Ponad 110 tysięcy oszczędności straciła 66-latka z województwa śląskiego, która padła ofiarą oszustwa „na zdalny pulpit”. Oszuści ograbili kobietę ze wszystkich zgromadzonych środków oraz zaciągnęli na nią kredyty na łączną kwotę blisko 80 tysięcy złotych!
Cyberprzestępcy wykorzystują brak naszej wiedzy o inwestowaniu w cyfrowe aktywa. Fałszywe inwestycje są nadal jednymi z najczęściej występujących oszustw internetowych. Oszuści za pośrednictwem mediów społecznościowych dystrybuują fałszywe reklamy, oferując szybkie zyski w krótkim czasie. Aby uwiarygodnić swoje działania podszywają się pod znane osoby lub instytucje.
Cyberprzestępcy bardzo dobrze opanowali sztukę manipulacji – socjotechnikę, co pozwala im wpływać na zachowania użytkowników. W tym wariancie oszustwa wykorzystują metodę na zdalny pulpit. Przy pomocy legalnego programu „czyszczą” konta nieświadomych użytkowników, którzy wierząc w szybki zysk, rejestrują się poprzez stworzony przez cyberprzestępców formularz na stronie internetowej. Oszuści, wchodząc w posiadanie danych przekazanych im w ten sposób przez użytkownika, nawiązują z nim kontakt telefoniczny, aby wyłudzić ich środki finansowe.
W jaki sposób doszło do oszustwa?
Poszkodowana, za pośrednictwem mediów społecznościowych, trafiła na reklamę oferującą możliwość zainwestowania w akcje spółki PKN Orlen. Fałszywa reklama obiecywała nierealnie duże zyski oraz całkowity brak ryzyka. Nieświadoma zagrożeń z tym związanych zarejestrowała się przez stworzony przez cyberprzestępców formularz na fałszywej stronie internetowej. Następnie z poszkodowaną skontaktowała się osoba podszywająca się pod pracownika firmy inwestycyjnej, oferując zakup akcji. Kobieta wyraziła chęć nabycia akcji w wysokości 900 złotych. Otrzymała informację, że dla uruchomienia konta na platformie inwestycyjnej, która pozwala na monitorowanie zakupionych akcji, wymagana jest wpłata w ciągu 24 godzin, na podany przez konsultanta numer konta bankowego.
Tak wyglądała fałszywa strona, na której oszukana zostawiła swoje dane kontaktowe.
Po kliku godzinach z ofiarą ponownie skontaktowała się ta sama osoba informując o konieczności zainstalowania na jej komputerze aplikacji „Team Viewer”, instruując ją krok po kroku co należy zrobić. Poszkodowana za namową oszusta zainstalowała polecany program, a także podała dane, dzięki którym mógł zdalnie zarządzać urządzeniem ofiary. W kolejnym kroku ofiara zalogowała się na swoje konto bankowe. Dzięki temu, iż umożliwiła zdalne zarządzanie (w tym podgląd) urządzenia, oszust mógł obserwować wpisywane przez ofiarę login i hasło do bankowości elektronicznej. Oszust stosując socjotechnikę prosił o podawanie kodów autoryzacyjnych przez poszkodowaną, które otrzymywała na swój telefon za pośrednictwem wiadomości SMS. Uzyskanie do nich dostępu pozwoliło na kradzież wszystkich środków znajdujących się na jej rachunku bankowym. W jej imieniu cyberprzestępcy zawarli również dwie umowy o pożyczki gotówkowe na łączną kwotę 80 tysięcy złotych. Właścicielka rachunku zorientowała się, że najprawdopodobniej padła ofiarą oszustwa. Skontaktowała się z infolinią banku, gdzie uzyskała informacje, że z jej osobistego konta zniknęły środki w wysokości 190 tysięcy złotych. Niestety, było już za późno na zablokowanie transakcji.
Jak oszuści wykorzystują program do obsługi zdalnej?
W swoim schemacie oszuści wykorzystują legalne programy służące wsparciu zdalnej obsługi klienta. Umożliwiają one pracownikom działów technicznych pomoc w przypadku wystąpienia problemów z urządzeniem. W tym wariancie oszustwa cyberprzestępcy, pod pretekstem udzielenia pomocy, namawiają użytkowników do pobrania aplikacji, a następnie zalogowania się do swojego konta bankowego. W ten sposób niczego nieświadomi użytkownicy oddają dostęp do swoich oszczędności.
O czym należy pamiętać aby nie paść ofiarą takiego oszustwa?
Aby uniknąć tego rodzaju oszustwa należy pamiętać o kilku ważnych zasadach. Przede wszystkim nie należy ufać obietnicom szybkiego i łatwego zysku. Oszuści wykorzystują metody socjotechniczne, aby zyskać zaufanie użytkowników. Nasz niepokój powinny również wzbudzić polecenia zainstalowania oprogramowania na urządzeniu pod pretekstem udzielenia pomocy użytkownikowi i przejścia z nim całego procesu. Należy pamiętać, że bank nigdy nie prosi o instalację bądź uruchomienie oprogramowania do zdalnego zarządzania pulpitem.
Reklamy o takiej treści najprawdopodobniej skusiły oszukaną do powierzenia swoich oszczędności przestępcom.
Ważna jest również dokładna weryfikacja treści wiadomości SMS zawierających opis transakcji. Szczególną uwagę należy zwracać na numer konta odbiorcy i kwotę przelewu. Warto śledzić komunikaty i ostrzeżenia odnośnie zagrożeń pojawiających się w sieci. Szczególną uwagę należy zwrócić na fałszywe reklamy, aplikacje czy strony firm namawiające do inwestowania. Istotne jest to, aby nie śpieszyć się i zachować ostrożność, ponieważ oszuści próbują wpłynąć na zachowania użytkowników wywierając presję i oczekując szybkiej reakcji. Należy unikać podawania swoich danych osobowych w Internecie.
Najsłabszym ogniwem jest… człowiek
Jak zauważają eksperci BIK, cyberprzestępcy w swoich działaniach stawiają̨ na manipulację, by ofiara sama udostępniła im dane, które następnie umożliwią kradzież oszczędności czy zaciągnięcie zobowiązania na cudzą tożsamość.
Co więcej, ofiarą przestępczych chwytów socjotechnicznych może być osoba prywatna, skuszona wizją szybkich zysków z inwestycji, ale także przedsiębiorca, który otworzy załącznik do maila z rzekomo niezapłaconą fakturą, albo jego pracownik, który przeleje pieniądze na podstawiony numer konta.
Dlatego BIK przestrzega, by nigdy nie instalować na komputerze bądź smartfonie oprogramowania lub aplikacji pod wpływem rozmowy telefonicznej z rzekomym pracownikiem banku bądź przedstawicielem służb. Podejrzenia powinna wzbudzić np. zachęta do pobrania aplikacji z przesłanego linku w celu weryfikacji danych klienta. Instytucje finansowe nigdy nie stosują takich metod.
Tak należy chronić siebie i swoje urządzenia
Aktywność przestępców w poszukiwaniu okazji do zdobycia cennych danych osobowych skłania do ponownego przypomnienia najważniejszych zasad ochrony w cyberprzestrzeni.
- nie instalować oprogramowania lub aplikacji pod wpływem rozmowy z rzekomym pracownikiem banku czy policjantem
- zadbać o bieżącą aktualizację oprogramowania
- nie otwierać linków z niezweryfikowanego źródła
- nie ufać prośbom od znajomego, który za pośrednictwem mediów społecznościowych prosi o pieniądze lub kod BLIK. Najpewniej doszło do włamania na jego profil. Najlepszym sposobem w walce z tego typu oszustwami jest skontaktowanie się z naszym znajomym w celu zweryfikowania prośby o przesłanie przelewu
- stosować mocne hasła do logowania
- używać dedykowanego menedżera haseł, jeśli jest trudno zapamiętać swoje hasła
- korzystać z 2FA (weryfikacji dwuskładnikowej np. za pomocą SMS) lub stosować klucze U2F do weryfikacji Twojej tożsamości.
