Autor: Wojciech Krawczyk

Departament Systemu Płatniczego NBP

Phishing, smishing, vishing… Jak nie dać się oszukać

Popularność transakcji bezgotówkowych w Polsce rośnie nieprzerwanie od początku ich powstania. Na rynku nieustannie pojawiają się nowe metody płatności, mające na celu m.in. ułatwienie procesu płatności i skrócenie czasu jej dokonywania. Wygoda stosowania oraz różnorodność bezgotówkowych rozwiązań płatniczych stwarza wiele możliwości dla oszustów, którzy wraz z rozwojem płatności równolegle rozwijają metody nielegalnego pozyskiwania dostępu do środków zgromadzonych na naszych kontach.
Phishing, smishing, vishing… Jak nie dać się oszukać

(©Envato)

Phishing, smishing, vishing, spear-phishing, shoulder surfing to tylko niektóre metody socjotechniczne służące do pozyskiwania danych niezbędnych do dokonania oszustwa. Do tego należy dodać szereg rozwiązań technicznych, takich jak skimming lub malware, służących do pozyskiwania wrażliwych danych umożliwiających przejęcie kontroli np. nad bankowością internetową posiadacza rachunku. Poza szybkim rozwojem płatności bezgotówkowych, niemały wpływ na powstawanie nowych, kreatywnych metod oszustw mają wszelkie anomalie występujące na rynku lub na świecie, które niewątpliwie tworzą warunki sprzyjające oszustom. Do takich anomalii zaliczyć można obecną sytuację konfliktu zbrojnego w Ukrainie oraz pandemię wirusa COVID-19. Zanim jednak przeanalizujemy nowopowstałe metody oszustw, jak i te występujące na rynku od wielu lat, a ciągle mające „powodzenie”, warto zapoznać się z garstką podstawowych informacji dotyczących transakcji oszukańczych w Polsce.

Poza szybkim rozwojem płatności bezgotówkowych, niemały wpływ na powstawanie nowych, kreatywnych metod oszustw mają wszelkie anomalie występujące na rynku lub na świecie, które niewątpliwie tworzą warunki sprzyjające oszustom. Do takich anomalii zaliczyć można obecną sytuację konfliktu zbrojnego w Ukrainie oraz pandemię wirusa COVID-19.

Najwięcej oszustw kartowych dokonuje się w internecie… za granicą

Liczba i wartość oszustw raportowanych przez polskie banki obejmuje przede wszystkim transakcje dokonywane kartami oraz za pośrednictwem polecenia przelewu. Jak widać na wykresie poniżej liczba oszustw w przypadku kart jest zdecydowanie wyższa niż w przypadku przelewów. Zupełnie inaczej wygląda to jednak w przypadku wartości transakcji, w której to dominują transakcje dokonywane za pośrednictwem polecenia przelewu.

Wynika to głównie ze specyfiki danego instrumentu płatniczego, tj. średnie wartości transakcji dokonywanych kartami są zdecydowanie niższe niż średnie wartości transakcji dokonywanych poleceniem przelewu. Warto dodać, że zdecydowana większość oszukańczych transakcji kartą – zarówno pod względem liczby, jak i wartości – dokonywana jest za granicą i w II kwartale 2022 r. było to odpowiednio 85,2 proc. i 90,2 proc. Jak to się dzieje, że oszuści dokonują transakcji „moją” kartą za granicą? Większość takich transakcji wiąże się z nielegalnym pozyskaniem danych karty (takich jak jej numer, kod CVV/CVC, termin ważności) lub też jej skopiowaniem – oznacza to, że transakcja dokonywana jest bez fizycznego udziału karty. W jaki sposób oszuści pozyskują numer mojej karty lub ją fałszują / kopiują? Skopiować kartę można np. w terminalu płatniczym lub bankomacie, na który oszuści założyli specjalny skaner i nierzadko kamerę, dzięki której pozyskują numer PIN. Tego typu pozyskiwanie danych nosi nazwę skimming.

Kolejnym sposobem oszustwa jest tworzenie fałszywej strony internetowej, np. sklepu internetowego – gdzie klient podaje numer karty, sądząc, że dokonuje zapłaty za produkty, lecz w rzeczywistości udostępnia swoje dane oszustom, którzy następnie wykorzystają je do innych transakcji np. zakupu drogiej elektroniki. Przed tego typu oszustwami najlepiej bronić się, zachowując szczególną czujność – podczas korzystania z bankomatu warto zwrócić uwagę na jego elementy: czy coś nie odstaje albo czy coś nie budzi podejrzeń. Aby uchronić się przed skopiowaniem karty w terminalach POS, najlepiej zadbać o to, żeby nie przekazywać osobom trzecim np. sprzedawcom czy kelnerom swojej karty w celu dokonania transakcji. W Internecie zaś warto przed skorzystaniem z nieznanej strony sprawdzić jej opinie lub skorzystać z bezpieczniejszej formy płatności np. za pomocą BLIK, w której podawany jest tylko automatycznie wygenerowany, jednorazowy 6 cyfrowy kod, który musi zostać potwierdzony w aplikacji mobilnej zanim transakcja zostanie dokonana.

Przykłady popularnych oszustw za pośrednictwem przelewu i jak się przed nimi bronić

O ile w przypadku kart średnia wartość transakcji oszukańczej wynosiła blisko 246 zł (dane za II kw. 2022 r.), to w przypadku przelewów było to już 3 670 zł i taka strata może zdecydowanie bardziej negatywnie wpłynąć na kondycję finansową oszukanej osoby. Dlatego też warto zachować czujność – przede wszystkim w Internecie i dedykowanych aplikacjach (typu Olx, Vinted, Facebook), bo to właśnie tam oszuści radzą sobie najlepiej. Liczbowo aż 99,2 proc., a wartościowo 98,5 proc. wszystkich oszustw dokonywanych jest w środowisku internetowym (dane za I kw. 2022 r.).

Gdy instynkt pokona czujność, czyli jak nie stracić pieniędzy przez socjotechnikę

Najczęściej do pozyskania danych od klienta banku oszuści wykorzystują szereg socjotechnik, takich jak phishing lub inne jego odmiany, o których za chwilę. Phishing to metoda polegająca na podszywaniu się oszustów pod inną osobę czy też przedstawiciela podmiotu w celu pozyskania wrażliwych danych lub wprowadzenia do urządzenia ofiary szkodliwego oprogramowania. Pozyskane dane mogą być następnie wykorzystane na wiele sposobów: do dokonania przelewu lub innej transakcji płatniczej, zaciągnięcia pożyczki, otwarcia nowego rachunku etc. Najpopularniejszą metodą phishingu są wiadomości email, ale występuje on również w innych odmianach, wykorzystując inne sposoby lub kanały komunikacji, i tak:

Spear phishing – w przeciwieństwie do klasycznego phishingu, w którym wysyła się wiadomości do jak najszerszej liczby odbiorców – to spersonalizowany atak mailowy, skierowany do wyselekcjonowanej wcześniej na podstawie „badań” grupy;

Smishing – odmiana phishingu, w której ofiara ma podjąć działanie na podstawie wiadomości SMS, tj. wejść w link do fałszywej strony internetowej (fake websites), gdzie nastąpi wyłudzenie danych lub też zainstalować zainfekowane złośliwe oprogramowanie (malware). Popularnym oszustwem jest wysyłanie wiadomości SMS z prośbą o drobną dopłatę do np. wysłanej paczki, rachunku za prąd i gaz czy też egzekucji komorniczej. SMS-y tego typu przekierowują najczęściej do stron internetowych podszywających się pod popularne bramki płatnicze (np. PayU. DotPay, Przelewy24). Ofiara myśląc, że dokonuje płatności, w rzeczywistości przekazuje swoje dane do logowania oszustom.

Vishing – to odmiana phishingu, której kanał dostępu stanowi telefon, a właściwie rozmowa telefoniczna z ofiarą. Socjotechnika ta ma na celu przekonanie ofiary, że telefonujący oszust jest kimś innym, a następnie wyłudzenie wrażliwych danych lub przekazanie dostępu do komputera za pośrednictwem tzw. zdalnego pulpitu. Najbardziej popularnym oszustwem tego typu jest tzw. oszustwo na wnuczka, w którym dzwoniący podszywa się pod wnuczka, lub też inną osobę spokrewnioną z ofiarą, prosząc o szybkie wsparcie gotówkowe w nagłym przypadku, twierdząc np. że bliska osoba spowodowała wypadek samochodowy i potrzebuje przekazać gotówkę poszkodowanemu. Po pieniądze wysyłana jest obca osoba zapowiedziana jako znajomy przysłowiowego wnuczka. Odmian tego oszustwa jest więcej: na policjanta, pracownika banku, UKNF, doradcę inwestycyjnego czy też sanepid (metoda związana z pandemią wirusa COVID-19). Warto dodać, że często w tej metodzie oszuści stosują dodatkowo tzw. spoofing, a dokładniej CallerID spoofing, czyli podszywanie się pod dowolny numer (często znajomy dla ofiary) za pomocą bramek internetowych, dzięki czemu czujność odbierającego może być uśpiona.

Rekordowa skala oszustw na rynku kryptowalut

Ostatnio, jak wynika z informacji pozyskiwanych na rynku, coraz bardziej popularne stają się oszustwa w aplikacjach typu Vinted, Olx. Przykładowy przebieg takiego oszustwa wygląda następująco: osoba sprzedaje rzecz na Olx/Vinted, odzywa się do niej osoba zainteresowana zakupem, najczęściej za pośrednictwem innego kanału np. komunikatora WhatsApp. Po rozmowie oznajmia, że zakupiła już przedmiot, a pieniądze są do odbioru po wejściu w przesłany link. Sprzedający, wchodząc w link, natrafia na stronę Olx lub Vinted, a w zasadzie na łudząco podobną do nich fałszywą stronę, gdzie pojawia się formularz z prośbą o podanie danych karty lub konta. Następnie sprzedający otrzymuje SMS z banku z prośbą o potwierdzenie i najczęściej „z rozpędu” bez czytania podaje w formularzu kod potwierdzający z smsa. W tym momencie kupujący, który był oszustem, dostaje dostęp do karty lub konta sprzedającego, gdyż w wiadomości nie było kodu autoryzacji transakcji, ale np. kod autoryzacyjny dodania karty do portfela Apple Pay lub Google Pay lub potwierdzenie zmiany numeru do autoryzacji transakcji. Od tej pory złodziej może swobodnie korzystać ze środków sprzedającego za pośrednictwem jego karty. Złodziej mógł też przejąć kontrolę nad kontem internetowym sprzedawcy.

Jak możemy bronić się przed oszustwami

Powyższe przykłady to tylko mały ułamek możliwości dzisiejszych oszustów, którzy codziennie wymyślają nowe metody. Czy da się przed nimi bronić? Na co zwrócić szczególną uwagę? Przede wszystkim należy czytać wszystkie komunikaty i wiadomości przesyłane przez bank. Dostając sms z banku warto zatrzymać się na chwilą i przeczytać go dokładnie ze zrozumieniem. Warto również dwa razy zastanowić się zanim klikniemy w nieznany link lub odczytamy wiadomość od nieznanego odbiorcy. Robiąc zakupy po raz pierwszy w jakimś sklepie internetowym, warto przeczytać opinie o sklepie, zamieszczone w internecie Można również przyjąć zasadę, że przy pierwszych zakupach w danym sklepie wybieramy tzw. płatność za pobraniem, która jest zazwyczaj opcją odrobinę droższą lub też inną metodę płatności, która jest bezpieczniejsza niż przelew – np. kod Blik.

Biometria behawioralna i bezpieczeństwo w bankowych kanałach online

Jeżeli przez telefon ktoś prosi nas o podanie wrażliwych danych, warto się upewnić skąd dzwoni, zapytać skąd ma numer, poprosić o przedstawienie się, a jeżeli dalej będziemy mieć obawy, najlepiej się rozłączyć i samemu zadzwonić do podmiotu, za którego przedstawiciela podawał się dzwoniący. Prawdopodobnie trzeba będzie „przebić się” przez infolinię, ale warto poświecić kilka minut niż stracić swoje oszczędności.

Gdy zadzwoni lub napisze do nas znajomy, np. na Facebooku, i szybko prosi o pożyczkę, najlepiej kodem Blik, bo akurat stoi pod bankomatem, również warto zastanowić się dwa razy. Musimy pamiętać, że konto społecznościowe znajomego mogło zostać przejęte przez oszustów. Oszuści są bardzo dobrze przygotowani do tego typu rozmów telefonicznych, dlatego najbezpieczniej się rozłączyć, samemu wybrać do niego numer lub zaproponować spotkanie osobiście w celu przekazania pomocy.

Nad zapobieganiem oszustwom bardzo intensywnie pracują banki i organizacje płatnicze. Jeżeli mamy wątpliwości, warto zwrócić się do nich o pomoc.

Nie jesteśmy sami w walce z oszustami

Nad zapobieganiem oszustwom bardzo intensywnie pracują banki i organizacje płatnicze. Jeżeli mamy wątpliwości, warto zwrócić się do nich o pomoc. Banki w celu zapobiegania transakcjom oszukańczym ciągle wprowadzają nowe zabezpieczenia systemowe, takie jak: SCA (strong customer authentication), uwierzytelnianie dwuetapowe (double authentication) czy też geolokalizacja. Warto pamiętać również, że nad bezpieczeństwem transakcji kartowych czuwają organizacje płatnicze (w Polsce głownie Visa i Mastercard), które to dzięki procedurze chargeback zwrócą Ci stracone środki w przypadku nieprawidłowo zrealizowanej transakcji, braku zamówionego towaru lub usługi, podwójnego obciążenia konta, otrzymania niezgodnego z opisem produktu czy też braku wypłaty gotówki w bankomacie pomimo pobrania środków z naszego konta. Poza organizacjami kartowymi oraz bankami istnieje możliwość włączenia w Biurze Informacji Kredytowej (BIK) powiadomienia, które otrzymamy za każdym razem, gdy ktoś złoży zapytanie kredytowe w naszym imieniu. Dzięki temu mamy szansę na szybką reakcję oraz zablokowanie próby wyłudzenia kredytu, najprawdopodobniej na nasze skradzione dane osobowe. Usługa jest płatna i najczęściej można ją aktywować z poziomu bankowości internetowej swojego banku.

Co zrobić, gdy już dowiedzieliśmy się, że zostaliśmy oszukani? Niezwłocznie zadzwonić do swojego banku i zastrzec wszystkie konta oraz karty płatnicze, a następnie sprawę zgłosić na policję. Jeżeli oszustwo nastąpiło z wykorzystaniem karty warto też zgłosić reklamację w celu uruchomienia procedury chargeback. Bank powinien zwrócić środki w ciągu jednego dnia (sama procedura może trwać nawet od 3 do 6 miesięcy, podczas których wyjaśniane są wszystkie okoliczności zdarzenia). Istnieje również uniwersalny numer do zastrzegania kart płatniczych, pod którym również można zablokować naszą kartę (+48 828 828 828).

Polska jako przykład najbezpieczniejszego kraju w UE

Pomimo mnogości sposobów oszukiwania należy zaznaczyć, że liczba oszustw, jak i wartość w stosunku do wszystkich transakcji dokonywanych bezgotówkowo jest cały czas znikoma. Co więcej, ostatnie dostępne dane za 2020 r. (jak również dane za poprzednie lata) pokazują, że Polska jest najbezpieczniejszym krajem w całej Unii Europejskiej. Dla potwierdzenia – transakcje oszukańcze, dokonywane kartami i poleceniem przelewu, w zestawieniu ze wszystkimi transakcjami tego typu w Polsce w II kwartale 2022 r. w zakresie liczby jak i wartości stanowiły odpowiednio 0,00245 proc. i 0,00047 proc. wszystkich transakcji.

 

Autor wyraża własne opinie, a nie oficjalne stanowisko NBP.

(©Envato)

Tagi


Artykuły powiązane

Gdy instynkt pokona czujność, czyli jak nie stracić pieniędzy przez socjotechnikę

Kategoria: Analizy
W artykule skupię się na analizie ludzkich instynktów, czyli odruchowych i nieświadomych zachowań, które niestety mogą być wykorzystane przez oszustów. Zespołem narzędzi bazujących na instynktach i wykorzystywanych (choć nie tylko!) do oszukiwania ludzi jest socjotechnika. Wielu z nas nie zdaje sobie sprawy, jak często padamy ofiarą socjotechnicznych sztuczek.
Gdy instynkt pokona czujność, czyli jak nie stracić pieniędzy przez socjotechnikę