eBook "Uspokój swoje finanse"

Przyznam, że nie planowałem dziś publikować żadnego nowego wpisu – po prostu potrzebowałem dzień odpoczynku po weekendzie, więc wprawdzie popracować trzeba było i tak, to raczej skontrowałem się odhaczania „małych zadań” z listy zdań, które zawsze jakoś tak się kumulują.

Ale do łapaczy SPAMu wpadło kilka nowych wiadomości, w których dowiedziałem się, że a to kurier mnie w domu nie zastał, a to czeka na mnie przesyłka konduktorska, nie opłaciłem jakiejś niezwykle ważnej faktury, czy też dostałem wezwanie do sądu, oczywiście nie mogło też zabraknąć kolejnej usługi pozwalającej zlokalizować i monitorować telefon dziewczyny/żony – właściwie nie ma znaczenia co bym jeszcze tutaj wypisał, prędzej czy później chyba każdy, najbardziej absurdalny pomysł zostanie wykorzystany przez oszustów, byle tylko…

Zamiast leczyć – zapobiegaj

Wprawdzie mógłbym poświęcić oddzielny wpis każdej z otrzymanych wiadomości i nabić sobie statystyki odwiedzin, to szczerze powiedziawszy chyba szkoda klawiatury i czasu (wyjątek zrobiłem niedawno dla „psiej łapki”, ale to dlatego, że nie dość, że sam mam 2 psy, to jeszcze na stałe współpracuje z jedną z fundacji im pomagającej). Bo co z tego, że napiszę np. o jednym z nowszych – moim zdaniem – przekrętów o „nadanej do mnie przesyłce konduktorskiej” czy lokalizowaniu telefonu, jak najdalej za 2-3 dni pomysłowy Janusz Biznesu odpali kolejną stronę, pod inna domeną i w całkiem innej branży.

Dlatego postanowiłem, że podzielę się z Wami (i to bezpłatnie ;-)) przynajmniej częścią zagadnień jakie poruszam z moimi klientami podczas (cyklicznych) szkoleń dotyczących bezpieczeństwa, zarówno w kwestiach czysto firmowych, jak i tych bardziej skierowanych na „prywatne życie” szefa/pracownika.

I tak, zamiast koncertować się na konkretnym przekręcie, tym razem napiszę kilka zdań o 2 najczęściej spotykanych modelach oszustw/przekrętów – jak je rozpoznawać, jak minimalizować ryzyko.

Podstawowa zasada: zachowaj czujność

Zacznę od tego, że niezależnie od typu oszustwa i stopnia zaawansowania systemów ochrony, najczęściej podstawowym celem ataku jesteś Ty – to właśnie Ciebie oszust chce nakłonić do działania, które w ostatecznym rozrachunku ma pozwolić mu osiągnąć cel (czasem będzie to cel finansowy, a czasem chodzi o zdobycie poufnych informacji, np. firmowych).

Dlatego tak ważne jest, byś to Ty został swoim najlepszym systemem obronnym, pierwszą linią, która już na samym początku odrzuca wszelkie ataki, które opierają się na zazwyczaj najsłabszym elemencie, czyli tzw. „czynniku ludzkim” – i to właśnie to musimy zmienić.

Pełna profeska

Zwłaszcza, że czasy wiadomości pisanych „łamaną polszczyzną”, kierujących na obskurnie wyglądające strony dawno minęły (wprawdzie czasem się trafi jeszcze i taka perełka, ale jest to w tej chwili margines).

Teraz wiadomości e-mail, które mają Was zachęcić do działania, jak i same strony są przygotowywane z dbałością o najdrobniejsze szczegóły, często dopasowane do specyfiki branży, np. pisma prawnicze, firmy kurierskie.

Otwórz załącznik

Chyba nadal jeszcze najpopularniejszym typem ataku są wiadomości, które mają przekonać Cie do otworzenia załączniku (pliku przesłanego bezpośrednio z wiadomością, bądź z linku, który znajduje się w wiadomości).

Zazwyczaj będzie to plik Adobe PDF bądź Microsoft Word lub Excel (ze względu spore możliwości jakie dają te programy, a zarazem ze względu na ew. podatności, zwłaszcza w starszych, niezaktualizowanych wersjach), lub jakiś plik wykonywalny, czasem z podwójnym rozszerzeniem (np. dokument.pdf.exe, dokument.pdf.scr), a czasem maskującym prawdziwie rozszerzenie za pomocą kodu „U+202e” (od prawej do lewej, np. dokumenttxt.scr może być widoczny jako dokumentrcs.txt).

Ostatnio dość powszechne jest to, że w załączniku znajduje się archiwum (np. zip lub rar), do którego dostęp jest chroniony hasłem, które oczywiście jest przesyłane w wiadomości – ma to na celu głównie zablokowanie możliwości przeskanowania znajdującego się w środku pliku przez systemu antywirusowe/antySPAMowe działające na serwerze pocztowym.

W przypadku linku może to też być próba ataku na przeglądarkę internetową, z wykorzystaniem jakiś z nowych błędów wykrytych w samej przeglądarce, czy jednej z wtyczek (np. Flash, Java).

W takich przypadkach obowiązuje tylko jedna zasada – nie otwieramy załączników, nie klikamy w linki.

Nawet jeśli jakaś wiadomość przyszła z adresu zaufanego, to warto się zastanowić, czy np. Ola z działu reklamy na pewno przesyłałaby do nas fakturę od kontrahenta, czy miesięczne zestawienie płatności – raczej nie.

(Nie)świadomie zawarta umowa na płatną usługę

Podobnym typem ataku na naszą kasę (potencjalnego oszustwa) są tzw. serwisy pobieraczkowe (od Pobieraczka, który był jednym z pierwszych serwisów działających w ten sposób), choć one obecnie koncentrują się na użytkownikach biznesowych (prowadzących działalność gospodarczą), których nie chroni UOKiK, ani nie mają prawa do odstąpienia od umowy zawartej na odległość.

Zazwyczaj wygląda to tak, że np. za pomocą SPAMu jesteśmy zwabiani na stronę, która jest np. „katalogiem firm” (z różnych branży), gdzie zaprasza nas się do „darmowego dodania swojej firmy do bazy” lub podstawowe dane naszej firmy w takiej bazie się znajdują, a my jesteśmy zapraszani do „bezpłatnej ich edycji”. W takim przypadku w profilu naszej formy często znajduje się jakiś błąd, który dodatkowo ma zmotywować nas do założenia konta.

I niezależnie od tego, jak dużo na stronie znajdzie się wyrazów „darmo/bezpłatnie”, to zazwyczaj za taką „bezpłatną usługę” prędzej czy później przyjdzie Wam zapłacić.

Zakamuflowana cena

Zazwyczaj informacja o płatności znajduje się w regulaminie, który nie jest jakoś specjalnie eksponowany, ale jest…

Sama informacja o płatności jest też często dodatkowo ukryta, np.:

To tylko informacja o ciasteczkach

Regulamin to kilka stron, a pierwsze z nich to np. informacja o ciasteczkach (cookies), co ma sprawić, że nieświadomie uznacie, że akceptując regulamin akceptujecie tylko informacje o ciasteczkach.

Kwota słownie

Kwoty w regulaminie są zapisane tylko i wyłącznie słownie (np. sto czterdzieści siedem złotych), co ma na celu zminimalizowanie ryzyka natrafienia na taką informację przez osoby tylko „skanujące” regulamin, np. w poszukiwaniu kwot/cyfr.

Klikasz w link i potwierdź zawarcie umowy

Czasem jakiś pomysłowy Janusz Biznesu postanowi jednak usprawnić cały proces, i wyręczy Was z procesu zakładania konta.

Na Waszą pocztę przyjdzie informacja, że gdzieś założyliście jakieś konto (automat), i musicie jeszcze „kliknąć tutaj” by potwierdzić rejestrację bądź sprawdzić o co chodzi, bo wygląda to na pomyłkę.

Link taki jest spersonalizowany, nasze IP i czas są rejestrowane i po otworzeniu za jego pomocą strony dowiadujemy się, że właśnie potwierdziliśmy założenie konta/rejestrację (ew. dowiemy się o tym z wiadomości e-mail z fakturą, która przyjdzie w ciągu kilku minut, a czasem nawet szybciej na naszą skrzynkę e-mail).

Pewną odnogą tej metody jest wiadomość w stylu:

O k… widziałeś, ktoś znowu się pod nas podszywa i nas oczernia! Zobacz [LINK]

Zasada jest ta sama – zmienia się tylko „motywator do kliknięcia”.

Wyślij SMSa

Od jakiegoś czasu zdecydowanie zyskują na popularności wszelkiej maści oszustwa/przekręty polegające na nakłonieniu użytkownika do wysłania SMSa o wskazanej treści na podany numer telefonu – wynika to po części z tego, że właściwie każdy z nas ma w obecnie telefon komórkowy (a czasem nawet więcej niż jeden), a przez to metoda na SMSy o podwyższonej opłacie (Premium SMS) jest nie dość, że bardzo uniwersalnym przekrętem, to jeszcze w krótkim czasie może przynieść niezły dochód (głównie ze względu na jej masowość).

Kiedyś potencjalny oszust starał się przekonać swoją ofiarę od razu do wysłania SMSa o podwyższonej opłacie, dzięki czemu właściwie od razu ściągał z nas jakąś kwotę (od kilku do kilkunastu złotych).

Rozwiązanie teoretycznie proste, ale miało jedną wadę – by zarobić na pojedynczej ofierze więcej niż koszt pojedynczego SMSa, trzeba było nakłonić ją do wysłania więcej niż jednego SMSa, co już mogło być w pewnym sensie utrudnione.

Nie bez znaczenia był również fakt, że coraz większej rozpoznawalności numerów Premium SMS (np. 70xx-79xx), co dodatkowo odsiewało część potencjalnych ofiar.

Subskrypcja Premium SMS

Z odsieczą przyszły usługi subskrypcyjne, czyli takie, gdzie za pomocą jednego SMSa – często nawet bezpłatnego – włączmy sobie subskrypcje, czyli od tego momentu nawet kilka razy w tygodniu będziemy otrzymywać SMSy, a za każdy z nich zapłacimy nawet 30 zł.

Taki atak przebiega zazwyczaj w następujący sposób:

Za pomocą wiadomości e-mail, linku w mediach społecznościowych (np. Facebook), czy choćby reklamy jesteśmy zwabiani na konkretną stronę, na której atakujący oferuje nam jakieś korzyści (np. zlokalizowanie/szpiegowanie telefonu dziewczyny, jakieś kupony zniżkowe czy inne atrakcyjne prezenty/gratisy), w zamian za wypełnienie prostego formularza.

W formularzu tym musimy podać nasz numer telefonu, oraz (zazwyczaj) również wybrać operatora – w tym momencie zostaje wysłany do nas SMS zawierający kod PIN, który wg informacji na stronie zazwyczaj ma służyć „weryfikacji naszych danych, by chronić nasz przed nieuczciwymi użytkownikami”.

W rzeczywistości, podając na takiej stronie otrzymany kod PIN potwierdzamy m.in. naszemu operatorowi, że to właśnie my – użytkownicy danego numeru – chcemy sobie aktywować taką usługę, a tym samym będziemy (bo potwierdziliśmy kodem PIN, że chcemy) otrzymywać SMSy, za które będziemy płacili od kilku do kilkudziesięciu złotych (za każdy z nich).

Dobrym przykładem tej metody będzie choćby wspomniana wcześniej „psia łapka”, gdzie pod pozorem weryfikacji naszych danych i wysyłki „wyprawki dla psa” jesteśmy zapisywani do subskrypcji Premium SMS, co akurat w tym przypadku kosztuje nas „tylko” 79,95 zł miesięcznie (tylko, bo często są to dużo wyższe kwoty).

Nie korzystasz z Premium SMS? Wyłącz!

W przypadku tego typu ataku oczywiście również warto byśmy to my stanowili podstawową linie obrony, to jednak możemy skorzystać tutaj z cichego i automatycznego sprzymierzeńcza – właściwie w przypadku każdego operatora możemy wyłączyć usługi Premium (nie tylko SMS).

Oczywiście opcja ta nie będzie idealnym rozwiązaniem dla miłośników różnego typu „teleaudio”, czyli np. głosowania za pomocą SMSa na ulubionego wykonawcę czy…

Na szczęście również i w takich przypadkach nie jesteście na straconej pozycji – w większości przypadków można wybrać typ blokady (np. tylko subskrypcje), oraz górną granicę kwoty na tego typu usługi jaką chcemy (możemy) wydać miesięcznie.

Masz wirusa/otrzymałeś przelew! Kliknij w link/pobierz aplikację

Kolejny typ popularnego ostatnio oszustwa, to wyświetlenie reklamy w stylu:

Masz 3 wirusy! Kliknij i pobierz darmowy program antywirusowy

Reklamy tego typu wyświetlają się zarówno na komputerach stacjonarnych jak i na telefonach komórkowych (choć ostatnio, ze względu na lepszą monetyzację (np. reklamy na komórce) zdecydowanie częściej celem są posiadacze urządzeń mobilnych, głównie z system Android), i ma zachęcić nas do instalacji aplikacji.

Oczywiście wabik w stylu „masz wirusa” to nie jedyny pomysł, a lista jest dość długa, właściwie może na niej znaleźć się każdy temat, jaki sprawi, że wykonacie wymagane działanie.

Ostatnio – na fali popularności przelewów SMSowych (na numer telefonu) wprowadzanych prze kolejne banki – dość popularne stają się wiadomości SMS z informacją o przelewie do odebrania:

Użytkownik telefonu (ostatnie 4 cyfry: 1234) wysłał Ci przelew na numer SMS w kwocie 123, wejdź na [LINK] by odebrać przelew.

Czasem w takiej wiadomości znajduje się jeszcze kod, bo celem (oprócz ew. instalacji podejrzanej aplikacji) jest również aktywacji subskrypcji Premium SMS (pisałem o tym wyżej).

Podziękowania i bluzgi

Przez ostatnie kilka lat – na tej i innych stronach – opisałem już całkiem sporo mniejszych lub większych potencjalnych oszustw, czasem otrzymują podziękowania, że dzięki takim informacją udało się komuś z Was zaoszczędzić, ktoś z Was nie dał się nabrać.

Każda taka wiadomość (lub komentarz) sprawia, że wiem(y), że warto nadal to robić, to cały czas są wśród czytelników osoby, które dzięki takim wpisom odkrywają kolejne mechanizmy tego typu (potencjalnych) oszustw.

Czasem otrzymuje(my) też groźby i obelgi, i wbrew temu co mogłoby się wydawać, najczęściej nie są one wysyłane przez osoby związane z opisywanymi usługami – zazwyczaj stojące za tego typu „biznesami” osoby wiedzą doskonale, że działają nie tylko na granicy (lub nawet poza nią) prawa, ale i daleko od etyki.

Najczęściej te groźby (sądowe, a jak) otrzymuje(my) od osób, które uważają, że zostały w ten czy inny sposób (najczęściej dotyczy to Premium SMS) oszukane, bo np. miało być coś za darmo, a okazało się, że taka zabawa kosztowała sporo pieniążków (pieniędzy), a które zazwyczaj z wyszukiwarki trafiają do nas, do wpisu gdzie opisujemy dany potencjalny przekręt.

Często nawet nasze tłumaczenia (bo mili i wyrozumiali z nas goście) nie pomagają – jak się taka osoba uprze, że skoro dany numer i treść SMSa jest na naszej stronie, to na pewno my za tym stoimy. Nic to, że w treści ostrzegamy przed tego typu (albo nawet tą konkretną usługą) usługami.

Brak aresztowań zawdzięczam(y) chyba tylko temu, że napisanie skutecznego zgłoszenia choćby na policję jest bardziej skomplikowane niż przeczytanie kilku zdań ze zrozumieniem… No i w razie co, zawsze jest powstały ostatnio KOD (Komitet Obrony Demokracji) ;-)

Na koniec mały żarcik, ale traktować poważnie sam KOD jak i ludzi za nim stojących naprawdę jest ciężko, nawet LEDy czy transformatory wpięte w klapę zamiast opornika niewiele tu chyba pomogą…

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
eBook "Uspokój swoje finanse"
Patryk
eBook "Uspokój swoje finanse"