O oszustwach inwestycyjnych, które drenują kieszenie Polaków, uniwersalnych zasadach bezpieczeństwa i tym, co robić, jeśli jest już za późno na ostrzeżenia, rozmawialiśmy z Zuzanną Polak – Kierownikiem Zespołu Budowania Świadomości Cyberbezpieczeństwa NASK.
Michał Misiura, Bankier.pl: Oszustwa inwestycyjne w sieci nie są nowym zjawiskiem, ale czy w ostatnich latach nie zaczęły przybierać na sile? Jak kształtuje się ich liczba?
Zuzanna Polak, NASK: Nie mamy szczegółowych danych na ten temat, aczkolwiek liczba incydentów związanych z różnego rodzaju oszustwami rośnie z roku na rok. Można powiedzieć więc, że na pewno oszustw inwestycyjnych też jest coraz więcej, ale na szczęście ludzie są coraz bardziej świadomi i je zgłaszają.
Jakie oszustwa zbierają teraz największe żniwo wśród Polaków?
Na pewno trendem wznoszącym są oszustwa z wykorzystaniem znanych osób i ich wizerunku, zarówno w formie wideo, jak i fejkowych artykułów. Oszuści publikują np. reklamy fałszywych platform inwestycyjnych z udziałem Roberta Lewandowskiego lub innych sportowców, celebrytów albo polityków (aczkolwiek Robert Lewandowski dosyć często się tam przewija). Widziałam, że kasyna internetowe także to wykorzystują.
Kampania "Cyberoszustwa inwestycyjne" (CSIRT KNF)
Technologia deepfake, związana z rozwojem sztucznej inteligencji, jest chyba w tej chwili największym zagrożeniem. Myślę, że warto powiedzieć o tych oszustwach kilka dodatkowych słów. Trudno być na nie odpornym, gdy żywy człowiek opowiada nam na nagraniu o swoich zyskach i wymienia z nazwy platformę, na której zainwestował. W tej chwili trzeba pamiętać, że każdy głos można sfałszować, każdy wizerunek można wykorzystać w filmie czy na zdjęciu, tworząc wydarzenia i wypowiedzi, które nigdy nie miały miejsca. Uważajmy na te nagrania z celebrytami, politykami, autorytetami.
Zwłaszcza że w tej chwili większość deepfake’ów jest wciąż niedoskonała, ale z czasem pewnie będą ewoluować.
Kiedyś mówiło się, że należy zwracać uwagę na język, jakim są pisane maile, które mają wyłudzić od nas pieniądze, że mogą w nich być literówki, mogą zawierać niezręczności przez tłumaczenie za pomocą translatora. W tej chwili z użyciem sztucznej inteligencji można wygenerować automatycznie idealną wiadomość i każdy fałszywy obraz, jaki tylko komuś przyjdzie do głowy. Poza naszym własnym zdrowym rozsądkiem nie mamy żadnego narzędzia, żeby z tym walczyć.
Uwaga #deepfake!
Obserwujemy dymaniczny wzrost liczby oszustw deepfake, wykorzystujących wizerunki znanych osób np. @AndrzejDuda, @RBrzoska czy @lewy_official.Poniższe materiały przedstawiają prawdziwe osoby, ale ich wypowiedzi zostały spreparowane przez oszustów.
Zobacz,… pic.twitter.com/FIW3znxmLs
— NASK (@NASK_pl) May 17, 2024
Jakie są w tej chwili najpopularniejsze sposoby cyberataków?
Myślę, że cyberprzestępcy po prostu wiedzą, gdzie jesteśmy i pojawiają się wszędzie tam, gdzie istnieje potencjał do oszukania jak największej liczby osób. Na pewno jest to widoczne w mediach społecznościowych. Czasami hakowane są konta prawdziwych użytkowników i za ich pośrednictwem przestępcy rozsyłają informacje o fałszywych inwestycjach.
Sporym problemem są też reklamy sponsorowane w wyszukiwarkach, ponieważ część z nich zlecana jest przez cyberprzestępców. Zwykłemu użytkownikowi jest często trudno odróżnić prawdziwą stronę od kopii podstawionej przez oszustów, jeśli znajdzie ją w jednym z pierwszych wyników, ponieważ reklamy są tak pozycjonowane. To uwiarygodnia daną platformę lub usługę.
Należy bardzo zwracać uwagę na to, co się dzieje w mediach społecznościowych. Jestem w grupie sąsiedzkiej na Facebooku i tam co rusz, co kilka dni, pojawia się post członka tej grupy, z realnego konta, reklamujący oszustwa. Często z informacją “tyle zarobiłem” i pokazywane są wyciągi z banku, które mają być dowodem na to, jak duże są przychody w danym kasynie czy z danej inwestycji. W ten sposób to działa.
Dość ciekawym wektorem są też serwisy randkowe, gdzie po nawiązaniu z kimś relacji bardzo szybko pojawiają się zachęty do skorzystania z jakiejś platformy. Zaczynamy z kimś rozmawiać, być może wydaje nam się nawet, że jest to miłość naszego życia, tymczasem celem osoby po drugiej stronie jest namówienie nas do skorzystania z nieuczciwej platformy inwestycyjnej, która nas okradnie.
Czy mają Państwo statystyki na temat tego, kto jest po drugiej stronie? W marcu władze Filipin uwolniły 600 osób więzionych i zmuszanych do przeprowadzania oszustw randkowych. Wiele fałszywych call center, tzw. kotłowni, operowało dawniej z Ukrainy, gdzie regularnie zamykała je cyberpolicja. Jak to wygląda teraz?
Cyberprzestępczość jest w tej chwili serwowana jako usługa. Można sobie wykupić obsługę ze strony takiego właśnie call center zatrudniającego ludzi, którzy będą wydzwaniać albo wypisywać na forach fałszywe informacje. To nie wygląda jak na filmach, w których gdzieś w podziemiach siedzi sobie jakiś haker, tworzy scenariusze i je realizuje.
Oszustwa działają teraz jak profesjonalny biznes i od czasu do czasu słyszymy w mediach, że takie grupy są zamykane. Policja wkracza do miejsc, skąd pracują zatrudniane przez nie osoby, które dzwonią i zachęcają ludzi do “inwestowania”. Oczywiście bardzo często jest też tak, że w takich środowiskach dochodzi do niewolnictwa i pracy przymusowej.
Przestępcy wykorzystują często sytuację biedy w krajach azjatyckich czy właśnie aktualne wydarzenia na Ukrainie. To powoduje, że ludzie łapią się tam różnych form zarobkowania. Czasami mogą być do tego po prostu przymuszani, bo zawsze na którymś etapie oszustwa musi pojawić się ten żywy człowiek, który nakłoni do dalszych wpłat lub pomoże z obsługą nieuczciwej platformy.
A czy w Polsce działają takie kotłownie?
Nie słyszałam o żadnej osobiście, ale myślę, że też nie można tego wykluczyć. Czasami po drugiej stronie słuchawki natrafia się na osoby, które mówią płynnie w języku polskim i nigdy byśmy ich nie podejrzewali o jakieś przestępcze intencje.
Wspominała pani o grupie sąsiedzkiej i przejmowaniu profili na Facebooku. Jak dobrze zabezpieczyć swoje konto w mediach społecznościowych i na innych platformach w internecie? Jakie są podstawowe zasady bezpieczeństwa?
Przede wszystkim patrzymy na to, czy zawsze logujemy się w tym miejscu, do którego na pewno chcemy wejść. Jeżeli korzystamy z mediów społecznościowych w telefonie, najlepiej używać do tego aplikacji. Jeśli korzystamy z komputera, to warto mieć stronę główną serwisu gdzieś w zakładkach, tak żeby nie trzeba było wpisywać jej ręcznie.
W wyszukiwarce możemy trafić na fałszywą stronę, możemy zrobić też jakąś literówkę i zostać przeniesionym w podobnie wyglądające miejsce. Także za każdym razem gdy podajemy nasze dane do logowania, patrzymy, czy jest to na pewno ta strona, z której zawsze korzystamy, która wygląda tak, jak jesteśmy do tego przyzwyczajeni.
Czasem umyka nam też, że hasło to nasz największy skarb. Warto pamiętać o tym, że do każdej usługi internetowej należy mieć oddzielne hasło. Najważniejsze jest oczywiście hasło do poczty elektronicznej, ponieważ po jego przejęciu przestępca może pozyskać – poprzez mechanizm odzyskiwania – wiele innych haseł do usług założonych z naszej skrzynki, w tym do naszych mediów społecznościowych. Utrata dostępu do portalu społecznościowego może wydawać się mało krytyczna, ale jednak to właśnie tam wiele osób umieszcza dane o sobie.
Dlatego pamiętajmy: jedno hasło, jedna usługa i to hasło powinno być przede wszystkim długie. Najważniejszą zasadą bezpieczeństwa hasła jest w tej chwili jego długość. Aktualnie specjaliści zalecają, żeby miało co najmniej 14 znaków. Warto przy tym korzystać z menedżerów haseł, które oferuje system operacyjny, przeglądarka lub zewnętrzni dostawcy. Ludzie czasami boją się, że zapomną zbyt skomplikowane hasła, ale spokojnie, są narzędzia, które to ułatwiają. Tam, gdzie to możliwe, używajmy też uwierzytelniania dwuskładnikowego.
🔒 Dziś Światowy Dzień Hasła! 🔒
Jak zadbać o bezpieczne hasła?
1. Stosuj minimum 14 dużych i małych znaków;
2. Używaj różnych haseł do różnych usług;
3. Włącz weryfikację dwuetapową;Więcej porad na stronie @CERT_Polska: https://t.co/6vhj4QVMHn pic.twitter.com/KqHkp48GaF
— NASK (@NASK_pl) May 2, 2024
Przejmowanie kont na Facebooku to jest w ogóle dosyć spory biznes. Ataki wyglądają często tak, że ktoś wysyła nam w mediach społecznościowych link do jakiegoś sensacyjnego materiału, np. o porwaniu dziecka lub jakimś przestępstwie z komentarzem “zobacz to”, “to jest bardzo ważne”, “koniecznie musisz to obejrzeć”. My dostajemy taką wiadomość niby od naszego znajomego, kogoś z kręgu naszych kontaktów w serwisie społecznościowym i w ten link klikamy. Wtedy okazuje się, że żeby zobaczyć te strasznie drastyczne treści, musimy się zalogować i wyparowuje nam z pamięci, że jesteśmy cały czas zalogowani na naszym koncie. Po kliknięciu linku przenosi nas na fałszywą stronę, na której podajemy swoje dane i w konsekwencji tracimy dostęp do własnego profilu społecznościowego.
Ostatnio na Facebooku bardzo popularne jest tzw. oszustwo na Blika.
Tak, to jest zmora, bo właśnie po to cyberprzestępcy jest nasze konto. On będzie używał go dalej, żeby oszukiwać inne osoby. Mając dostęp do naszego konta, ma też dostęp do wszystkich naszych znajomych i podszywając się pod nas, może zwrócić się do nich z prośbą: “straciłem dostęp do konta, potrzebuje czegoś na szybko, daj mi Blika lub inną szybką płatność czy przelej mi po prostu pieniądze na wskazane konto”.
Jeżeli dostajemy taką wiadomość od naszego znajomego, to tym łatwiej nam się na to nabrać. Nasze konto może być wykorzystane również do tego, żeby na wszystkich grupach, do których należymy, i do wszystkich znajomych wysłać reklamę fałszywej inwestycji.
Co można zrobić, jeżeli już padło się ofiarą oszustwa? Policja często wydaje się bezradna. Słyszy się o przypadkach, gdy ofiary oszustw odchodzą z kwitkiem z komendy. Gdzie można zgłosić takie oszustwo i co zrobić w pierwszej kolejności?
W pierwszej kolejności warto skontaktować się ze swoim bankiem, bo być może uda się zatrzymać jakąś nieautoryzowanym płatność. Aczkolwiek trzeba pamiętać, że te oszustwa związane z finansami są bardzo często tak skonstruowane, że to my podajemy wszystkie dane i w ten sposób trudno będzie odzyskać pieniądze, ponieważ zwykle łamiemy zasady bezpieczeństwa banku.
Myślę, że mimo wszystko zawsze warto skontaktować się z bankiem i oczywiście zgłosić sprawę na policję, chociaż tak jak pan mówi, z tymi zgłoszeniami bywa różnie. Na pewno warto skontaktować się też z zespołem CERT Polska. Na jego stronie jest formularz do zgłaszania incydentów i proszę się nie obawiać, można taki incydent opisać i zgłosić z linkiem do fałszywej strony.
Zastanawialiście się jak najlepiej zgłosić incydenty do naszego zespołu? Poniżej znajdziecie grafiki, które pokażą Wam jak w prosty sposób możecie przekazać do nas różne rodzaje oszustw komputerowych. pic.twitter.com/uaW6bTVOeD
— CERT Polska (@CERT_Polska) January 3, 2024
W ten sposób CERT zbiera informacje z całej Polski i ma narzędzia, żeby na przykład takie nielegalne strony blokować. Bo jedna sprawa może nie wyglądać dla policji na zbyt poważną, ale to są bardzo często całe siatki przestępcze i potem słyszymy, że dopiero po kilku latach któraś z nich zostaje unieszkodliwiania i to czasami dopiero na poziomie międzynarodowym. Także trzeba niestety pogodzić się z tym, że te pieniądze będą bardzo trudne do odzyskania, o ile w ogóle.
Jak ocenia pani prawdopodobieństwo odzyskania pieniędzy straconych przez oszustwo w sieci?
O ile już dokonaliśmy transakcji i nie da się jej zatrzymać na poziomie zablokowania przelewu, to te szanse są bardzo, bardzo niskie.
Czy warto korzystać z pomocy kancelarii prawnych, skoro szansa na odzyskanie pieniędzy jest nikła?
Wszystko zależy od naszego rachunku zysków i strat. Są osoby poszkodowane, które straciły naprawdę duże pieniądze. Wtedy warto zrobić wszystko, bo pewnie bank proceduralnie od razu powie nam, że nie ma takiej możliwości. Policja powie, że nie ma takiej możliwości. Ale zawsze jest droga sądowa, na której można udowodnić, że mimo że dokonaliśmy autoryzacji pewnych przelewów, byliśmy zmanipulowani.
Być może da się w tę stronę skorzystać z tej pomocy prawnej, ale to też są koszty, także wszystko zależy od tego, ile straciliśmy i ile zamierzamy wydać na tę pomoc prawną, bo to też nie są tanie rzeczy. Trzeba też uważać na fałszywe kancelarie, ponieważ oszuści często próbują okraść swoje ofiary po raz drugi.
Dokąd trafiają środki po opuszczeniu konta ofiary?
Śledzenie pieniędzy jest tutaj niezwykle trudne. Przestępcy posługują się kontami wynajętych tzw. słupów. Czasami można znaleźć takie ogłoszenie o pracę, która polega tylko na przelewaniu pieniędzy na inne konta. Zazwyczaj jest to właśnie praca dla tak zwanego muła finansowego lub inaczej słupa.
Tych ścieżek i kolejnych etapów na drodze wyłudzonych pieniędzy jest zwykle bardzo dużo. One wędrują między różnymi krajami, między różnymi systemami podatkowymi, także tym trudniej jest potem wyśledzić, do kogo one tak naprawdę dotarły. Wiadomo, że część z nich trafia do grup związanych z rządami autorytarnych państw. To metoda zarobkowania wykorzystywana np. w Rosji, Korei Północnej i podobnych kierunkach. Śledzenie drogi tych pieniędzy to wielomiesięczna praca związana z działaniami policji z całego świata.
Na co szczególnie uczulać naszych bliskich i osoby starsze z naszego otoczenia, żeby nie padły ofiarą oszustwa?
Warto mówić zawsze o włączaniu krytycznego myślenia, bo żaden system nie obroni nas tak, jak nasz zdrowy rozsądek i nasza własna ostrożność. W przypadku osób starszych wektorem ataku jest często rozmowa telefoniczna. Tutaj powinniśmy ostrzegać naszych seniorów czy inne osoby, które są po prostu mniej obeznane z tego typu oszustwami, że ktoś, jakiś miły pan, zadzwoni i będzie namawiał do tego, żeby przelać pieniądze na jakąś inwestycję, która przyniesie im bardzo dużą stopę zwrotu.
Uczulam wszystkich po prostu, żeby nie wierzyć w oferty, które wydają się zbyt piękne, żeby były prawdziwe. To jest niestety nasza bolączka. Jesteśmy bardzo mało odporni na tego typu oferty. Obiecywane zyski to bardzo duża pokusa, więc trzeba włączać myślenie.
Spotykacie się państwo z przestępczym wykorzystaniem kryptowalut?
Cyberprzestępcy często żądają zapłaty okupu w kryptowalutach, np. przy ataku typu ransomware, kiedy to blokują dostęp do danych. Warto również uważać na złośliwe oprogramowanie wykorzystywane przez osoby trzecie do “kopania” kryptowalut na naszym urządzeniu. Widocznymi symptomami będzie jego spowolnione działanie i przegrzewanie się. Wtedy może to być sygnał, że takie lub inne złośliwe oprogramowanie działa w tle, poza naszą kontrolą i jest wykorzystywane do tego, żeby nie dla nas, a dla kogoś innego te kryptowaluty pozyskiwać. Na szczęście jednak takie ataki są coraz rzadsze.
Gdzie można znaleźć więcej informacji na temat aktualnych zagrożeń w sieci?
W kwestii ostrzegania przed oszustwami inwestycyjnymi bardzo dużo dobrego robi KNF. Warto polecić tu ich stronę, bo oni też tworzą różne materiały i akcje informacyjne. Warto obserwować to, co NASK i zespół CERT Polska dodają w mediach społecznościowych, ponieważ publikują tam informacje o trwających kampaniach oszustów. Jeżeli pojawi się coś nowego, jakiś nowy schemat oszustwa, wykorzystanie czyjegoś wizerunku, to to się pojawi w tych mediach. Także warto śledzić te kanały.
Uwaga! Ostrzegamy przed reklamami fałszywych inwestycji, które pojawiają się na stronach ogólnopolskich portali informacyjnych.
Reklamy te zachęcają użytkowników możliwością szybkiego wzbogacenia się w krótkim czasie. W rzeczywistości reklamy prowadzą do fałszywych stron z… pic.twitter.com/DAIMJ68AA0
— CSIRT KNF (@CSIRT_KNF) May 24, 2024
Jako NASK stworzyliśmy minikampanię informacyjną wraz z Warszawskim Instytutem Bankowości na temat fałszywych inwestycji. W zeszłym roku poruszyliśmy ten temat we współpracy z KNF. W aktualnej kampanii przygotowaliśmy serię infografik i artykułów na temat fałszywych inwestycji, w których dokładnie opisujemy, jak wyglądają ich schematy, na co zwracać uwagę, w jaki sposób ochronić się przed tego rodzaju oszustwami.
Jak wielu ekspertów strzeże cyberbezpieczeństwa naszej sieci?
To nie jest informacja, którą mogę się podzielić, ale to naprawdę wysokiej klasy specjaliści.
Pamiętajmy jednak, że nikt nie ochroni nas tak, jak my sami. Zdrowy rozsądek i ostrożność to podstawa i nie powinniśmy zwalniać się z myślenia, licząc na specjalistów, gdy często jest już za późno.
Formularz do zgłaszania incydentów na stronie CERT Polska.
Kapania KNF Cyberoszustwa inwestycyjne
Zuzanna Polak – Kierownik Zespołu Budowania Świadomości Cyberbezpieczeństwa NASK, Absolwentka psychologii, od ponad 10 lat zaangażowana w działalność edukacyjno-popularyzatorską w zakresie bezpieczeństwa w internecie oraz zwalczania treści nielegalnych w NASK. Autorka publikacji na temat różnych aspektów bezpieczeństwa dzieci i młodzieży w Internecie, prelegentka na wielu wydarzeniach z branży cyberbezpieczeństwa. W latach 2012-2014 była skarbnikiem zarządu stowarzyszenia INHOPE, zrzeszającego punkty kontaktowe ds. zwalczania nielegalnych treści (hotline) w ponad 40 krajach. Obecnie zaangażowana w projekty z zakresu budowania świadomości Cyberbezpieczeństwa dla różnych grup społecznych – administracji, sektora MŚP oraz zwykłych użytkowników Internetu.
