Jak chronić swoje pieniądze i portfel inwestycyjny przed atakami?

Rośnie liczba przestępstw komputerowych, a ich wykrywalność bywa dramatycznie niska. Sprawdź, jakich sztuczek używają cyberprzestępcy i zobacz, co możesz zrobić, żeby nie dać się okraść.

Jak chronić portfel inwestycyjny?

14,99–25 dolarów miesięcznie – tylko tyle trzeba było zapłacić w Darknecie w 2019 roku za złośliwe oprogramowanie (Phoenix Keylogger) wykradające dane nieszczęśnikom, którzy pobrali je na swoje komputery. Cena niewygórowana i w dodatku za kompleksową usługę: program, moduł chroniący przed antywirusami, wsparcie techniczne dla osób, które nie mają wiedzy IT. 

Teraz Twoje konto bankowe lub inwestycyjne może obrabować dosłownie każdy. Model Malware-as-a-Service – czyli złośliwe oprogramowanie jako usługa – jest już standardem. Cyberprzestępcy zarabiają na innych przestępcach bez wiedzy technicznej, ale z apetytem na cudze pieniądze. 

Cyberprzestępczość stała się demokratyczna i o wiele bardziej powszechna niż jeszcze kilka lat temu. Przestępcy podszywają się pod inne osoby i instytucje, kradną tożsamość, używają programów do zdalnego zarządzania komputerem lub telefonem ofiary i dopracowali triki socjotechniczne. “Rzeczpospolita” biła na alarm: liczba przestępstw komputerowych rośnie, a ich wykrywalność spada – czasem do dramatycznie niskiego poziomu (w przypadku ataków na bankowość elektroniczną wyniosła w 2020 r. mniej niż 10 proc).

Jak się bronić przed coraz bardziej wyrafinowanymi zagrożeniami? Za chwilę poznasz metody działania przestępców i sposoby, jak chronić swoje konto i portfel inwestycyjny jeżeli korzystasz z usług finansowych online.

Artykuł powstał we współpracy z biurem maklerskim XTB, oferującym możliwość inwestycji w akcje czy kryptowaluty. Za artykuł otrzymujemy wynagrodzenie, jednak nie ma to żadnego wpływu na jego treść. Zachęcamy do zapoznania się z ofertą XTB – szczególnie z bazą wiedzy i podstawowych pojęć dotyczących np. inwestycji w bitcoina.

Cyberbezpieczeństwo i finanse w sieci

Ataki cyberprzestępców obserwują eksperci z CERT Polska. W najnowszym raporcie (za 2021 rok) zauważyli:

  • 182 proc. więcej ataków e-przestępców, 
  • 76,57 proc. incydentów cyberbezpieczeństwa to phishing (prawie dwa razy więcej niż rok wcześniej),
  • phishing dotyczył wyłudzenia danych logowania na Facebooka (najbardziej popularny scenariusz), użyciu fałszywych bramek płatności, wyłudzenie pieniędzy od sprzedających na portalach ogłoszeniowych,
  • nowe trojany były rozsyłane za pomocą fałszywych wiadomości SMS i e-mail z linkami do spreparowanych stron www,
  • popularność zdobyły oszustwa związane z fałszywymi inwestycjami w krpytowaluty – najczęściej w formie połączenie telefonicznego z informacją o rzekomo zainwestowanych wcześniej środkach oraz wpisów na portalach społecznościowych promujących strony oferujące fałszywe inwestycje,
  • wzrosła liczba ataków z użyciem ransomware czyli złośliwego oprogramowania wymuszającego okup,
  • standardem stał się przestępczy model biznesowy Ransomware as a Service – przestępcy udostępniają złośliwe oprogramowanie innym przestępcom w zamian za opłatę i udział w zysku.

Jakie metody stosują oszuści i jak się przed nimi bronić

Przygotowałem listę metod i technik, które przestępcy mogą użyć, żeby pozbawić Cię pieniędzy. Jednocześnie dowiesz się, jakie są skuteczne zasady samoobrony.

Phishing 

Phishing to jedno z najbardziej popularnych narzędzi w arsenale cyberdrani. Ofiara dostaje e-mail lub SMS z prośbą o podanie danych do logowania na konto w np. bankowości internetowej. Wysłany link prowadzi do podstawionej strony z fałszywym panelem logowania. Atak może być wykonana również za pośrednictwem reklamy na portalach społecznościowych lub w wyszukiwarce Google.

Przestępcy potrafią bardzo zręcznie podrabiać strony banków lub innych instytucji finansowych – celem jest przechwycenie Twoich danych do logowania do konta. Często fałszywe strony do złudzenia przypominają witryny prawdziwych instytucji. To klony, które różnią się drobnymi zmianami w adresie URL.

Specyficzną formą ataku jest spear phishing – ukierunkowany atak, którego celem jest konkretna osoba, wybrana przez przestępcę. Specjaliści ds. cyberbezpieczeństwa lubią mówić, że klasyczny phishing przypomina strzał z shotguna (SMS lub e-mail trafia do bardzo dużej liczby potencjalnych ofiar), natomiast spear phishing przypomina użycie broni snajperskiej. Przestępcy komponują treść wiadomości pod kątem odbiorcy, np. wykorzystując stanowisko, które ofiara pełni w firmie.

Jak się bronić przed phishingiem:

  • nie loguj się na swoje konto poprzez linki, które otrzymałeś w wiadomości SMS lub e-mailu – najlepiej za każdym razem wpisz adres ręcznie,
  • dokładnie sprawdź pasek adresu przed zalogowaniem się – zyskaj pewność, że to faktycznie Twój bank (sprawdź dokładnie czy adres URL jest prawidłowy, czy obok umieszczona jest zamknięta kłódka świadcząca o tym, że strona chroniona jest certyfikatem SSL; koniecznie kliknij w znaczek żeby przekonać się dla kogo został wystawiony certyfikat – to powinien być Twój bank/instytucja finansowa),
  • zachowaj ostrożność jeżeli szukasz strony do logowania za pomocą wyszukiwarki www (oszuści mogą np. umieścić w reklamie prawdziwy adres, ale po kliknięciu zostaniesz przekierowany na podstawioną stronę),
  • dokładnie sprawdź, kto jest nadawcą wiadomości e-mail lub SMS, nie klikaj w link w e-mailu lub SMS jeżeli wiarygodność nadawcy budzi wątpliwości,
  • aplikacje instytucji finansowych pobieraj tylko z oficjalnych sklepów (Google Play, AppStore) lub ze strony usługodawcy.

Smishing (SMS phishing)

Smishing to atak z użyciem wiadomości SMS. Schemat działania napastników jest taki sam jak w innych formach phishingu. Przestępcy chcą skłonić Cię do podania danych na stronie z fałszywym panelem do logowania.

Oszust wyśle SMS z linkiem do fałszywej strony internetowej. Pretekstem będzie np. konieczność potwierdzenia transakcji. Strona jest fałszywką, ale jeżeli podasz prawdziwy login i hasło, to atakujący zyska dostęp do Twojego konta. 

Jak się bronić przed smishingiem:

  • nie klikaj w linki, które otrzymałeś w SMS, a przynajmniej zachowaj dużą ostrożność – przestępcy mogą podszyć się pod prawdziwego nadawcę (np. Twój bank),
  • nie podawaj danych do logowania na niewiarygodnych stronach,
  • zawsze zachowaj ostrożność podczas logowania do bankowości internetowej lub do platformy transakcyjnej – wpisuj ręcznie adres strony, sprawdź czy jest zabezpieczona kłódką (certyfikatem SSL wystawionym dla instytucji finansowej, z której usług korzystasz).

Vishing (phishing telefoniczny)

Odbierasz połączenie i słyszysz panią/pana, który przedstawia się jako pracownik banku, firmy inwestycyjnej, biura maklerskiego lub firmy usługowej, policji, a nawet służby specjalnej. Podczas rozmowy kusi możliwością zarobku lub oferuje rozwiązanie problemu. 

Jeżeli jest “doradcą inwestycyjnym” to proponuje inwestycje, która da szybki i pewny zarobek. Może oferować zakup kryptowaluty lub akcji firmy. Warunkiem jest zrobienie przelewu, zarejestrowanie się na specjalnej stronie lub instalacja oprogramowania do zdalnej kontroli (np. AnyDesk).

“Broker” będzie przekonywał, że na Twoim koncie była włączona opcja automatycznego inwestowania i teraz masz do wypłaty kryptowaluty. Całkiem miła niespodzianka. Środki czekają na odbiór, jest tylko drobiazg do zrobienia. Musisz podać hasło do swojego konta lub zalogować się na stronie, do której prowadzi link przesłany przez “brokera” (oczywiście to podrobiona witryna).

“Pracownik banku” prosi np. o podanie danych karty kredytowej lub o przelanie pieniędzy, żeby odblokować korzystną ofertę lub uzyskać dostęp do bitcoina (czy też innej kryptowaluty). Może też nalegać na aktualizację danych lub zabezpieczeń, oferować dostęp do nowych funkcjonalności – należy tylko zainstalować wskazany przez niego program. W rzeczywistości to malware lub aplikacja służąca do zdalnego przejęcia kontroli nad urządzeniem ofiary. Efektem jest wyczyszczenie konta z pieniędzy lub zaciągnięcie kredytu.

Vishing to jedna z coraz bardziej popularnych form wyłudzenia danych. Czego można spodziewać się po oszustach? Listę przykładowych metod opublikowała Komisja Nadzoru Finansowego (przestępcy podszywali się po jej pracowników). Podczas rozmowy telefonicznej oszust:

  • namawia ofiarę do kupna lub sprzedaży kryptowalut, transakcję ma monitorować pracownik KNF i dlatego – tłumaczy oszust – należy zdalnie udostępnić pulpit komputera,
  • twierdzi, że w imieniu KNF weryfikuje koszty produktów lub usług oferowanych przez podmioty finansowe, prosi o podanie danych osobowych, danych do logowania do konta oraz tych dotyczących usług, z których korzystasz,
  • wymusza wcześniejszą spłatę zobowiązań finansowych.

Oszust może również wysłać e-maila z żądaniem:

  • uiszczenia np. „opłaty transferowej” za wypłatę pożyczki,
  • wpłaty pieniędzy za np. „certyfikat poświadczający brak zaległości podatkowych dla nierezydentów”. 

KNF podkreśla, że nie ma nic wspólnego z tego typu żądaniami i wiadomościami.

Cyberprzestępca może być bardzo wiarygodny – podać imię, nazwisko i stanowisko prawdziwego pracownika, dane firmy, na którą się powołuje (NIP, KRS, adres siedziby), numer licencji maklera giełdowego znaleziony na stronie Komisji Nadzoru Finansowego, twierdzić, że jest autoryzowanym przedstawicielem firmy współpracującej z daną instytucją. 

Jak się bronić przed vishingiem:

  • domyślnie stosuj zasadę ograniczonego zaufania podczas każdej rozmowy z osobą przedstawiającą się jako pracownik banku lub innej instytucji finansowej/publicznej (np. Komisji Nadzoru Finansowego),
  • jeśli masz wątpliwości, rozłącz się, zadzwoń do banku i sprawdź czy jego pracownik rzeczywiście z Tobą rozmawiał,
  • zachowaj czujność nawet jeżeli rozmówca zna Twoje niektóre dane, np. PESEL, adres zamieszkania lub ostatnie cyfry karty kredytowej – te dane mogą pochodzić z wykradzionych baz,
  • nigdy nie podawaj danych swojej karty lub innych dotyczących konta, np. numeru  karty kredytowej czy też kodu CVV,
  • nigdy nie instaluj oprogramowania zalecanego przez rozmówcę (syreny alarmowe powinny zawyć jeśli “przedstawiciel” banku nalega na taką instalację),
  • KNF przypomina, że instytucje finansowe nigdy nie proszą klientów o instalację oprogramowania do pomocy zdalnej, jeśli słyszysz coś takiego, to niemal na 100 proc. rozmawiasz z oszustem,
  • tak będzie również jeśli ktoś oferuje Ci pieniądze – np. zwrot prowizji, dopłatę, tarczę antyinflacyjną itp. (oszuści dostosowują swoją taktykę do aktualnej sytuacji).

Shoulder surfing 

Oszust podpatruje dane podczas korzystania przez ofiarę np. z bankowości online na smartfonie. 

“To zagrożenie, na które rzadko zwraca się uwagę, a szkoda” – mówi dla serwisu Niebezpiecznik.pl. Jakub Kubacki z firmy maklerskiej XTB. Przestępca może podpatrzeć najróżniejsze dane nieostrożnej osoby sprawdzającej stan konta lub portfel inwestycji: ile pieniędzy zgromadziła, jakie ma akcje lub inne aktywa, numer identyfikacyjny, imię i nazwisko. Te informacje wykorzysta np. do zdobycia zaufania podczas późniejszej rozmowy telefonicznej.

Jak się bronić przez shoulder surfingiem”

  • zachowaj ostrożność podczas korzystania z bankowości online w miejscach publicznych: upewnij się, że nikt nie obserwuje wyświetlacza naszego smartfona/laptopa (uwaga na kamery monitoringu np. w kawiarniach czy sklepach),
  • nie zostawiaj smartfona bez opieki w miejscu, do którego mają dostęp postronne osoby,
  • zabezpiecz urządzenie przed ingerencją niepowołanej osoby – ustaw ekran blokady przy użyciu hasła lub zabezpieczenia biometrycznego (np. rozpoznawanie twarzy lub linii papilarnych na palcu),
  • zabezpiecz dostęp do aplikacji, której używasz do wykonywania transakcji.

Keylogger 

Keylogger to rodzaj złośliwego oprogramowania (malware), który służy m.in. do rejestracji klawiszy używanych przez ofiarę ataku. Keylogger można pobrać np. klikając w załącznik do emaila, instalując oprogramowanie z niepewnego źródła lub pobierając pliki z filmami, muzyką, grami czy książkami ze stron z nielegalnymi treściami.

Podsłuchiwanie klawiatury to punkt wyjściowy dla keyloggerów. Współczesne oprogramowanie tego typu może kraść hasła, monitorować komunikatory (np. Messengera), wykradać informacje z maila, klientów FTP czy też robić co pewien czas zrzuty ekranu komputera. Wykradzione dane przesyłane są do mocodawcy.

Zaawansowane keyloggery mają też własne anty antywirusy, które ułatwiają im ukrycie się przed skanerami lub wyłączenie ochrony, np. Windows Defendera (tzw. AV-killer).

Jak się bronić przed zainstalowanie keyloggera:

Exploit  

Malware, który korzysta z luk w legalnym oprogramowaniu – agresor wykorzystuje błędy w programach lub systemie operacyjnym i infekuje urządzenie ofiary złośliwym kodem. Exploit pobierany jest na komputer podobnie jak inne tego typu oprogramowanie: po kliknięciu w załącznik do maila, pobranie pliku lub w innym kanałem charakterystycznym dla phishingu.

Exploit przejmuje uprawnienie administratora i wyszukuje ścieżki do przeprowadzenia ataku. Celem jest zainstalowanie innego malware, np. keylogger, ransomware lub spyware.

Wśród często atakowanych programów należy pakiet Microsoft Office, Adobe Acrobat Reader, Java czy też przeglądarki www.

Jak się bronić przed exploitem:

  • regularnie aktualizuj oprogramowanie na swoim komputerze/smartfonie – exploit jest skuteczny do chwili wprowadzenia łatki bezpieczeństwa (dobrze jest ustawić automatyczną aktualizację),
  • instaluj tylko legalne oprogramowanie,
  • pobieraj pliki wyłącznie z pewnych źródeł,
  • nie klikaj w załączniki/linki, które wyglądają podejrzanie i/lub zostały przysłane od nieznanego lub niewiarygodnego nadawcy, 
  • używaj renomowane programy antywirusowe z funkcją wykrycia programów exploit.

Spoofing (CallerID Spoofing)

Zyskując popularność metoda ataku, która polega na podrobieniu połączeń telefonicznych

Przestępca używa numeru abonenta (często to może być legalnie działająca instytucja), dzwoni do ofiary i np. proponuje inwestycję lub zainstalowanie programu do zdalnej kontroli komputera/smartfona. Przestępca może używać syntezatora mowy oraz anonimizować swoje IP, żeby utrudnić policji śledztwo. 

Do oszustwa służą bramki internetowe, w których można ustawić dowolny numer telefonu jako dzwoniący (wyświetlający się odbiorcy). Przestępcy wpisują np. numer prawdziwej infolinii banku lub biura maklerskiego.

Najbardziej popularny przykład, to telefon od “konsultanta”, który podszywa się pod pracownika banku (nagrania posłuchaj na YT – przekonaj się, jak wiarygodny może być oszust) Takie spoofing był bardzo popularny w 2021 roku (i nadal jest na przestępczym “topie”).

Skąd oszust bierze numery telefonów? To nie jest problem. Większość z nich korzysta z oficjalnych źródeł (strony www, media społecznościowe, LinkedIn) lub z wykradzionych baz danych dostępnych na forach w Darknecie (np. ze sklepów internetowych).

Niestety spoofing jest bardzo skuteczną metodą. Często szalenie trudno zorientować się, że rozmówca to oszust. Spoofing jest trudny do wykrycia. Możesz jednak zastosować taktyki, które ograniczą skuteczność tej metody.

Jak się bronić przed spoofingiem:

  • Stosuj zasadę ograniczonego zaufanie odbierając SMS lub połączenie telefoniczne, tym bardziej jeżeli rozmowa dotyczy Twoich pieniędzy lub inwestycji. Prawdziwy konsultant z banku, pracownik biura maklerskiego lub innej instytucji finansowej nigdy nie poprosi o:
    • dane związane z kartą płatniczą (jej numeru, daty ważności, numeru CVV, kodu PIN),
    • hasło do konta/rachunku,
    • zainstalowanie oprogramowania do zdalnej kontroli, np. AnyDesk czy Teamviewer,
    • zainstalowanie aplikacji do przeprowadzenia autoryzacji transakcji,
    • przelanie pieniędzy w celu np. weryfikacji płatności.

Co zrobić jeśli usłyszysz takie żądanie lub po prostu nabierzesz podejrzeń?

  1. Zakończ rozmowę.
  2. Zadzwoń na infolinię instytucji finansowej i potwierdź, że rzeczywiście rozmawiałeś/aś z jej pracownikiem.

Z zasady zachowaj ostrożność słysząc, że rozmówca przedstawia się jako pracownik banku, biura maklerskiego, ZUS lub policji. Oszuści w ten sposób wzbudzają zaufanie potencjalnej ofiary. Niezłym pomysłem jest rozłączyć się i samemu zadzwonić do instytucji, z której usług korzystasz.

Warto pamiętać, że policja szukając sprawców oszustwa ma utrudnione zadanie. Trop wiedzie przecież do abonenta, którego numer został wykorzystany w nielegalnym procederze.

Wyłudzenie danych logowania – co zrobić?

Często sami jesteśmy swoimi największymi wrogami. Chciwość potrafi zakneblować rozsądek, a obietnica zarobienia niezłych pieniędzy jest kusząca. Ofiary potrafią wierzyć oszustowi do samego końca. Bywa, że “inwestorzy” zaalarmowani przez swój bank o możliwości oszustwa nadal chcą dokończyć “intratną” transakcję.

Stało się i podałeś oszustowi swoje dane do logowania. Co zrobić w takiej sytuacji? CERT Polska radzi:

  • jak najszybciej skontaktuj się ze swoim bankiem,
  • zmienić hasło do bankowości internetowej,
  • jeżeli doszło do wyłudzenia pieniędzy, zgłoś to na policję.

Cyberbezpieczeństwo e-portfela – podsumowanie

Nikt nie jest kuloodporny i najbezpieczniej założyć, że też możesz paść ofiarą cyberprzestępców. E-złoczyńcy nauczyli się perfekcyjnie wykorzystywać słabości i nawyki użytkowników Internetu. Według CERT Polska to:

  1. Używanie jednego hasła do różnych kont.
  2. Wiara, że można łatwo i szybko zarobić inwestując np. w kryptowaluty.

Czasem wystarczy chwila nieuwagi, zmęczenie lub rozkojarzenie. Jedno kliknięcie w link w SMS lub w mailu i złośliwy program wykrada dane, a potem przesyła mocodawcy lub szyfruje zawartość Twojego komputera. Na ekranie widzisz żądanie: zapłacisz okup lub całkowicie stracisz dostęp do danych. Innym razem uwierzysz oszustowi, który użył autentyczny numer infolinii banku, z którego korzystasz.

Nigdy wcześniej tak wiele osób mogło zostać cyberprzestępcami i skorzystać z tak licznych narzędzi do kradzieży i oszustwa. Malware-as-a-Service – czyli złośliwe oprogramowanie jako usługa – jest coraz powszechniej stosowane, nie trzeba mieć szczególnych umiejętności technicznych. Na forum internetowym można wybrać dostawcę, zapłacić mu kryptowalutach i podzielić się częścią łupu w zamian za złośliwe oprogramowanie i kompleksowe wsparcie. 

Jak zauważył serwis Cybereason, niektórzy cyberprzestępcy stosują wiele metod używanych przez legalne firmy sprzedające oprogramowanie: działania marketingowe, poleganie na pozytywnych recenzjach, responsywną obsługę klienta i regularne ulepszanie funkcji ich produktów.

Trudno się dziwić: phishing i inne metody e-oszustw przynoszą wielkie zyski. Są zagrożeniem dla indywidualnych osób i wielkich firm. Spójrz na dane zebrane przez Cybereason (raport z 2022 roku):

  • 73% organizacji przynajmniej raz zostało zaatakowanych oprogramowaniem ransomware – wymuszającym okup (55% w 2021 r.),
  • 80% organizacji, które zapłaciły okup, zostało zaatakowanych ponownie (68% w niecały miesiąc później, przestępcy zażądali więcej pieniędzy),
  • 31% firm musiała na stałe/czasowo zawiesić działalności po ataku, 
  • 40% organizacji zwolniło pracowników w wyniku ataku.

Przestępcy atakują nie tylko firmy. Jeżeli chcesz, żeby środki, które zgromadziłeś w swoim portfelu inwestycyjnym lub na koncie w banku były bezpieczne, to powinieneś rygorystycznie przestrzegać zasad, które wymieniłem wyżej.

Artykuł powstał we współpracy z XTB. Za jego przygotowanie i publikację otrzymaliśmy wynagrodzenie.

Zapisz się na bezpłatny 7-dniowy kurs e-mail:
PODSTAWY BEZPIECZEŃSTWA

i dowiedz się jak zabezpieczyć komputer, telefon i konta internetowe:

PODSTAWY BEZPIECZEŃSTWA