Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Socjotechniki przestępców ciągle skuteczne

05 wrzesień 2022

Socjotechniki przestępców ciągle skuteczne
Dariusz Polaczyk

Dariusz Polaczyk

Mimo licznych kampanii informacyjnych nadal słyszymy o kolejnych ofiarach oszustów grasujących w sieci lub działających za pomocą telefonu. Według Policji, kwoty wyłudzeń można liczyć w milionach złotych, a bardzo często oszukani tracą oszczędności swojego życia. Atakowani są przede wszystkim seniorzy, choć odnotowywane są również przypadki oszukiwania ludzi młodych.

Niestety, inwencja przestępców jest nieograniczona, musimy więc być bardzo czujni, by z uczestnika pozornie niewinnej i pozbawionej ryzyka sytuacji nie stać się ofiarą dużego oszustwa. Mechanizmów wyłudzeń jest bardzo wiele, trudno wymienić wszystkie, spróbuję więc je skatalogować:

Niepokojące SMS-y lub e-maile

które grożą rzekomo niezapłaconą fakturą, egzekucją komorniczą, pozwem sądowym, wpisem do rejestru długów itp. Celem jest wywołanie strachu, obawy i chęci najszybszego poznania szczegółów,

„Na policjanta”

dzwoni osoba podszywająca się pod policjanta i informuje nas, że ktoś włamał się na nasze konto bankowe i za chwilę nas okradnie, jeżeli nie zabezpieczymy swoich środków. Potencjalna ofiara proszona jest o udanie się do banku, wypłacenie wszystkich środków ze swojego konta i pozostawienie ich w umówionym miejscu. Jeżeli oszust zorientuje się, że ta obsługuje swój rachunek przez internet, to proszona jest o wykonanie przelewu na „bezpieczne, tymczasowe konto”.

„Na prezesa”

otrzymujemy maila lub telefon, rzekomo od prezesa naszej firmy, z prośbą czy poleceniem wykonania operacji finansowej. Otrzymujemy maila lub telefon, rzekomo od prezesa naszej firmy, z prośbą czy poleceniem wykonania operacji finansowej.

Fałszywe inwestycje 

w popularnych serwisach społecznościowych oszuści zamieszczają reklamy zachęcające do inwestowania w obligacje państwowych spółek z branż energetyczno-paliwowych. Często towarzyszy im wizerunek znanych polityków albo celebrytów rzekomo wspierających tę inicjatywę. Co zdumiewa, to fakt, że portale te tak łatwo zgadzają się na umieszczanie oszukańczych reklam – po ostatniej głośnej fuzji na rynku paliwowym w Polsce nastąpił „wysyp” tego typu „ofert”. W innych wariantach oszuści zachęcają do lokowania środków w kryptowalutach, podając się za młodą, atrakcyjną osobę, która rzekomo sama to zrobiła i teraz korzysta z życia, poświęcając inwestycji kilkanaście minut dziennie. Co najgorsze, ofiary często same kontaktują się z oszustami po przeczytaniu reklam, zachęcone ich treścią.

Wysoka inflacja, połączona z nienadążającym za nią oprocentowaniem lokat bankowych, powoduje, że ludzie szukają innych form ratowania swoich oszczędności, a oszuści zręcznie to wykorzystują. Ofiary same przelewają im swoje środki lub też pozwalają – przekonane, że korzystają z pomocy technicznej – na instalację na swoim komputerze lub telefonie tzw. zdalnego pulpitu, co umożliwia przestępcom przejęcie całkowitej kontroli nad urządzeniem.

Szkodliwe załączniki lub linki w e-mailach

treść maila ma albo zachęcić nas do otwarcia załącznika (klasyczny przykład: w załączeniu „Pozew sądowy”), albo też „ukryć się” w masie podobnych wiadomości (przykład: przesłanie faktury do biura rachunkowości lub CV do agencji rekrutacyjnej). Otwarcie załącznika lub wejście w link może wiązać się z instalacją szkodliwego oprogramowania, czego skutkiem może być kradzież wrażliwych danych, szyfrowanie dysku w celu wyłudzenia okupu za odkodowanie znajdujących się na nim plików, śledzenie naszej aktywności w sieci itd.

Oszustwa nigeryjskie 

informacja o spadku, wielkiej nagrodzie, wygranej na loterii albo, w innej odsłonie próby rozkochania przez amerykańskich generałów czy pułkowników, bogatych i samotnych biznesmenów itd. Może wydawać się to niebywałe, ale, niestety, tak jest, że ludzie są w stanie uwierzyć i przekazać pieniądze w wysokości nawet kilkudziesięciu tysięcy złotych osobie, której nigdy w życiu nie spotkali osobiście. Przy nagrodach i spadkach oszuści chcą namówić nas do wysłania mniejszej kwoty celem uzyskania większej (potrzeba opłacenia podatku, kosztów sądowych itp.).

Oszustwa wakacyjne

oferta atrakcyjnego pobytu wakacyjnego w obiekcie, którego nie ma lub który nie należy do osoby sprzedającej pobyt. Dodatkowo można zapłacić za fałszywy wynajem samochodu, lot czy podróż pociągiem, czarter łodzi itp.

Fałszywe zbiórki 

wojna w Ukrainie, pandemia, katastrofy, wypadki czy choroby uruchamiają w ludziach chęć niesienia pomocy. Oszuści wykorzystują to, zamieszczając informację o fałszywych zbiórkach.

Oszustwa zakupowe

kupujemy w sieci nieistniejący towar lub usługę, za które płacimy z góry. Gdy z kolei coś sprzedajemy, przestępca podszywający się pod kupującego może dążyć do wyłudzenia danych karty płatniczej w celu rzekomego przelania na nią środków.

Potwierdzenia naszej tożsamości

kupujemy w sieci nieistniejący towar lub usługę, za które płacimy z góry. Gdy z kolei coś sprzedajemy, przestępca podszywający się pod kupującego może dążyć do wyłudzenia danych karty płatniczej w celu rzekomego przelania na nią środków.

Potwierdzenia naszej tożsamości

pod pozorem konieczności potwierdzenia naszej tożsamości oszuści podstawiają nam fałszywą stronę portalu społecznościowego, banku lub innej instytucji, gdzie podajemy dane logowania lub inne dane wrażliwe, które mogą później wykorzystać, np. do wykradzenia środków z naszego konta bądź zaciągnięcia na nas pożyczki.

Ataki spersonalizowane

jedne z najniebezpieczniejszych. Czekamy na paczkę i właśnie wtedy przychodzi SMS o konieczności dopłaty za jej dostarczenie przez kuriera albo otrzymujemy wiadomość o potrzebie uregulowania należności akurat w momencie, gdy zrobiliśmy zakupy. Oszust wplata się w naszą realną sytuację i informacja z tym związana nie wzbudza naszych podejrzeń. W ostatnim czasie odnotowano przypadek, w którym oszuści spisywali podawane głośno dane osoby wygrywającej licytację. Następnie osoba ta otrzymała informację o danych do przelewu za wygraną licytację. Alternatywna forma to masowa wysyłka SMS czy e-maili podszywających się pod największe banki, czy inne instytucje. Oszuści po prostu liczą na to, że przypadkowy odbiorca takiej wiadomości okaże się jednym z klientów tych instytucji. Jeszcze inny możliwy schemat to powiadamianie o zmianie numeru rachunku bankowego służącego do przyjmowania opłat za gaz, energię, usługi itp.

Wyciek danych dostępowych

zdarza się, że nasze dane dostępowe zostają przejęte przez oszustów w wyniku wycieku ze słabo zabezpieczonego portalu. Jeżeli przestrzegamy zasady unikatowości hasła, czyli do każdego serwisu logujemy się innym ciągiem znaków, a dodatkowo tam, gdzie to możliwe, włączamy podwójne uwierzytelnienie, to poza skompromitowanym serwisem jesteśmy bezpieczni. Problem pojawi się w momencie, gdy używamy tego samego hasła do różnych serwisów i nie stosujemy podwójnego uwierzytelnienia. Przejęcia większości kont na portalach społecznościowych czy sprzedażowych mają właśnie taką genezę.

Co powinno być sygnałem ostrzegawczym?

Pomimo że scenariusze oszustw są zmienne i dostosowane do aktualnej sytuacji, to można znaleźć w nich stałe elementy, których obecność powinna być dla nas dzwonkiem alarmowym. Przede wszystkim oszuści bazują na naszych emocjach, dążą do wywołania pośpiechu, strachu, zaciekawienia, chęci natychmiastowego sprawdzenia otrzymanej informacji.

Dlatego uważajmy, gdy w komunikacji pojawiają się przynajmniej niektóre z tych charakterystycznych elementów:

  • groźba, straszenie karą, grzywną, kompromitacją, sprawą sądową, ujawnieniem naszych osobistych sekretów itp.;

  • nacisk na natychmiastowe działanie (superpromocja, która za chwilę się skończy, nagranie będzie dostępne jeszcze 15 minut, okazja dla pierwszych 50 klientów, tylko dzisiaj itp.);

  • nietypowa prośba (najczęściej finansowa) mogąca pochodzić również od znajomego (oszust podszywa się pod niego);

  • podejrzany link lub załącznik;

  • błędy językowe — coraz rzadsze, ale jeśli występują (szczególnie w komunikatach od szanowanych instytucji), są silnym sygnałem ostrzegawczym. Choć błędy ortograficzne, gramatyczne, składniowe mogą przytrafić się każdemu, to jednak bardzo mało prawdopodobne, by trafiły do np. oficjalnego komunikatu czy zawiadomienia;

  • brak polskich liter (nie dotyczy SMS) — w oficjalnej komunikacji e-mailowej instytucja nie pozwoli sobie na takie uproszczenie;

  • język potoczny lub nadmiernie urzędowy;

  • niska jakość grafik;

  • domena, z której przysłano e-mail, inna niż oficjalna;

  • rzekomy klient portalu zakupowego kontaktuje się z nami lub chce przeprowadzić płatność innymi sposobami niż te udostępniane przez taki portal;

  • brak adresu firmy lub wskazanie skrytki pocztowej;

  • brak informacji o firmie w internecie.

Generalna zasada mówi, że jeśli cokolwiek wzbudza nasze podejrzenie, obawę, nawet gdy czasami trudno określić co konkretnie, to powinniśmy wstrzymać się z działaniem, poczekać chwilę, zastanowić się. Celem oszustów jest spowodowanie, żebyśmy działali impulsywnie, bezrefleksyjnie, natychmiast. Nie pozwólmy im na to.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności