Uwaga, oszuści!

Wyobraźmy sobie taką sytuację: otwieramy skrzynkę mailową. Pośród różnych, mniej lub bardziej potrzebnych wiadomości znajdujemy maila od dawno niewidzianej koleżanki. Kiedy go otwieramy, okazuje się, że dostaliśmy wirtualną karteczkę. Oglądamy zatem przez minutę animację, czytamy życzenia i cieszymy się, że znajoma o nas pamięta. Miły gest, prawda?
Co się naprawdę stało?
Pewien ktoś obejrzał nasz profil na NaszejKlasie. Wytypował jedną ze znajomych osób (chodzącą z nami kiedyś do szkoły - często nie utrzymuje się w takich sytuacjach bliższych kontaktów w chwili obecnej). Następnie stworzył fałszywy mail, aby uśpić naszą czujność np. agnieszka.kowalska@skrzynka.com, gdzie Agnieszka Kowalska to nasza znajoma, a potem stworzył mały programik, który nam wyświetlał kartkę, a w międzyczasie na naszym komputerze instalowało się szkodliwe oprogramowanie. Złośliwy program przez dłuższy czas zapisywał wszelkie słowa, jakie wpisywaliśmy z klawiatury, po czym wysłał je hakerowi. Wszystkie słowa, czyli także hasła do skrzynek mailowych, banku, for internetowych itp. A mając to potencjalny włamywacz może zrobić BARDZO wiele złych rzeczy. Nawet takich, za które zostaniemy pewnego pięknego dnia postawieni przed sądem.
Czy zabezpieczyliśmy się dostatecznie przed takim scenariuszem?
Czy sprawdziliśmy, czy koleżanka rzeczywiście wysłała nam taką kartkę? NIE. Czy sprawdziliśmy, czy to rzeczywiście mail naszej koleżanki? NIE. Czy sprawdziliśmy, czy strona z kartkami rzeczywiście istnieje? NIE. Czy sprawdziliśmy, czy link w mailu prowadzi rzeczywiście do strony, którą wskazuje? NIE!!!
Dodam, że opisany wyżej sposób jest dość skomplikowany i raczej nie stosowany. Bo i po co? Połączenie naiwności i zwykłej niewiedzy powoduje, że potencjalni włamywacze nie muszą się aż tak bardzo starać. Poniżej kilka przykładów najbardziej znanych przestępstw i oszustw internetowych, wraz z kilkoma poradami.

Phishing
Zapewne kilka razy zdarzyło się wam dostać maila z banku, w którym nie macie konta. Była tam prośba o pilne zalogowanie się, korzystając z podanego linka. Zdziwiliście się, dlaczego właśnie do was trafił taki mail? Była to właśnie próba phishingu. To nic, że wy nie macie tam konta. Ale z kilkuset tysięcy osób, do których taki mail dotarł, powiedzmy 10% takie konta ma. Zostaje więc kilkadziesiąt tysięcy ludzi, z których, dajmy na to, tylko 1% ludzi da się nabrać i zaloguje. I w ten sposób włamywacze mają dostęp do kilkuset kont bankowych. Proste i skuteczne.
Link w mailu przekierowuje na stronę łudząco podobną do strony banku. Kiedy w okienku wpiszemy login i hasło, otwiera się nasze konto - ale równocześnie złodziej przechwycił nasze hasło i login. Najpopularniejsze są oczywiście włamania do banków, głównie (na szczęście) do internetowych.
Istnieją jeszcze inne maile phishingowe - znacznie bardziej prymitywne. Zawarta w nich jest prośba o przesłanie hasła i loginu, gdyż... [i tu pada przyczyna]. Niestety, ludzie nabierają się nawet na tak proste numery...

Jak się zabezpieczyć?
- Mieć konto w banku, który wymaga dodatkowej autoryzacji wszelkich działań (tokeny, kody jednorazowe, SMS-y)
- NIE klikać na żaden link w mailu (zalecenie ogólne - nie tylko do phishingu)
- Sprawdzać, czy link, który chcemy kliknąć jest tożsamy z linkiem, który ukaże się w lewym dolnym rogu przeglądarki. Jeśli najedziemy myszką na link w mailu, w lewym dolnym rogu ukaże się adres, do którego ten link prowadzi. Obydwa powinny być identyczne. Tu szczególnie łatwo o pomyłkę - link w mailu może wyglądać tak: www.ipko.pl/xxxtujakiesdane, link rzeczywisty (w rogu przegladarki) wwwipko.pl/xxxtutesamedane. Pierwsza strona (www.ipko.pl) to rzeczywista strona banku, druga (wwwipko.pl) to strona założona przez hakerów specjalnie do włamań. Jak widać, różnią się tylko kropką. (Adres drugiej strony to w rzeczywistości www.wwwipko.pl).
- Sprawdzić, czy strona banku na której jesteśmy używa szyfrowania - powinna zaczynać się nie od http, ale od https (nie http://www.naszbank.pl ale https://www.naszbank.pl), w dolnym pasku przeglądarki powinna być ZAMKNIĘTA kłódka
- Jeśli dostaliśmy podejrzanego maila - zamykamy pocztę i wchodzimy na stronę banku z poziomu przeglądarki.

Pharming
Jak co kilka dni wchodzimy na stronę naszego banku. Wpisujemy login, hasło i otrzymujemy komunikat - „błędne hasło, masz jeszcze jedną próbę wpisz login, hasło i 10 kodów jednorazowych." Co robicie?
Po pierwsze - kody jednorazowe zna tylko użytkownik i tylko ON jest odpowiedzialny za ich użycie. Dlaczegóż to bank domaga się tych kodów? I po co one do zalogowania?
Po drugie - dlaczego tylko jedna próba? Przeważnie możemy trzy razy wpisywać hasło, zanim bank zablokuje nam konto.
W tym przypadku mamy do czynienia z pharmingiem - znacznie trudniejszą, ale też znacznie efektywniejszą metodą włamania. Przestępca musi bowiem umieścić w naszym komputerze trojana, czyli złośliwy programik, który (w tym oczywiście przypadku) przekierowuje nas po wpisaniu PRAWIDŁOWEGO adresu banku na FAŁSZYWĄ, ale identycznie wyglądającą stronę.
Ponieważ samo włamanie na konto bankowe niewiele daje (poza poznaniem wszystkich transakcji, stanu konta i danych osobowych), przy pomocy pharmingu udaje się zdobyć część kodów jednorazowych i wyczyścić konto ofiary. I problemy w banku - w końcu kody udostępniliśmy sami.

Zalecenia:
- Jeżeli coś wzbudza nasze podejrzenia - choćby niewinna z pozoru zmiana - sprawdzić certyfikat (kliknąć na ZAMKNIĘTĄ kłódeczkę), sprawdzić adres (https:// czy http://).
- Przeskanować komputer programem antywirusowym, programem typu ad-aware oraz trojan remover.
- Nie podawać kodów jednorazowych PRZED zalogowaniem się na stronę banku.
- Zawiadomić bank o próbie włamania.

Przekręt nigeryjski (Przekręt 419)
Z tym oszustwem spotkał się chyba każdy, a mimo to wciąż jest popularny i wciąż pojawiają się nowe odmiany.
W naszej skrzynce pocztowej pojawia się mail. Czasem po angielsku, czasem łamaną polszczyzną. Pisze do nas z Afryki (najczęściej) syn ministra, bogacz, któremu junta nie pozwala wywieźć majątku, prezes, który chce zdefraudować pieniądze... w każdym razie bogacz. Proponuje nam część swojego majątku, liczonego w setkach milionów dolarów, za pomoc w wytransferowaniu tej kwoty poza Afrykę.
Kiedy odpowiadamy na maila, otrzymujemy szczegóły. Już za chwilę staniemy się posiadaczami milionów dolarów, potrzeba jednak drobnej kwoty na łapówki, opłaty administracyjne itp. Jeżeli damy się skusić i wpłacimy jakąś kwotę, pojawią się „nieprzewidziane trudności" i żądanie dalszych wpłat. Niektórzy potrafią w ten sposób wpłacić nawet setki tysięcy złotych (w Ameryce oszacowano, że tylko w USA w 1997 roku wyłudzono 100 milionów dolarów tą metodą). W Polsce oficjalną „rekordzistką" jest mieszkanka Nowego Sącza, która straciła 250.000 zł. To nic w porównaniu do pewnego brazylijskiego banku, który zapłacił oszustom - sto dwadzieścia milionów dolarów!!!
Przekręt nigeryjski ma wiele odmian. Jedna z nich, dość popularna w Polsce, to przekręt przy wykorzystaniu Allegro. Kiedy wystawiamy jakąś rzecz - najczęściej elektronikę - otrzymujemy mail, w którym ktoś pisze, że widział naszą rzecz na portalu aukcyjnym i chce ją od nas kupić poza Allegro za cenę kilka razy wyższą niż wystawiona. (już to powinno obudzić nasze podejrzenia - dlaczego ktoś chce przepłacać). Kiedy zgodzimy się, prosi o zapakowanie i wysłanie towaru do rodziny/kuzyna/znajomego w Afryce. Oczywiście zgadzamy się, ale żądamy pieniędzy. I wtedy otrzymujemy skan dowodu wpłaty do banku (zazwyczaj Western Union) z informacją, że pieniądze są zablokowane przez bank, a do wpłaty na nasze konto potrzebny jest numer nadania przesyłki. Aby więc otrzymać pieniądze, musimy wysłać paczkę. Oczywiście skan jest spreparowany a pieniądze nigdy nie zostały wysłane. Liczba osób, które rzeczywiście wysłały towar do Afryki, idzie w setki (na allegro jest kilka wątków, w których naiwni wylewają swoje żale). Swoją drogą, to prawdziwy majstersztyk - oszust dostaje wyłudzony towar prosto do domu, opakowany i wysłany przez ofiarę. Cóż, chytry dwa razy traci...

Kradzież tożsamości
Otwieramy zatem kolejny mail (zauważyliście, że większość oszustw zaczyna się od maila?). Tym razem okazuje się, że wygraliśmy w loterii kilkaset tysięcy złotych/euro. Albo inny - właśnie dostaliśmy propozycję pracy. Jest tylko prośba, aby przesłać dane zwycięzcy (lub potencjalnego pracownika). Imię, nazwisko, adres, telefon, CV, skan dowodu tożsamości. Podnieceni wygraną lub zdobytą pracą - wysyłamy.
STOP!
Co właściwie wysłaliśmy? Nasze kompletne dane! Komu? Braliśmy udział w jakiejś loterii? Wysyłaliśmy gdzieś podanie o pracę? NIE!
Przestępcy w ten prosty sposób wyłudzają kompletne dane osobowe. Na podstawie zdobytych danych zakładają konta w banku, które służą do prania brudnych pieniędzy (np. zdobytych metodą phishingu). Oczywiście odpowiednie służby monitorują te przypadki i czasami udaje im się złapać właściciela takiego konta i postawić go przed sądem. A kto figuruje jako właściciel takiego konta?
Ten, kto udostępnił swoje dane. Czyli my, skuszeni wygraną lub nową „pracą". I tłumaczenie, że nie wiedzieliśmy nie pomoże - sami wysłaliśmy wszystkie dane, ze skanem dowodu włącznie.

Zalecenia:
- Ustawić dobry filtr antyspamowy w skrzynce pocztowej.
- Nie klikać i nie odpowiadać na żadne maile, których autorów nie jesteśmy pewni.
- Przypomnieć sobie rozczarowanie, kiedy okazało się, że św. Mikołaj nie istnieje i przenieść tę zasadę na internet. NIKT nie obdaruje nas za darmo!

Fałszywy antywirus
Przeglądamy sobie strony. Nagle po wejściu na jedną z nich wyskakuje nam okienko, w którym otrzymujemy komunikat o niebezpiecznym wirusie, który właśnie zainfekował nasz system. Czy chcemy skanować? Zaniepokojeni wciskamy przycisk z napisem „tak". Po chwili widzimy okno z naszymi plikami i powolny postęp paska programu. Skanowanie dobiega końca, kiedy... Jest! Komunikat brzmi zatrważająco - mamy w systemie niesamowitego wirusa, który wkrótce zniszczy nam komputer! Ale jest na to rada - program pyta, czy chcemy natychmiast ściągnąć cudownego antywirusa, który uratuje nasze pliki za niewielką opłatą? Oczywiście, zgadzamy się i ściągamy plik. Po uruchomieniu otrzymujemy komunikat, że wirus został usunięty i nasze pliki są bezpieczne. Uff... oddychamy z ulgą.
Co właściwie się stało?
Przypominacie sobie przykład z początku? To odmiana tej wersji.
Oczywiście, nie było żadnego wirusa. Skanowanie plików - to specjalnie przygotowana strona, wyglądająca identycznie jak system Windows. Przerażające komunikaty mają zmusić nas do zakupu „antywirusa", który czasem nie robi nic, a czasem dopiero on jest trojanem lub innym paskudztwem, który sami sobie ściągnęliśmy.
Jedna z firm, zajmująca się sprzedażą takich „antywirusów"zarobiła w ciągu roku ok. 180 milionów dolarów, które zapłaciło 4 miliony klientów. Sadzę, że duża część z nich nadal jest przekonana, że uchroniła się przed jakimś potwornym „wirusem".

Zalecenia:
- Nie panikować!
- Skanować komputer tylko programami, które znamy.
- Zadbać o najnowsze wersje programów antywirusowych, ad-aware, antytrojanów.

Czy wiesz, kiedy umrzesz?
„Czy wiesz, kiedy umrzesz?" „Zrób test IQ!" - takimi reklamami jesteśmy bombardowani coraz częściej. Robimy więc dla zabawy test tylko po to, by po kilkunastu minutach otrzymać wiadomość: „Aby poznać swoje IQ, wyślij SMS... „ „Aby poznać datę swojej śmierci, wyślij SMS..." Niekiedy potrzebne są aż dwa SMS-y. Nic to. Wysyłamy.
Kiedy sprawdzamy billing, zdziwieni, że ubyło nam dużo pieniędzy, okazuje się, że koszt jednego SMS-a wynosi nawet 35 zł. A zatem za test IQ zapłaciliśmy - bagatela - 70 zł!!
Trudno tu mówić o oszustwie - cena za SMS jest podana, tyle że małym druczkiem, ukryta gdzieś w gąszczu innych napisów. Czasem zastosowana jest prosta sztuczka socjotechniczna - podany jest koszt 1 zł przy wpłacie na PayPal. Ponieważ konta na PayPalu nie mamy, wykorzystujemy drugą opcję - SMS, zakładając, że skoro za pierwszą opcję zapłacimy złotówkę, druga będzie kosztować tyle samo. I tu tkwi haczyk, bo druga opcja jest znacznie droższa.

Zalecenia:
- Nie płacić za coś, co możemy mieć za darmo. W internecie są setki darmowych testów, programów, stron - korzystajmy z nich.

„Oszuści" w białych rękawiczkach.
Na koniec coś, co formalnie oszustwem nie jest. Są to strony, które wykorzystują przepis o tzw. „sprzedaży na próbę". Niestety, przepis ten jest tak niejednoznaczny, że umożliwia działanie takim właśnie firmom - naciągaczom.
Oto jesteśmy na stronie, na której dużymi literami pisze: „skorzystaj, 10 dni za darmo". Zapisujemy się więc. Korzystamy, nie podoba nam się, więc cóż. Zapominamy. Ze zdziwieniem zatem odczytujemy miesiąc później maila, że wykupiliśmy abonament roczny za - powiedzmy - 100 zł. Jest w mailu prośba o wpłatę i informacja, że w razie niewpłacenia grozi nam sąd, komornik albo firmy windykacyjne.
W jaki sposób „kupiliśmy" usługę? Tu właśnie pojawia się „sprzedaż na próbę". Otóż w regulaminie (który akceptujemy, z reguły nie czytając) jest napisane, że jeśli po 10 dniach nie zrezygnujemy z usług i nie złożymy wypowiedzenia, uznajemy, że strona nam się podoba i zgadzamy się na korzystanie z oferowanych przez nią usług. I dostajemy maila z prośba o zapłatę rocznego abonamentu. „Umową" w postaci elektronicznej wg tej firmy jest regulamin, który zaakceptowaliśmy. Wiele osób, przestraszonych wizją windykatora czy sądu, macha ręką na te 100 zł i wpłaca.
I o to chodzi oszustom.
Oczywiście nie ma żadnego sądu, nie ma żadnej windykacji, bo i po co? Wystarczy dobrze spreparowany mail, niejasne przepisy oraz odpowiednio dobrana kwota „opłaty" (nie za duża, żeby oszukany mógł przeboleć jej stratę) i pieniążki płyną same na konto.
W działalności tego typu przodują w Polsce serwisy pobieraczek (pobieranie plików), be2 (matrymonialny) czy choćby wiedzaipraktyka (poradniki).

Zalecenia:
- Czytać regulaminy.
- Dobrze się zastanowić - czy jest to nam naprawdę potrzebne? Nie działać pod wpływem chwili.
- Nie korzystać z serwisów oferujących płatne usługi, zwłaszcza że istnieją zazwyczaj dziesiątki czy nawet setki darmowych odpowiedników.

Przestępstw internetowych jest dużo, pomysłowość ludzka nie zna granic. Ot, choćby dziś media doniosły o nowej metodzie „przekrętu nigeryjskiego" - udzielaniu kredytów przez zagraniczne banki. Wystarczy tylko wpłacić drobną opłatę za założenie konta, za koszty manipulacyjne... i ludzie wpłacają. Trzeba pamiętać, że internet to nie tylko informacja i rozrywka, ale także narzędzie, które dało przestępcom możliwość działania na znacznie szerszą skalę, wykorzystując nie tylko chciwość czy naiwność, ale także zwykłą, pospolitą, ludzką niewiedzę.