Nie z e-wyjadaczem takie numery [BĄDŹ CYBERBEZPIECZNY]

– Pamiętaj: w internecie bardzo rzadko dostajemy coś za darmo. Często jednak płacimy nie tyle przelewem, ile naszymi danymi, które później mogą się okazać dużo więcej warte niż kwota, którą moglibyśmy zapłacić – ostrzega w drugim odcinku cyklu Bądź cyberbezpieczny” Grzegorz Boruszewski*

Tylko brawurowe napięcie mięśnia dwugłowego pozwoliło mu uniknąć kolejnego zetknięcia z kałużą. Krótka noc, ciężki poranek, jeszcze ta pogoda… Dzień zapowiadał się zniewalająco.

Wyraźne wibracje w kieszeni nie zrobiły już na Grześku takiego wrażenia. Odruchowo odblokował telefon. „»Cyber-sryber« – pomyślał. – Gadają o tych technologiach, a z tego, co widzę, w esemesie nie potrafią doliczyć kosztów dezynfekcji do kosztów przesyłki. Wszędzie ten COVID! Tylko co to ja zamawiałem…?”.

Dźwięk na przejściu dla pieszych nie dał szans na poszukanie w głowie odpowiedzi. „Nawet przejścia dla pieszych lepiej działają niż te ich systemy” – pomyślał. A mógł dać sobie szansę i nie tłamsić intuicji słusznie podsuwającej wątpliwości…

Hitchcock lepiej by tego nie wymyślił! Apetycznie wyglądające śniadanie, które miało poprawić Grześkowi humor, postanowiło do spółki ze znanym już wrogiem – technologią – wbić mu nóż w plecy. Płatność niemożliwa – brak środków. „Trudno, wypłacę w bankomacie – myśli. – Przecież za dezynfekcję zapłaciłem zaledwie 1,17 zł i płatność przeszła, przyszedł nawet esemes…”.

W historii transakcji kilka ostatnich pozycji, łudząco do siebie podobnych, układało się w zaklęcie. Nie wiedział, kto je wymyślił ani kto wypowiedział. Wiedział, że skutkowało przeraźliwym bólem głowy i dematerializacją planów remontowych i wakacyjnych. Skubańcy wyczyścili wszystko – do zera! Jakiś e-portfel, sam go dodał wpisując kod z esemesa. Nie sprawdził adresu bramki internetowej, więc nie sprawdzi też, co tam słychać w tym roku w Egipcie. Nie przeczytał treści wiadomości, więc i instrukcji składania nowego biurka nie poczyta…

Nie bądź jak Grzesiek!

Zbiór dramatów i scenariusze działania

Podobne historie układają się w potężny zbiór ludzkich dramatów. Czynników sprzyjających popełnieniu błędu jest sporo.

Często działamy pod presją – dnia codziennego czy ograniczeń wskazanych w otrzymanym esemesie („zapłać w ciągu 24 godz. albo odeślemy przesyłkę”). Równie często wybieramy mniejsze zło („nie wiem, co to za przesyłka, ale to niski koszt w porównaniu z tym, co mogę stracić”) i ulegamy rutynie („tyle razy już opłacałem przesyłkę”).

W końcu nie korzystamy z narzędzi które są stworzone do zapobiegania wyłudzeniom. Kto z Was ostatnio przeczytał całego esemesa z banku?

Scenariuszy działania internetowych przestępców znamy kilka. Oto parę z nich wraz z potencjalnymi skutkami:

1) Esemes informujący, że oto „Twoja paczka została zatrzymana przez służby celne, pobierz aplikację, aby ją śledzić: [link]”. Skutek: pobranie trojana bankowego, czyli aplikacji wykradającej dostęp do konta. W tym wypadku czyści Ci konto i nie jest to oferta firmy sprzątającej,

2) Wiadomość tekstowa o treści: „Musimy zdezynfekować twoją przesyłkę/twoja przesyłka przekroczyła dopuszczalny rozmiar – musisz dopłacić: [link]”. Skutek: przekierowanie na fałszywe bramki płatnicze. Wcześniej Grzesiek już pokazał, o co tu chodzi,

3) Oferta kupna na portalu aukcyjnym: „Kupiłem, zapłaciłem, tutaj możesz wygodnie odebrać płatność, podając numer karty płatniczej: [link]”. Skutek: Czytelnik już zna, prawda?

Nie ze mną te numery

Czego początkujący internauta się nie nauczy, tego e-wyjadacz nie będzie umiał. Na hasło „nie ze mną te numery” składa się szereg zaleceń:

1) Najlepiej w ogóle nie klikać w linki w esemesach/mejlach. Szanujące się instytucje wysyłają je niezwykle rzadko. Jeśli jednak tak się zdarzy, zawsze można samodzielnie wejść na stronę internetową instytucji/firmy i odszukać tam treści, na które rzekomo wskazuje link z wiadomości. W telefonach mamy oficjalne sklepy z aplikacjami – one powinny być absolutnie jedynym źródłem, z którego korzystamy. Jeśli zainstalowaliśmy aplikację z nieznanego źródła, a nasz telefon zaczął się podejrzanie zachowywać, należy go wyłączyć i – najlepiej z opisem sytuacji – przekazać specjaliście (np. serwisowi telefonów komórkowych czy specjaliście ds. Cyberbezpieczeństwa). Niezwłocznie należy też powiadomić nasz bank, jeśli na telefonie była zainstalowana aplikacja do obsługi konta bankowego lub jeśli używaliśmy telefonu do np. odbierania kodów autoryzujących transakcje,

2) Jeśli trafimy na bramkę płatniczą pod jakimś dziwnym adresem – złożonym z ciągu znaków wyglądających niemal losowo; niezawierającym lub zawierającym przeinaczoną nazwę banku lub pośrednika; jeśli przeglądarka sama ostrzega nas przed wprowadzaniem tam jakichkolwiek danych; jeśli dodatkowo na stronie widzimy nieprecyzyjne tłumaczenie niektórych wyrażeń („odebrać gotówkę” zamiast „odbierz” itp.) – to wiele wskazuje na to, że ktoś chce nas okraść,

3) Jeśli ktoś prosi nas o podanie danych karty płatniczej w celu odebrania środków, dodatkowo mamy podać datę ważności karty i kod CVV – to już powinno budzić nasze obawy. W Polsce bardzo rzadko przekazuje się pieniądze na kartę i to są najczęściej zwroty z wcześniej wykonanych tą kartą płatności. Jeśli dodatkowo jesteśmy proszeni o podanie danych dostępu do konta bankowego lub naszych poufnych danych (imię matki, nazwisko panieńskie itp.), to już nie obawa, tylko alert powinien dudnić w naszej głowie! Taką sytuację należy zgłosić do odpowiednich organów. Jakich? O tym na końcu artykułu,

4) Jeśli przedarliśmy się jakoś przez wszystkie powyższe ostrzeżenia i ostatecznie bank wysyła nam esemes z kodem autoryzacyjnym, to zdecydowanie naszym obowiązkiem jest zapoznanie się z jego treścią! Jeśli zamiast opisu transakcji w esemesie czytamy np. o „dodaniu odbiorcy zaufanego” lub jakiejkolwiek innej czynności, której nie dokonywaliśmy, to nie jest to błąd banku, lecz nasz. W takiej sytuacji nie należy podawać kodu – trzeba jak najszybciej powiadomić o całej sytuacji nasz bank i policję. To próba wyłudzenia!

Gdzie szukać pomocy?

Skąd przestępcy mają nasze dane? Bardzo często sami jesteśmy na tyle życzliwi i hojni, że im je przekazujemy. Wypełniając liczne ankiety online, zakładając konta w niewiele wartych portalach, publikując bezmyślnie dane wskazujące na nasze hasła (zdjęcia monitora z naklejonym nań hasłem).

Pamiętaj – w internecie bardzo rzadko dostajemy coś za darmo. Często jednak płacimy nie tyle przelewem, ile naszymi danymi, które później mogą się okazać dużo więcej warte niż kwota, jaką moglibyśmy zapłacić. Nasze dane mogą też zwyczajnie wyciec – zdarza się, że portal, w którym założyliśmy konto, stanie się ofiarą ataku i dane zostaną wykradzione. W tym kontekście tym ważniejsze jest posiadanie różnych haseł do każdego konta!

Gdzie szukać pomocy? Z kim współpracować? Najbardziej oczywista odpowiedź jest też najbardziej sensowna – przede wszystkim z policją. Wydziały do walki z cyberprzestępczością to już nie nagłówki w raporcie do certyfikatu. Policja jest w walce z internetowymi złodziejami coraz skuteczniejsza, zatrudnia też i współpracuje z wieloma wysokiej klasy specjalistami.

Warto też zaznajomić się z instytucją CERT (Computer Emergency Reaction Team) – zarówno CERT Polska działającym przy NASK, jak i oddziałami CERT naszych operatorów internetowych. W 2020 r. Cybertarcza Orange została uznana najlepszym operatorskim rozwiązaniem z dziedziny bezpieczeństwa sieci na świecie, a skromny autor tego artykułu ma zaszczyt tę tarczę współtworzyć.

Na stronie internetowej CERT Polska (www.incydent.cert.pl) możemy zgłaszać wszystkie niebezpieczne sytuacje w internecie. Esemesy, które zachęcają do kliknięcia w link do płatności lub do pobrania aplikacji, możemy też przekierowywać na numer 799 448 084 – zajmą się nimi eksperci z CERT Polska, a my być może przyczynimy się w ten sposób do tego, że ktoś nie straci oszczędności życia!

Pamiętajcie: nawet najlepsze rozwiązanie techniczne nie zastąpi zdrowego rozsądku i podstawowej wiedzy użytkownika.

Grzegorz Boruszewski

*specjalista ds. cyberbezpieczeństwa, współpracuje z firmą Orange Polska jako ekspert działu rozwoju i transformacji technologii bezpieczeństwa, pentester, członek ISSA Poland

E-WYDANIE TYGODNIKA KRĄG

FacebooktwittermailFacebooktwittermail

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Skip to content