Podczas piątkowej konferencji prasowej zespół CERT Polska (część instytutu NASK), odpowiadający za szybkie reagowanie na zagrożenia w rodzimym internecie przypomniał, że zbliżający się okres Black Week, Black Friday i Cyber Monday często staje się okresem żniw dla oszustów.
Eksperci na co dzień czuwający nad bezpieczeństwem polskich internautów wskazali m.in. jakie są najnowsze dane o oszustwach i jak bezpiecznie kupować podczas Black Friday (i nie tylko).
Dane NASK – coraz więcej oszustów w polskiej sieci
Krajowa grupa CERT (skrót od ang. Computer Emergency Response Team) udostępniła najnowsze dane dotyczące oszustw w polskim internecie. Te nie są niestety optymistyczne – oszustwa w sieci są bowiem coraz powszechniejszym problemem.
Rośnie zarówno liczba samych incydentów (m.in. strony z oszustwem), ale też liczba zgłoszeń (liczba osób, która przekazała NASK informacje o podejrzanej stronie) Co jasne – wiele osób może zgłosić ten sam incydent, a CERT sprawdza każde zgłoszenie i niekiedy łączy je w siatkę informacji o danym problemie.
Liczba zanotowanych przez CERT incydentów w ubiegłym roku wyniosła 29 481. W tym roku eksperci szacują, że przekroczymy 40 000 prób oszustw Polaków. To wzrost rok do roku o niemałe 35 procent.
W okresie ostatnich 12 miesięcy najwięcej incydentów (4 853) zdarzyło się na przełomie grudnia i stycznia, czyli w okresie świątecznym oraz przy Nowym Roku. Nieco ponad 4 000 incydentów mieliśmy też w maju. Obserwowaliśmy wtedy intensywne kampanie oszustów oparte o złośliwe oprogramowanie Flubot, które przejmuje kontrolę nad telefonem i wysyła wiadomości z oszukańczymi linkami.
Jakie są najpopularniejsze oszustwa w internecie?
Tu warto wspomnieć, jak niezwykle popularną metodą oszustwa stają się z roku na rok SMS-y. Jeszcze w 2021 roku na całkowite 116 tys. zgłoszeń do CERT Polska jedynie 23,3 tys. dotyczyło podejrzanych wiadomości. To około 20 procent całości.
W obecnym roku szacunkowe dane mówią o 233 tys. całkowitych zgłoszeń i 130 tys. zgłoszeń dotyczących oszukańczych SMS-ów. To już ponad połowa całości, blisko 56 proc.
Przestępcy bardzo często żerują też na popularnych markach portali sprzedażowych, szczególnie Allegro, OLX czy Vinted. W 2021 r. aż pięciokrotnie wzrosła liczba tzw. incydentów cyberbezpieczeństwa związana z podszywaniem się popularne sklepy (porównania r/r).
CERT szacuje, że do końca bieżącego roku liczba podobnych incydentów może zbliżyć się do 5,5 tys. przypadków, czyli o siedmiokrotnie więcej niż zanotowano w 2020 roku. Dla porównania – w ubiegłym roku liczb incydentów wyniosła ok. 4,5 tys.
Podobnie rośnie liczba fałszywych sklepów internetowych. Szacunkowo do końca roku CERT mówi o nawet 600 aktywnych platformach, stworzonych tylko do oszukiwania internautów kusząc ich tanimi zakupami. To 34-procentowy wzrost rok do roku.
Jak nie dać się nabrać na Black Friday?
W związku z rosnącym zagrożeniem w okresie Black Friday i święta Bożego Narodzenia CERT Polska przygotował bardzo przydatny poradnik, dzięki któremu unikniemy problemów podczas szukania okazji czy zakupu prezentów. Dziennikarze dostali też dodatkowe przeszkolenie wprost od ekspertów. Uzyskane rady przekazujemy poniżej.
Nie daj się nabrać – 4 kroki bezpiecznych zakupów w sieci
Powiedźmy, że chcecie kupić nowego laptopa. W trakcie z pozoru błyskawicznego i bezpiecznego procesu zakupowego istnieje jednak wiele kroków, gdzie oszust może nas nabrać. Dlatego warto zadać sobie parę podstawowych pytań jeszcze przed wpisaniem swoich danych czy opłaceniem transakcji.
1. Jak tu trafiłem? Kto mnie tu przysłał?
Oferty nie biorą się z powietrza. Widząc dobrego laptopa w atrakcyjnej promocji zastanówmy się chwilę, jak się tu znaleźliśmy. Jeśli kliknęliśmy link w mediach społecznościowych, adres zawarty w mailu lub URL przesłany nam przez komunikator – powinniśmy podwyższyć czujność.
Kolega, koleżanka czy bliscy członkowie rodziny mogą być oszustem podszywającym się pod nich cyberprzestępcą. Złodzieje danych są nawet w stanie zainfekować czy przejąć konta jednej osoby, by za pomocą takiego „słupa” oszukiwać kolejne osoby.
Niestety, czasem zwieźć na manowce mogą nas nawet najpopularniejsze wyszukiwarki internetowe. Oszuści tak jak inni użytkownicy internetu mają dostęp m.in. do narzędzi pozycjonowania i mogą zapłacić za wysoką pozycję w linkach sponsorowanych, np. w wyszukiwarce Google. To, że sklep jest pierwszy w wynikach wyszukiwania nie musi oznaczyć, że jest bezpieczny.
2. Dokąd trafiłem? Jak Wygląda serwis?
Wbrew powszechnej opinii – samo kliknięcie podejrzanego linka nie oznacza z miejsca, że wirus „zainstaluje się sam”, przejmie komputer, wyczyści konto bankowe i tak dalej. Po wejściu nawet na oszukańczy serwis jesteśmy jeszcze dość bezpieczni.
Tu jednak powinniśmy znów zwracać uwagę na podejrzane znaki. Jeśli strona przypomina wyglądem Allegro, ale na przykład nie ma polskich znaków i jest napisana „dziwnie” – bez odmiany, z błędami czy klakami z angielskiego – powinna nam się zapalić czerwona lampka. Uwagę powinny też zwracać niskiej jakości grafiki i ogólna słaba jakość wykonania strony.
Jeśli miał to być sklep z elektroniką (bo kupujemy laptopa), a w ofertach obok widzimy okna PCV, akcesoria do kuchni czy obuwie – też powinno nam to dać do myślenia.
3. Dokąd odsyła mnie strona?
Gdy chcemy coś kupić – musimy zapłacić. Bardzo często oszukańcze serwisy internetowe właśnie tu wykonują kluczowy ruch – wyciągają dane naszych kart kredytowych bądź login i hasło do bankowości internetowej.
Strona może do złudzenia przypominać stronę logowania naszego banku, mieć te same przyciski, podobne funkcje i nadal być tylko wytworem szajki oszustów. Powinniśmy więc zwrócić szczególną uwagę na pasek adresu.
UWAGA! Popularne zielone kłódki (a właściwie certyfikaty EV i SLL) już dawno przestały być gwarancją bezpieczeństwa. Jak się okazuje, nawet oszuści mają już sposoby na ich zdobycie bądź wyświetlenie ofierze. Nie ufajmy im bezgranicznie!
Jak więc sprawdzić, czy dana storna faktycznie należy do banku, firmy obsługującej płatności bądź danej platformy sprzedażowej? Musimy prześledzić wygląd adresu URL i szczególnie dokładnie sprawdzić domenę.
Porównajmy pierwszą, prawidłową domenę z podróbkami, do jakich mogą uciec się hakerzy. Oznaczymy ją nawiasami kwadratowymi.
- www.[mediaexpert.pl]/komputery-i-tablety
- www.[mediaaexpert.pl]/komputery-i-tablety
- www.mediaexpert-pl.[7886.xyz]/komputery-i-tablety
Jak widzicie, oszuści mogą m.in. stosować „taktyczne literówki”, jak w przykładzie drugim. W przykładzie trzecim nazwa na początku pozornie się zgadza, ale faktyczna domena to pojawiająca się późnej liczba i rozszerzenie.xyz. Na szczęście obecne przeglądarki zwykle oznaczają, który fragment często długiego adresu to faktyczna domena danej strony www.
4. Co mówią inni?
Większość stron, nawet tych tworzonych przez oszustów, ma funkcje komentarzy. Często po krótkiej lekturze możemy Jedak nabrać podejrzeń. Ostrożnie powinniśmy podchodzić do stron, które mają same pozytywne komentarze, albo dużą ich liczbę wystawioną w krótkim czasie.
Oszukani na danej stronie klienci często ostrzegają też innych w sieci. Można więc wpisać nazwę serwisu lub domenę w wyszukiwarkę internetową i sprawdzić, co pisali o niej inni internauci.
Jeszcze inny sposób to badanie wiarygodności samej firmy w oficjalnych źródłach. Biznes powinien być zarejestrowany w KRS. Jeśli dana strona ma numer kontaktowy – zadzwoń i wypytaj się o szczegóły. Czasem może się okazać, że oszuści podszywają się pod faktyczną firmę, np. taką nie prowadzącą żadnej sprzedaży. Zdziwienie po drugiej stronie słuchawki powinno nas zaalarmować.
Jak zgłosić oszustwo w sieci?
Gdy przy naszych zakupach wpadniemy na podejrzaną stronę – warto to z miejsca zgłosić. CERT Polska stale udostępnia formularz na stornie incydent.cert.pl. Jeśli dostaliśmy SMS-a z podejrzanym linkiem – możemy przesłać go dalej na numer 799 448 084. Analitycy przyjmują też maile na adres [email protected].
Najważniejszym elementem zgłoszenia jest podejrzany link, który zostanie zweryfikowany przez dwóch niezależnych ekspertów. Jeśli potwierdzą próbę oszustwa, adres błyskawicznie trafi na specjalną listę CERT Polska, z której korzystają czołowi krajowi operatorzy internetu.
Warto zgłaszać incydenty szybko, bo oszuści mogą prowadzić daną kampanię przez zaledwie parę godzin. Aktywnie zgłaszając incydent możemy zaś uratować dane lub pieniądze wielu innych internautów.
Czytaj też:
Emerytka oszukana... na kosmonautę. Oszust wyłudził pieniądze „by wrócić na Ziemię”Czytaj też:
Dostałeś sms-a z tego numeru? To nie oszustwo, wiadomości rozsyła policja