Wpisy

Ku przestrodze: Jak okradają konta bankowe

password-64047_640Korzystanie z bankowości internetowej czy mobilnej to przede wszystkim wygoda, oszczędność czasu i pieniędzy. Choć elektroniczny dostęp daje możliwość podejrzenia stanu środków, czy skorzystania z nich w dowolnej chwili z każdego miejsca na ziemi, to niestety coraz częściej słyszy się o zagrożeniach wynikających z coraz to nowych sposobów wyłudzania pieniędzy przez hakerów. W dzisiejszym wpisie przybliżę metody, którymi posługują się hakerzy w celu okradania kont bankowych. Warto znać ku przestrodze, bo kwoty, które padają ich łupem sięgają nawet kilkudziesięciu tysięcy złotych lub więcej w ciągu zaledwie kilku minut, a banki często odrzucają reklamacje tłumacząc, że wina jest po stronie klienta, a nie banku.


Phishing

Bardzo popularny sposób wyłudzania poufnych danych. Często sami otrzymujecie na pewno maile z wiadomością od nadawcy podszywającego się pod różne instytucje (Poczta Polska, Banki, kurierzy …). W mailu może być prośba o podanie loginu i hasła z różnych przyczyn (względy bezpieczeństwa, aktualizacja danych itp.) lub prośba o kliknięcie w załączony link. Jak klikniecie na przysłany w wiadomości link, to możecie zostać przekierowani na stronę niemal identyczną do oryginalnej. Po wpisaniu danych do logowania w rzeczywistości podajecie je oszustowi, który bez problemu może zalogować się na Wasze konto.


Pharming

Podobny do phishingu, jednak dodatkowo oprócz samego wyglądu strony, który jest identyczny z oryginałem, strona ma również taki sam adres, dzięki trwałemu podmienieniu adresów DNS na naszym komputerze. Możecie się spotkać nawet z taką sytuacją, że wpisując poprawny adres strony i tak zostajecie przerzuceni na jej kopię. Przed tą sytuacją możecie chronić się instalując dobry program antywirusowy i ustawiając dobre hasło do konfiguracji routera.


Vishing

Nazwa pochodzi od Voice Phishing (głosowy phishing). Chodzi tu o wyłudzenia poufnych informacji za pośrednictwem telefonu. Ostatnio zdarzały się sytuacje, gdy klienci otrzymywali telefony z „banku”, choć w rzeczywistości kontaktował się z nimi oszust. Ten informuje, że nastąpiła awaria w banku lub ktoś włamał się na konto bankowe klienta i prosi go o podanie danych (do logowania, pesel, numer telefonu itp), aby zapobiec utraty przez klienta pieniędzy. Naiwni podali swoje dane, dzięki czemu oszust mógł zalogować się na konto, czy zlecić przelew dzwoniąc na infolinię banku.


Skimming

Bezprawne skopiowanie paska magnetycznego karty (debetowej, kredytowej itp.) w celu wyrobienia jej duplikatu. Duplikat działa identycznie i obciąża Wasze konto, dlatego jest to sytuacja wyjątkowo niebezpieczna. Karta może zostać skopiowana niemal w każdym punkcie, w którym można nią płacić. W swojej karierze jako pracownik banku spotkałem się z taką sytuacją, gdzie klienci rzekomo dokonywali transakcji bezgotówkowych kartą kredytową na kwotę 2000 $ w Stanach Zjednoczonych. Na szczęście bank, widząc że tego samego dnia były dokonywane transakcje tą samą kartą w Polsce, skontaktował się z klientem, aby wyjaśnić całą sytuację. Transakcja została dokonana za granicą, jednak klientowi zwrócono pieniądze oraz wydano nową kartę po zastrzeżeniu skopiowanej.

Drugą odmianą skimmingu jest skimming bankomatowy. W tym przypadku przestępcy mogą zainstalować urządzenia zarówno na zewnątrz, jak i w środku bankomatu, np. w miejscu, gdzie wkładacie kartę instalowany jest czytnik, który kopiuje jej dane, a w górnej części urządzenia podwieszana jest kamerka rejestrująca wpisywany przez Was kod PIN.


Podmiana numeru konta

Ostatnio głośno mówiło się o konieczności zachowania ostrożności przy „wklejaniu” numeru rachunku podczas dokonywania przelewu internetowego. Często jest tak, że nie chce się Wam (i mi też) przepisywać całego numeru konta bankowego, więc zaznaczamy go i kopiujemy metodą copy/paste (kopiuj/wklej). Media w ostatnim czasie nagłaśniały sprawę odnośnie wirusa, który podmienia numer rachunku bankowego w przypadku wklejania go podczas dokonywania przelewu. Jeśli nie sprawdzicie, czy numer został przekopiowany prawidłowo, możecie w rzeczywistości przelać środki komuś innemu niż zamierzacie. Niektóre banki wprowadzają już zabezpieczenia albo uniemożliwiając wklejanie nr rachunku przy płatnościach albo wyświetlając komunikat z prośbą o dokładne zweryfikowanie wklejonego numeru.


Podmiana haseł sms

Nowym sposobem okradania klientów bankowych są wirusy instalowane na telefonach, które potrafią przejąć dane tekstowe. Jeśli złodziej wejdzie w posiadanie Waszych danych dostępowych do konta, a wirus zainstalowany na Waszym telefonie umożliwi zmianę wiadomości tekstowych, to otrzyma otwartą drogę do całkowitego wyczyszczenia Waszego konta. Hasła sms są o tyle dobre, że w przypadku wykonywania przelewu internetowego, dostajecie w postaci smsa informację o numerze rachunku, przelewanej kwocie itp. Jeśli przy kopiowaniu rachunku zostanie od podmieniony to w wiadomości sms powinniście zobaczyć, że różni się on od tego, na który chcieliście przelać pieniądze. W przypadku zainfekowania telefonu wirusem, wiadomość sms również wprowadzi Was w błąd.

Wirus może zostać zainstalowany na przykład, gdy zainstalujecie programy, które wyświetlają Wam się na smartfonie, gdy otwieracie strony przeglądarki np. „konieczność aktualizacji”, czy „Twój telefon został zainfekowany!”.


Ostrzeżenie od Związku Banków Polskich

10 czerwca ZBP opublikował komunikat, w ramach którego ostrzega przed nową formą ataku na użytkowników komputerów z systemem Windows. Złośliwe oprogramowanie o nazwie PACCA wprowadza zmiany w ustawieniach globalnych serwera proxy oraz instaluje złośliwy certyfikat jako zaufany urząd certyfikacji.

W konsekwencji ofiara może wpisać poprawny adres strony banku, a nie dość że zostaniemy przekierowani do fałszywej strony, to jeszcze identyfikuje się ona wspomnianą kłódką potwierdzającą zaufaną stronę. W tym miejscu warto przypomnieć, że banki korzystają z certyfikatów SSL rozszerzonej walidacji. Czyli oprócz samej kłódki przed adresem strony powinna być nazwa banku, dla którego wydano certyfikat.


Jak się chronić?

  • nigdy nie podawaj nikomu i nigdzie swoich haseł i loginów – banki nigdy tego nie żądają, poza samym serwisem do logowania
  • nie klikaj w linki w wiadomościach od nieznajomych nadawców, a najlepiej w ogóle nie otwieraj podejrzanych wiadomości
  • uważaj na wiadomości na Facebooku od znajomych wysyłających linki (zdarza się, że pod znajomego podszywa się automat, który wysyła wiadomość bez jego wiedzy)
  • zwracaj uwagę na adres nadawcy wiadomości email (np. zamiast @pkobp.pl, jest @pkobpsa.pl)
  • po wpisaniu adresu banku sprawdź, adres strony i kłódkę – potwierdzenie posiadania certyfikat SSL – mają go wszystkie instytucje, na których są przeprowadzane operacje finansowe
  • jeśli kopiujesz numer rachunku do przelewu, sprawdź jego poprawność po wklejeniu
  • sprawdź czy dane w smsie potwierdzającym wykonanie operacji na rachunku zgadzają się z Twoją dyspozycją
  • zwróć uwagę, czy nie ma przy bankomatach dodatkowych podejrzanych elementów, czy czytnik kart nie wygląda podejrzanie

Teoretycznie możecie pomyśleć, że takie problemy Ciebie nie dotyczą. Owszem, sytuacje opisane w powyższym artykule zdarzają się niezwykle rzadko biorąc pod uwagę liczbę ludzi, którzy mają konta bankowe, jednak każdorazowo jeśli taka sytuacja nastąpi to jest to tragedia dla poszkodowanego, gdyż skradzione są zwykle niemal wszystkie oszczędności zgromadzone w danym banku włącznie ze środkami z lokat i rachunków oszczędnościowych.
Sprawdzenie poprawności rachunku czy przeczytanie smsa, który do Was przychodzi z banku nie zajmują wiele czasu. I tak jak na pewno szybko zapomnicie o tym, że poświęciliście minutę więcej na dokonanie przelewu, to o ewentualnej stracie pieniędzy pamiętalibyście do końca życia.

Przeczytaj także: ku przestrodze: sposoby wyłudzania pieniędzy

Ku przestrodze: sposoby wyłudzania pieniędzy

Podczas kilku lat pracy w bankach wielokrotnie słyszałem o różnych sposobach wyłudzania pieniędzy. Oszuści są stealing-294489_640bardzo kreatywni w wymyślaniu, bądź udoskonalaniu sprawdzonych już sposobów. Najczęściej ofiarami oszustów są osoby starsze, jednak w ostatnim czasie również młodzi ludzie wpadali w tarapaty finansowe przez naciągaczy. Nawet jeśli nie zdążyły zgromadzić w trakcie swojego życia żadnych oszczędności, to ich kłopoty zaczynały się w momencie, gdy dowiadywali się o wysokości zobowiązań do spłaty wynikających z pożyczek, których tak na prawdę nigdy nie zaciągnęli. Sposobów stosowanych przez oszustów jest wiele i ciągle wymyślane są nowe. W dzisiejszym wpisie przytoczę kilka najpopularniejszych ku przestrodze.


„Na wnuczka”

O tej metodzie słyszał pewnie już każdy. Nie zawsze wyłudzacz podaje się za tytułowego wnuczka, czasem za znajomego lub innego członka rodziny, jednak generalnie sposób postępowania zwykle pozostaje podobny. Sposób stosowany jest najczęściej wobec osób w podeszłym wieku. Oszust dzwoni do potencjalnej ofiary i przekazuje informację o kłopotach, w które popadł np. członek rodziny, podając się za znajomego, adwokata, wprost członka rodziny lub jeszcze kogoś innego. Oczywiście potrzebuje on natychmiast dużej kwoty kapitału, na sfinansowanie operacji za granicą, spłatę długu, wypłatę odszkodowania, zapłatę kaucji w areszcie itp. Członek rodziny nie może z różnych względów przyjechać po pieniądze, dlatego przyjedzie po nie ktoś inny. Oczywiście nie można informować nikogo o sprawie, dopóki nie zostanie wyjaśniona. Następnie w umówionym miejscu pojawia się oszust, odbiera pieniądze i znika. Zdarzają się przypadki, gdzie oszust udaje się z ofiarą do placówki bankowej lub podczas rozmowy telefonicznej każe wypłacić pieniądze z banku. Na szczęście w takim przypadku zdarza się, że zdenerwowanie i podejrzane zachowanie ofiary wzbudza czujność pracownika banku, który podejmuje odpowiednie działania, aby udaremnić cały proceder i zapobiec wyłudzeniu.


„Na policjanta”, „CBŚ”

To zmodyfikowana metoda „na wnuczka”. Początek jest podobny, dzwoni oszust podając się za wnuczka, znajomego, członka rodziny itp. Chwilę później potencjalna ofiara otrzymuje kolejny telefon – od „policjanta” lub „funkcjonariusza Centralnego Biura Śledczego”. Jest informowana o tym, że poprzedni telefon był wykonywany przez oszusta, przeciwko któremu prowadzona jest operacja i w celu złapania sprawcy na gorącym uczynku należy przekazać mu kwotę pieniędzy, której rzeczywiście zażądał. Oczywiście nad wszystkim będą czuwać funkcjonariusze, którzy zaraz po przekazaniu gotówki, schwytają oszusta i zwrócą właścicielowi to, co należy do niego. Finał historii jest jednak taki, że po zakończeniu akcji nie ma ani „wnuczka – oszusta”, ani funkcjonariusza,  ani pieniędzy.


„Na pracodawcę”

W porównaniu z metodami stosowanymi powyżej – ta jest dość nowa. W zeszłym roku media głośno informowały o tego typu wyłudzeniach, których ofiarami nie były tym razem osoby starsze ze sporymi oszczędnościami.

Najpierw w serwisach internetowych pojawia się ogłoszenie z ofertą pracy z nieźle płatną wygodną pracą pracownika biurowego. Ogłoszenie na pierwszy rzut oka nie wydaje się szczególnie podejrzane (porównując z ofertami, które przychodzą na skrzynki mailowe). Zdarza się, że dane potencjalnego pracodawcy są zgodne z rzeczywiście funkcjonującą firmą. Osoba poszukująca pracę przesyła swoje CV i skan dowodu osobistego. Po kilku dniach otrzymuje odpowiedź o pozytywnej weryfikacji kandydatury i jest proszona o wykonanie przelewu weryfikacyjnego na podany nr konta (w celu np. uzupełnienia niezbędnych danych do sporządzenia umowy). Znając szczegółowe dane swojej ofiary, oszust może za pośrednictwem internetu złożyć wniosek o otwarcie konta osobistego, a przelew weryfikacyjny jest zarazem potwierdzeniem zawarcia umowy rachunku. W tym momencie zwykle kontakt z potencjalnym pracodawcą się urywa, a ten może narobić sporych szkód swojej ofierze, choćby zaciągając tzw. „chwilówki”.


„Na bank”

Klient odbiera telefon i słyszy nagranie, w którym jest proszony o oddzwonienie pod ten numer, ze względu na zaistniałą awarię, która miała miejsce w banku. Po wykonaniu telefonu zwrotnego, ofiara słyszy o konieczności podania nr klienta i haseł ze względu na konieczność potwierdzenia jego tożsamości. W tym momencie oszust otrzymuje niezbędne dane do zalogowania się do konta osobistego.


Tak na prawdę każdy może paść ofiarą tego typu oszustwa. Najlepszym sposobem na obronę przed takimi działaniami jest po prostu zdrowy rozsądek, zachowanie szczególnej ostrożności i pamiętanie o kilku podstawowych zasadach, jak choćby nie podawania nigdzie i nikomu swoich danych dostępowych, poza zabezpieczonymi stronami bankowymi.