". Pamiętaj o tym i nie daj się nabrać.

    Strach

    Cyberprzestępcy wykorzystują również inną słabość ludzką: strach. Wiadomości, takie jak "Kliknij ten odsyłacz lub twoje konto zostanie zablokowane", "jeżeli nie wyślesz wiadomości tekstowej na ten numer, 10 minut po przeczytaniu tego e-maila twoje konto zostanie usunięte" i inne podobne groźby żerują na strachu i popychają użytkowników do zrobienia pewnych rzeczy natychmiast, bez zastanawiania się.

    Pamiętaj, że żaden dostawca nie zablokuje w ten sposób twojego konta. Jak już wspominaliśmy, żaden dostawca nigdy nie poprosi cię, abyś kliknął odsyłacz w e-mailu w celu wprowadzenia swoich osobistych danych. Żaden legalny serwis nie będzie ponaglał cię w związku z wykonaniem jakiegoś działania. Wszystkie wiadomości, które próbują wystraszyć odbiorcę lub zawierają ponaglenie, mogą zostać odrzucone jako próba oszustwa.


    Naiwność /chęć pomocy / łatwowierność

    Niestety, oszuści próbują również wykorzystać naszą dobrą naturę.

    Pamiętaj, że wszelkie prośby o pomoc, które dostajesz w formie spamu, stanowią oszustwo. Jeżeli naprawdę chcesz pomóc, wykorzystaj oficjalny kanał. Prawdziwe organizacje charytatywne nigdy nie posługują się spamem.


    Ciekawość

    Co ciekawe, niektórzy ludzie wysyłają czasem pieniądze oszustom z czystej ciekawości. Nawet jeśli nie do końca rozumieją, o czym jest mowa w e-mailu, i tak naprawdę nie liczą na to, że wpadnie im te sto tysięcy milionów dolarów, po prostu zastanawiają się, co się zdarzy, gdy klikną link. Co to jest? Jak to działa? Co się stanie?

    Chcesz wiedzieć, co się stanie? Stracisz swoje pieniądze i to wszystko!


    Nieostrożność

    Nie da się ukryć, że tempo życia w Internecie jest szybsze niż to, jakie prowadzimy off-line. Często robimy kilka rzeczy na raz w Sieci: pracujemy, sprawdzamy maile, czytamy wiadomości, czatujemy za pośrednictwem komunikatorów internetowych, słuchamy muzyki itd. W efekcie nasza uwaga staje się trochę rozproszona, a my sami mniej uważni. To może spowodować, że dajemy się nabrać na oszukańczy mail, chociaż uważne przeczytanie wystarczyłoby, aby natychmiast wykasować go z naszej skrzynki.

    Nie spiesz się z podejmowaniem działań. Daj sobie czas, aby pomyśleć, a potem przeczytaj wiadomość drugi raz.


    Bezpieczeństwo w Internecie: kilka reguł

    Warto pamiętać, że oprócz oszustw istnieje również wiele innych rodzajów zagrożeń - tj. szereg różnych szkodliwych programów, które potrafią kraść hasła, loginy, informacje dot. karty kredytowej oraz inne informacje osobiste - bez wyraźnego udziału oszusta.

    Użytkownicy Internetu powinni przestrzegać kilku prostych zasad. Oto one:

    • Korzystaj z programu antywirusowego:
      współczesne programy antywirusowe, które są aktualizowane regularnie, zapewniają skuteczną ochronę przed wieloma różnymi zagrożeniami internetowymi.
    • Regularnie pobieraj aktualizacje:
      aktualizacje programów łatają luki, które mogą być wykorzystywane przez cyberprzestępców.
    • Nie podawaj swoich osobistych danych na otwartych zasobach:
      dane, które pozostawiasz w Internecie, są gromadzone przez roboty, które wysyłają je cyberprzestępcom, ci z kolei wykorzystują je do własnych celów (na przykład, żeby wysyłać więcej spamu na twój adres e-mail).
    • Nie pobieraj niczego z nieznanych stron internetowych:
      istnieje duże prawdopodobieństwo, że wraz z pobieranym programem, książką czy filmem dostaniesz również szkodliwe oprogramowanie.
    • Nie klikaj żadnych odsyłaczy w e-mailu:
      odsyłacze te często prowadzą do sfałszowanych stron lub stron zainfekowanych szkodliwymi programami.
    • Nie otwieraj załączników do wiadomości e-mail, jeżeli masz jakiekolwiek wątpliwości dotyczące nadawcy:
      istnieje duże prawdopodobieństwo, że załącznik będzie zawierał szkodliwy program (nawet jeśli jest to dokument Worda).
    • Nie próbuj "wypisać się" z listy spamowej (szczególnie gdy wiadomość spamowa posiada odsyłacz, którego należy użyć w tym celu):
      w ten sposób nie odetniesz spamu - wręcz przeciwnie, będziesz dostawał jeszcze więcej niechcianych wiadomości. Istnieją dwie możliwości: twój adres może zostać dodany do bazy osób, które naprawdę chcą czytać e-maile, a tym samym, w przyszłości będziesz dostawał więcej spamu. Lub, jeżeli klikniesz rzekomy odsyłacz "Chcę wypisać się z listy mailingowej", wylądujesz na zainfekowanej stronie.
    • Nie nabieraj się na pozornie atrakcyjne oferty, szczególnie jeśli obiecują ci łatwe pieniądze:
      takie oferty to w rzeczywistości przynęta, przy pomocy której ktoś chce pozbawić cię pieniędzy lub wmanewrować w podjęcie niezgodnego z prawem działania, za które możesz zostać pociągnięty do odpowiedzialności karnej.

    Kilka słów tytułem podsumowania

    Oszustwa zawsze będą istniały. Możemy paść ich ofiarą, korzystając z dowolnej usługi Internetu: poczty elektronicznej, portali społecznościowych oraz rozmaitych stron internetowych. Chociaż cyberprzestępcy doskonalą swoje taktyki od lat, same oszustwa praktycznie nie zmieniły się. Pamiętajmy, że zapewnienie bezpieczeństwa w wirtualnej przestrzeni spoczywa na samych użytkownikach. Mamy nadzieję, że pomogą im w tym informacje i porady zawarte w tym artykule.

    Źródło:
    Kaspersky Lab