/ Praktycznie o inwestowaniu cz. 34 - "PHISHING – nie daj się nabrać…" – Odcinek specjalny

Gdy mówimy o przestępcach to najczęściej do głowy przychodzą nam stereotypowe obrazy: zamaskowane twarze, groźnie wyglądające narzędzia i niebezpieczne zaułki miasta. Jednak internetowi oszuści wyglądają zupełnie inaczej, często wręcz niewinnie, przez co nie wzbudzają w nas podejrzeń. I tu leży ich przewaga. W prawdziwym świecie, jeśli będziemy szerokim łukiem omijać niebezpieczne rejony, to zapewne w wielu przypadkach unikniemy zagrożenia. Tymczasem w internecie przestępcy potrafią się podszyć pod nasz ulubiony portal albo nawet jednego z naszych najbliższych znajomych.

W dzisiejszym świecie jest to na tyle ważny problem, że każdy powinien dbać o swoje bezpieczeństwo w internecie, bez względu na to jak dużo ma pieniędzy na koncie. Przestępcy często biorą na cel osoby o mało zasobnych portfelach, ale za to próbują oszukać ich jak najwięcej. W sidła może wpaść każdy. Wystarczy, że raz nie zauważymy w co klikamy albo zaufamy stronie podobnej do strony prawdziwego banku i już możemy wpaść w poważne kłopoty. Internet to wielkie możliwości, ale i wielkie zagrożenia, na które musimy uważać.

Najpopularniejszy i zarazem bardzo niebezpieczny rodzaj oszustwa to phishing. Jego definicja wzięła się od angielskiego słowa „fishing”, czyli dosłownie od łowienia ryb. Wędkarzem jest oszust, a ofiara ma się złapać na haczyk. Przynętą jest z kolei to, co widzimy niejeden raz w Internecie: fałszywy email, podrobiona strona internetowa, profil na Facebooku bądź aplikacja, w którą klikniemy i zostawimy dane – niczym ryba wpadająca w pułapkę.

Oszuści chcą wzbudzić zaufanie ofiary podszywając się pod znane i rozpoznawalne firmy i instytucje, z których korzystamy każdego dnia. Może być to zarówno bank, jak i czy urząd czy sieć stacji paliw, prywatna firma albo spółka Skarbu Państwa. Dzięki temu jako ofiara ataku phishingowego możemy łatwiej wpaść w pułapkę i w pośpiechu kliknąć w link umieszczony w spreparowanej wiadomości.

Niestety oszuści są aktywni również na polu inwestycyjnym. Widzowie cyklu „Praktycznie o Inwestowaniu” wiedzą, że do inwestowania na giełdzie potrzebne jest konto maklerskie, jakie spółki są notowane i jak składa się zlecenia giełdowe. Jednak dla kogoś, kto nie wie jak działa giełda, podrabiana strona oszustów z instrukcją jak zainwestować w duże polskie spółki może niestety wydać się wiarygodna.

Nasza podstawowa linia obrony to zasada ograniczonego zaufania – jeśli coś jest dla nas niezrozumiałe lub po prostu wydaje się zbyt piękne żeby było prawdziwe, to prawdopodobnie intuicja nas nie zawodzi i coś jest nie tak. W tym przypadku nasza najskuteczniejsza broń to nie antywirus czy firewall, ale nasza wiedza.

Gdy w grę wchodzą obietnice łatwych zysków bez ryzyka, pamiętajmy, że takie po prostu nie istnieją. Jedynie lokaty i obligacje skarbowe możemy uznać za coś całkowicie bezpiecznego, natomiast wszystkie inwestycje, gdzie pojawia się słowo „gwarancje zysków” mogą wzbudzić nasz niepokój – takich po prostu nie ma.

Na oszustwa często trafiamy w serwisach społecznościowych. Dlatego zawsze powinniśmy się upewnić czy profil na Facebooku lub Twitterze to faktycznie oficjalny profil spółki. Istnieje bowiem ryzyko że jest fałszywy, a jego celem jest wyłudzenie danych bądź wprowadzenie nas w błąd. Jeśli już trafimy na podejrzaną stronę, należy sprawdzić dokładnie szczegóły – to one z reguły zdradzają, że strona finalnie jest oszustwem:
- spójrz na adres domeny i sprawdź na innym urządzeniu jaki jest adres instytucji. Być może nie zgadza się jedna litera lub w domenie jest dopisana inna nazwa, która ma zmylić odbiorcę;
- sprawdź podejrzane linki zanim w cokolwiek klikniesz, jeśli coś może przekierować do kolejnych stron w zupełnie innych domenach to dla nas ważne ostrzeżenie;
- oszusta zdradza czasem brak polskich znaków lub tłumaczenie generowane translatorem;
- brak znaczka kłódki przy adresie oraz poprzedzającego go dopisku https:// również powinny budzić niepokój, szczególnie w przypadku instytucji finansowych.

Kolejna popularna metoda oszustwa to spoofing. Wydaje się podobna do phishingu, jednak to często bardziej zaawansowana forma – tu oszust także podszywa się pod kogoś, ale na wyższym poziomie. Może na przykład wysyłać e-maile, które wyglądają, jakby pochodziły od kogoś, komu ufamy i będziemy widzieć adres mailowy tej osoby.

Oszuści mogą również do nas dzwonić podając się za konsultantów czy pracowników firm, a na ekranie telefonu wyświetli nam się prawdziwy numer np. bankowej infolinii. To tzw. spoofing telefoniczny, który jest możliwy głównie dzięki telefonii VoIP. Przy jej wykorzystaniu dzwoniący może w niemal dowolnej usłudze ręcznie wprowadzić numer, który ma się wyświetlić adresatowi połączenia jako numer dzwoniącego.

Łatwo sobie wyobrazić jak niebezpieczna jest to sytuacja. Ktoś może się podszyć pod konsultanta bankowego, opowiedzieć o świetnej inwestycji i poprosić abyśmy zainstalowali aplikację na smartfonie albo nawet przelali pieniądze pod wskazany adres. Co gorsza, jednocześnie na ekranie telefonu wyświetla się autentycznie numer banku.

W takiej sytuacji może nas ocalić jedynie zdrowy rozsądek. Żaden pracownik banku nie każe nam pobierać dodatkowego oprogramowania, nikt nie wykona nic za nas za pomocą zdalnego pulpitu ani nie podeśle mailem specjalnych linków do produktów. Możemy powiedzieć konsultantowi, że nie możemy teraz rozmawiać i poprosić o telefon później, a w tym czasie zadzwonić do instytucji samodzielnie i upewnić się czy to nie oszustwo.

To tylko dwie niebezpieczne i bardzo popularne metody na wyłudzenie pieniędzy, ale w internecie działa wiele rodzajów oszustów. Niektórzy wysyłają miliony maili, których treść od razu wydaje się podejrzana, ale niestety zawsze ktoś się na nią złapie i kliknie w link. Każdy z nas widział takie wiadomości w swojej skrzynce, szczególnie w folderze ze spamem.

Niestety oszuści są coraz bardziej zuchwali i podszywają się pod znane spółki czy celebrytów. Dzięki kontaktom pozyskanym z wycieków danych dzwonią do nas i próbują podszyć się pod znaną osobę lub firmę i zaproponować atrakcyjną inwestycję, która oczywiście okazuje się oszustwem. Potrafią nawet zakładać fałszywe zbiórki na portalach charytatywnych, aby wykorzystać ludzką życzliwość.

Dlatego musimy sami działać wyprzedająco i zrobić wszystko, aby nie wpaść w sieci oszustów. Najważniejsza rzecz to sprawdzić źródło informacji. W social mediach należy zwrócić uwagę czy faktycznie mamy do czynienia z oficjalnym profilem danej firmy. Nie bez znaczenia jest liczba obserwujących, bo stworzone przez oszustów konta mają ich zazwyczaj mało oraz moment dołączenia do serwisu.

Oczywiście nie trzeba być biernym w walce z oszustami. Każdy z nas może zgłosić podejrzaną stronę internetową wypełniając specjalny formularz na stronach CERT Polska. Jest to pierwszy w Polsce zespół reagowania na incydenty, którego zespół działa w strukturach NASK. Każde zgłoszenie jest weryfikowane, po czym dana strona może trafić na listę ostrzeżeń, a operatorzy mogą nawet ograniczać jej obsługę. W niektórych wypadkach powiadamiane są także organy ścigania.

Warto również skontaktować się z bankiem lub instytucją, pod którą podszywają się oszuści. W ten sposób instytucja będzie mogła informować innych klientów o zagrożeniu oraz zawiadomić odpowiednie organy w sprawie potencjalnego przestępstwa. Możemy też działać w mediach społecznościowych – w każdym serwisie możemy zgłosić, że ktoś podszywa się pod instytucję albo innego użytkownika. Im więcej ludzi to zrobi, tym szybciej serwis zablokuje podejrzaną stronę.

W serii „Praktycznie o Inwestowaniu” często podkreślamy, że jeszcze nigdy nie było tak łatwo inwestować na świecie, a technologia daje nam ogromne możliwości – możemy dosłownie prowadzić portfel inwestycyjny tylko przy pomocy telefonu komórkowego. To jednak nie zwalnia nas z odpowiedzialności – musimy być bardzo czujni, bo oszuści z roku na rok wymyślają coraz to skuteczniejsze metody wyłudzania od nas danych i pieniędzy.