Home → Analizy → Zagrożenia → Ogólne zagrożenia → Oszustwa internetowe oraz jak się przed nimi bronić: poradnik dla opornych
Oszustwa internetowe istniały niemal od początku Internetu. Każdego roku cyberprzestępcy wymyślają nowe techniki i taktyki mające na celu oszukanie użytkowników. W artykule wyjaśniamy, na czym polegają różne rodzaje oszustw, oraz podpowiadamy, jak się przed nimi chronić.
Jest jedna rzecz, która odróżnia oszustwo od innych zagrożeń internetowych, takich jak wirusy, trojany, oprogramowanie spyware, spam itd. - za całym procesem stoi nie komputer, a rzeczywisty człowiek. Jednak cyberprzestępcy również mają swoje słabości. Z tego powodu, z jednej strony żaden program nie jest w stanie zapewnić użytkownikom 100% ochrony, z drugiej natomiast, użytkownicy mogą przyjąć proaktywną postawę w zapewnieniu sobie bezpieczeństwa online.
O technicznych aspektach oszustw i typowych metodach wykorzystywanych przez cyberprzestępców podczas oszustw pisaliśmy już wcześniej (zobacz: http://www.viruslist.pl/analysis.html?newsid=502). Nie wystarczy jednak, że wiemy, jak działają oszustwa. W tym artykule przedstawimy kilka prostych zasad, które pomogą użytkownikom uniknąć wielu pułapek w Internecie.
Wiadomości phishingowe obejmują fałszywe powiadomienia od banków, systemów płatności elektronicznych, operatorów poczty e-mail, portali społecznościowych, portali z grami online itd. Celem tych wiadomości jest uzyskanie poufnych informacji użytkowników (loginów, haseł itd.). Phishing bankowy jest jedną z najpowszechniejszych taktyk stosowanych w celu uzyskania dostępu do konta w banku online lub danych dotyczących konta w systemie płatności elektronicznych. Gdy szkodliwy użytkownik przejmie twój login i hasło, będzie mógł uzyskać dostęp do twojego konta.
Phisherzy potrafią tworzyć fałszywe maile, które do złudzenia przypominają oficjalne wiadomości od różnych organizacji. Aby zmylić odbiorców, wykorzystują oficjalne logo organizacji oraz imitują styl jej korespondencji. Wiadomość zwykle sugeruje użytkownikowi, aby kliknął odsyłacz w celu wprowadzenia swoich informacji osobistych (zazwyczaj mowa jest o rzekomo podjętych przez administrację firmy działaniach mających na celu zwiększenie bezpieczeństwa, które wymagają ponownego zalogowania się użytkownika). Po kliknięciu odsyłacza użytkownik trafia na sfałszowaną stronę internetową będącą doskonałą imitacją oryginału, na której ma wprowadzić swój login i hasło; dane te są następnie wysyłane cyberprzestępcom. Dość często takie sfałszowane strony zawierają exploity, które instalują na komputerze ofiary oprogramowanie spyware. Dlatego nawet jeśli nie wprowadzisz swojego loginu i hasła, a jedynie z ciekawości klikniesz odsyłacz, możesz nieświadomie pobrać na swój komputer szkodliwe oprogramowanie, które ukradnie twoje dane.
Przykład 1. Dostajesz e-mail z banku, systemu płatności elektronicznych lub operatora poczty elektronicznej. Jeżeli nie korzystasz z usług danego banku, systemu płatności elektronicznych lub operatora poczty elektronicznej - taki e-mail jest z pewnością oszustwem i należy go usunąć.
Przykład 2. Otrzymujesz e-mail z banku, systemu płatności elektronicznych lub operatora poczty elektronicznej, w którym posiadasz konto. W takim przypadku podczas czytania wiadomości zachowaj ostrożność: jeżeli nadawca prosi cię o podanie loginu lub hasła, wiadomość z pewnością jest fałszywa. Legalne firmy i organizacje nie proszą w taki sposób swoich klientów o zalogowanie się.
Na przykład, e-mail z PayPala będzie miał następujący odsyłacz: http://tekst.paypal.com/tekst
Natomiast odsyłacze zamieszczone poniżej lub wszystkie inne odsyłacze, które bezpośrednio przed ukośnikiem mają coś innego niż "paypal.com", są fałszywe.
http://paypal.confirmation.com/tekst,
http://tekst.pay-pal.com/tekst,
http://tekst.paypal.com.anything.com/tekst
Uważaj na e-maile z załącznikami. Nawet jeśli nie są to wiadomości phishingowe, których celem jest wyciągnięcie od ciebie twoich poufnych danych, ich załączniki mogą być szkodliwe.
Pamiętaj, że oszustów interesuje nie tylko twoje konto w systemie bankowości online czy systemie płatności elektronicznych. Phisherzy nie pogardzą żadnymi informacjami osobistymi. Dlatego celem ich ataków często są systemy poczty elektronicznej, portale społecznościowe, gry online i praktycznie każdy system, który wymaga loginu i hasła.
Masz konto na Facebooku, Twitterze, nk.pl czy innych popularnych portalach społecznościowych? Jeśli tak, wiesz już, jak wyglądają ich oficjalne powiadomienia mailowe.
Problem w tym, że fałszywe powiadomienia mogą być dokładną, trudną do odróżnienia imitacją tych prawdziwych. Z tym że ich celem jest kradzież twoich osobistych danych i uzyskanie dostępu do konta na portalu społecznościowym. Metody wykorzystywane do kradzieży nie różnią się od tych opisanych wyżej, stosowanych w phishingu bankowym. Najpierw otrzymujesz powiadomienie, rzekomo pochodzące z portalu społecznościowego. Z jego treści dowiadujesz się, że ktoś zostawił ci wiadomość lub chce dodać cię do swoich znajomych, lub musisz uaktualnić informacje o swoim koncie. Klikasz odsyłacz, ale zamiast znaleźć się na oficjalnej stronie, lądujesz na jej wiernej imitacji. Następnie podajesz swój login i hasło, które - zanim zostaniesz przekierowany na oficjalną stronę - zostaną wysłane oszustom.
Fałszywe powiadomienia z portali społecznościowych nie zawsze muszą prosić o podanie loginu i hasła. Poza tym, z wyjątkiem odsyłaczy mogą wyglądać na całkowicie prawdziwe. Przyjrzyj się dokładnie rzeczywistemu adresowi strony, do której jesteś prowadzony.
Nawet darmowe gry online często zawierają elementy, za które użytkownicy muszą zapłacić: np. oryginalny avatar itp. A wszędzie tam, gdzie są pieniądze, znajdzie się ktoś, kto będzie chciał się dorobić. Metoda jest dość standardowa: skłonić użytkownika do odwiedzenia fałszywej strony internetowej. Podobnie jak w przypadku innych odmian phishingu, adres fałszywej strony może być bardzo podobny do adresu oficjalnej strony.
Tylko bardzo uważny użytkownik zauważy, że nazwa domeny sugerowanej strony zawiera dodatkową literę “I” w worlidofwarcraft.com. Jednak osoby, które wiedzą, co to jest phishing, natychmiast zauważą podstęp: żadna legalna organizacja nie poprosi użytkownika o kliknięcie odsyłacza w celu wprowadzenia hasła!
W celu przyciągnięcia uwagi użytkowników oszuści często stosują sprytniejsze sztuczki. Mogą na przykład poprosić cię, abyś został testerem beta nowej gry lub zaproponować ci coś za darmo - musisz jedynie kliknąć odsyłacz! Jeśli jednak to zrobisz, możesz wpaść w pułapkę i wylądować na sfałszowanej stronie, za pośrednictwem której szkodliwi użytkownicy będą próbowali ukraść twoje dane osobiste. Możesz również trafić na zainfekowaną stronę, z której na twój komputer zostaną pobrane wszelkiego rodzaju szkodliwe programy.
Istnieje wiele różnych rodzajów phishingu: oszuści tworzą fałszywe e-maile - rzekomo pochodzące z różnych zasobów internetowych - które wymagają podania loginu i hasła. Celem takich ataków mogą być magazyny online itp. Cyberprzestępcy zwykle podszywają się pod znane i cieszące się zaufaniem zasoby online.
Powyższy e-mail jest dość interesującym przykładem: oszuści posłużyli się tu formularzem umowy, który jest wykorzystywany przez firmę Skype, mając najwyraźniej nadzieję, że odbiorca nie przeczyta tekstu drobnym drukiem. Ten natomiast zawierał następujące ostrzeżenie: "Personel firmy Skype NIGDY nie porosi cię o twoje hasło za pośrednictwem e-maila".
Powiedzenie "wiedza to potęga" jest również prawdziwe w odniesieniu do ochrony przed oszustwami internetowymi. Czasami, aby zorientować się, że ktoś próbuje nas oszukać, wystarczy tylko znać różne taktyki stosowane przez cyberprzestępców. Poniżej przedstawiamy najpowszechniejsze rodzaje oszustw:
Są to wiadomości, które informują cię o rzekomej wygranej na loterii. W rzeczywistości, oszust chce wyłudzić od ciebie pieniądze, żądając zapłaty za "przelanie" wygranej.
Są to wiadomości, w których nadawca prosi cię o przelanie pieniędzy do odległego kraju, najczęściej położonego w Afryce, w zamian za obietnicę wysokiego procentu od przelewanej kwoty. Następnie oszuści proszą cię o numer twojego konta pod pozorem przelania twojej części. Jednak zamiast przelać pieniądze, wycofują twoje własne środki z konta. W innej odmianie tego szwindlu oszuści proszą o wysłanie pewnej kwoty przeznaczonej na opłacenie usług prawnych lub transportu. Po tym jak pieniądze zostaną przelane, ucinają wszelkie kontakty z ofiarą, która na próżno czeka na obiecane miliony w gotówce.
Groźniejszy wariant tego ataku polega na wykorzystaniu twojego konta w taki sposób, że jesteś jedyną osobą winną prania brudnych pieniędzy. Ofiary takich oszustw mogą nawet trafić do więzienia zamiast rzeczywistych przestępców.
W tym oszustwie wykorzystuje się e-maile, które wyglądają, jakby pochodziły od organizacji charytatywnych lub osób potrzebujących. W rzeczywistości stanowią one bezczelne fałszerstwo lub zawierają odsyłacze do prawdziwych organizacji i fundacji, ale przy podawaniu danych wymaganych do dokonania płatności, oszuści sprawiają, że wpłacane datki lądują w ich kieszeni.
W wiadomości tej odbiorca jest proszony o przekazanie pieniędzy na sieroty z północnej Rosji za pośrednictwem systemu płatności elektronicznych (podane są konta w dwóch różnych systemach). Oszuści próbują poruszyć serca potencjalnych ofiar zakończeniem wiadomości: "P.S. Dzieci, które nie mają rodziców, bardzo potrzebują naszej pomocy".
Pamiętaj: organizacje charytatywne nie wysyłają spamu - stosują inne metody pozyskiwania pieniędzy. Jeżeli mimo to chcesz sprawdzić informacje zawarte w tego rodzaju wiadomościach, znajdź adres wymienionej organizacji, zadzwoń do niej i dowiedz się, w jaki sposób możesz przekazać datek.
W tego rodzaju oszustwie wykorzystywane są wiadomości e-mail, które za pomocą różnych taktyk próbują przekonać odbiorców do wysłania wiadomości tekstowej na krótki numer. Oszustwo to obejmuje również e-maile zawierające odsyłacze do stron internetowych, na których użytkownicy zostają poproszeni o wysłanie wiadomości na krótki numer w ramach zapłaty za rzekomą usługę. Niezależnie od tego, co obiecują oszuści, ofiary takich oszustw płacą 10 dolarów lub więcej w zamian za nic.
Co powinieneś zrobić? Zacznij od kasowania wszystkich wiadomości od nieznajomych osób, które kuszą cię ofertami nie do odrzucenia, takimi jak:
Naturalnie, artykuł nie wyczerpuje wszystkich rodzajów oszustw. Czasami oszustwo rozpoznamy nie na podstawie informacji zawartych w e-mailu, ale sposobu, w jaki wiadomość została napisana, oraz rozkładu tekstu. Dlatego warto wymienić również niektóre techniczne oznaki oszustwa. Gdy już będziesz je znał, bez problemu odróżnisz legalne e-maile od fałszywych wiadomości. /p>
Poniższe oznaki pośrednio wskazują, że e-mail pochodzi od cyberprzestępcy:
Pole "Do:" zawiera nazwisko inne niż twoje:
W polu "Od" znajduje się nieznany adres:
Niektóre ze słów są pisane WIELKIMI LITERAMI:
Niektóre ze słów zostały napisane błędnie ('Lloan' zamiast 'loan,' lub 'Youwon' zamiast 'You won'):
Odsyłacz nie zgadza się z adresem oficjalnej strony organizacji:
Bezosobowy zwrot powitalny (Drogi Przyjacielu, Szanowny Kliencie, Drogi Subskrybencie, Witam!):
Jak wiemy, najsłabszym ogniwem w ochronie przed dowolną formą oszustwa, łącznie z oszustwem internetowym, jest człowiek. Żadne metody techniczne nie pomogą nam, jeżeli będziemy nieostrożni. Przyjrzyjmy się, jakie ludzkie słabości najczęściej wykorzystują oszuści.
Chciwość jest głównym aspektem natury ludzkiej, jaki wykorzystują oszuści.
Łatwe pieniądze, wygrane na loterii, wykorzystywanie luk w systemach płatności elektronicznych lub innych - wszystkie te oszustwa opierają się na zasadzie "na początek daj nam trochę pieniędzy, później dostaniesz miliony". Naturalnie, nie ma żadnego "później". Pamiętaj o tym i nie daj się nabrać.
Cyberprzestępcy wykorzystują również inną słabość ludzką: strach. Wiadomości, takie jak "Kliknij ten odsyłacz lub twoje konto zostanie zablokowane", "jeżeli nie wyślesz wiadomości tekstowej na ten numer, 10 minut po przeczytaniu tego e-maila twoje konto zostanie usunięte" i inne podobne groźby żerują na strachu i popychają użytkowników do zrobienia pewnych rzeczy natychmiast, bez zastanawiania się.
Pamiętaj, że żaden dostawca nie zablokuje w ten sposób twojego konta. Jak już wspominaliśmy, żaden dostawca nigdy nie poprosi cię, abyś kliknął odsyłacz w e-mailu w celu wprowadzenia swoich osobistych danych. Żaden legalny serwis nie będzie ponaglał cię w związku z wykonaniem jakiegoś działania. Wszystkie wiadomości, które próbują wystraszyć odbiorcę lub zawierają ponaglenie, mogą zostać odrzucone jako próba oszustwa.
Niestety, oszuści próbują również wykorzystać naszą dobrą naturę.
Pamiętaj, że wszelkie prośby o pomoc, które dostajesz w formie spamu, stanowią oszustwo. Jeżeli naprawdę chcesz pomóc, wykorzystaj oficjalny kanał. Prawdziwe organizacje charytatywne nigdy nie posługują się spamem.
Co ciekawe, niektórzy ludzie wysyłają czasem pieniądze oszustom z czystej ciekawości. Nawet jeśli nie do końca rozumieją, o czym jest mowa w e-mailu, i tak naprawdę nie liczą na to, że wpadnie im te sto tysięcy milionów dolarów, po prostu zastanawiają się, co się zdarzy, gdy klikną link. Co to jest? Jak to działa? Co się stanie?
Chcesz wiedzieć, co się stanie? Stracisz swoje pieniądze i to wszystko!
Nie da się ukryć, że tempo życia w Internecie jest szybsze niż to, jakie prowadzimy off-line. Często robimy kilka rzeczy na raz w Sieci: pracujemy, sprawdzamy maile, czytamy wiadomości, czatujemy za pośrednictwem komunikatorów internetowych, słuchamy muzyki itd. W efekcie nasza uwaga staje się trochę rozproszona, a my sami mniej uważni. To może spowodować, że dajemy się nabrać na oszukańczy mail, chociaż uważne przeczytanie wystarczyłoby, aby natychmiast wykasować go z naszej skrzynki.
Nie spiesz się z podejmowaniem działań. Daj sobie czas, aby pomyśleć, a potem przeczytaj wiadomość drugi raz.
Warto pamiętać, że oprócz oszustw istnieje również wiele innych rodzajów zagrożeń - tj. szereg różnych szkodliwych programów, które potrafią kraść hasła, loginy, informacje dot. karty kredytowej oraz inne informacje osobiste - bez wyraźnego udziału oszusta.
Użytkownicy Internetu powinni przestrzegać kilku prostych zasad. Oto one:
Oszustwa zawsze będą istniały. Możemy paść ich ofiarą, korzystając z dowolnej usługi Internetu: poczty elektronicznej, portali społecznościowych oraz rozmaitych stron internetowych. Chociaż cyberprzestępcy doskonalą swoje taktyki od lat, same oszustwa praktycznie nie zmieniły się. Pamiętajmy, że zapewnienie bezpieczeństwa w wirtualnej przestrzeni spoczywa na samych użytkownikach. Mamy nadzieję, że pomogą im w tym informacje i porady zawarte w tym artykule.
Źródło:![]() |
Analizy
Blog