W 2020 odnotowano ponad 322 tys. przypadków transakcji oszukańczych na łączną kwotę 264,7 mln zł. Nie ma jeszcze dokładnych danych za rok 2021, ale ze wstępnych analiz wynika, że mamy do czynienia ze zdecydowaną tendencją wzrostową - powiedział Paweł Piekutowski z CSIRT KNF.
Paweł Piekutowski jest kierownikiem Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (Zespół CSIRT KNF) działającego w Departamencie Cyberbezpieczeństwa Urzędu Komisji Nadzoru Finansowego. Mówił o danych dotyczących cyberprzestępczości w Polsce i metodach stosowanych przez komputerowych oszustów.
Jak podkreślił, CSIRT KNF skupia się przede wszystkim na statystykach dotyczących tzw. "transakcji oszukańczych", czyli takich, które "zostały zrealizowane w sytuacji braku zgody płatnika (+nieautoryzowana transakcja płatnicza+) lub też kiedy poszkodowany zostaje zmanipulowany przez oszusta do wystawienia zlecenia płatniczego (+manipulowanie płatnikiem+)". Dane te są pozyskiwane od podmiotów nadzorowanych na mocy wymogów zgłaszania nadużyć finansowych.
"Zgodnie z danymi opublikowanymi w dokumencie +Informacja na temat sytuacji sektora bankowego w roku 2020+, dwa lata temu odnotowano 322 tys. 451 przypadków transakcji oszukańczych na łączną kwotę 264,7 mln zł" - przekazał Piekutowski. "Dane na rok 2021 nie zostały jeszcze opublikowane, jednak ze wstępnych analiz wynika, że mamy do czynienia ze zdecydowanie wzrostową tendencją w tym obszarze" - zaznaczył.
Ekspert podkreślił, że "liczba transakcji oszukańczych nie przekłada się bezpośrednio na liczbę oszukanych użytkowników, gdyż przeważnie w przypadku oszustwa dochodzi do realizacji kilku transakcji z konta ofiary". "Z naszej perspektywy ciężko jest podać dokładną liczbę poszkodowanych. Opieramy się głównie na statystykach dotyczących zrealizowanych transakcji oszukańczych. Jednak z naszych obserwacji wynika, że liczba poszkodowanych z roku na rok wzrasta. Przestępstwa dotyczą głównie osób fizycznych" - dodał.
"Zgłoszenia bezpośrednio od poszkodowanych przesyłane do CSIRT KNF stanowią tylko niewielką część wszystkich przypadków kradzieży środków. Dlatego w swoich analizach opieramy się na transakcjach oszukańczych raportowanych przez banki, które pokazują nam skalę tego zjawiska" - wyjaśnił.
Piekutowski mówił o metodach najczęściej stosowanych przez cyberprzestępców. Wśród tego rodzaju praktyk wymienił rozsyłanie wiadomości SMS lub emaili z linkami do fałszywych stron płatności internetowych - tzw. phishing.
"Oszuści przesyłają do potencjalnej ofiary wiadomości SMS czy emaile, w których podszywają się pod inną instytucję, przykładowo: bank, dostawcę energii lub firmę kurierską. W treści próbują nakłonić użytkownika do kliknięcia przesyłanego przez nich linku, który prowadzi do fałszywej strony płatności. Jeżeli użytkownik wprowadzi na takiej stronie swoje hasła lub numery kart płatniczych, zostaną one automatycznie przesłane do oszustów. Następnie przestępcy wykorzystają skradzione dane do kradzieży pieniędzy z konta ofiary" - powiedział ekspert.
Przestępcy stosują zbliżoną metodę również do instalowania na telefonach złośliwego oprogramowania. "Podobnie jak w scenariuszu z linkami do fałszywych płatności, przestępcy podszywają się pod inny podmiot, po czym rozsyłają spreparowane wiadomość SMS zawierające linki prowadzące do złośliwego oprogramowania na urządzenia mobilne" - wyjaśnił kierownik Zespołu CSIRT KNF. "Po zainstalowaniu dochodzi do infekcji naszego telefonu komórkowego. W zależności od uzyskanych uprawnień cyberprzestępcy mogą czytać nasze SMS-y, mieć wgląd do danych kontowych czy też próbować wykradać hasła do aplikacji bankowych" - dodał.
Ekspert zwrócił również uwagę na oszustwa telefoniczne, czyli tzw. vishing. "To rodzaj oszustwa, w którym przestępca wykonuje połączenie telefoniczne do użytkownika, podszywając się pod inną instytucję. Najczęściej są to banki, instytucje publiczne lub firmy inwestycyjne" - wyliczył Piekutowski. "W trakcie połączenia najczęściej dochodzi do manipulacji ofiarą i próby nakłonienia jej do instalacji oprogramowania do pomocy zdalnej" - zauważył.
Przedstawiciel Urzędu KNF wyjaśnił, że "przestępcy wykorzystują to legalnie działające oprogramowanie, które służy do zdalnego zarządzania i konfigurowania urządzenia, do podglądania i manipulowania operacjami realizowanymi przez użytkownika na komputerze". "Użytkownik w trakcie połączenia telefonicznego jest też często nakłaniany do realizacji przelewu na podstawione przez oszustów konto" - powiedział.
Według eksperta do najczęstszych scenariuszy tego rodzaju cyberprzestępstw należy podszywanie się pod przedstawiciela banku, który dzwoni z informacją o nieprawidłowościach na koncie lub o udaremnionej próbie oszustwa. Osoba po drugiej stronie połączenia przekonuje, że konieczne jest podjęcie natychmiastowych działań, po czym, wywierając silną presję, manipuluje użytkownikiem.
Inną metodą stosowaną przez komputerowych przestępców są wyłudzenia na fałszywe inwestycje. "Oszuści za pomocą reklam zamieszczanych w mediach społecznościowych nakłaniają użytkowników do odwiedzenia spreparowanych stron internetowych. Reklamy te często wykorzystują wizerunki dużych organizacji lub też znanych celebrytów. Następnie kuszą potencjalną ofiarę ogromnymi zyskami bez ryzyka" - wskazał Piekutowski.
"Po odwiedzeniu podstawionej strony i wprowadzeniu tam numeru telefonu, kontaktuje się z nami osoba podająca się za doradcę inwestycyjnego. Następnie podobnie jak w przypadku vishingu nakłania nas do instalacji aplikacji do pomocy zdalnej lub też przelania środków inwestycyjnych na wskazane przez oszustów konto" - doprecyzował.
Z badania CSIRT KNF przeprowadzonego między 7 grudnia 2021 a l1 lutego 2022 r. wynika, że firmą, pod którą najczęściej podszywali się przestępcy w ramach "fałszywych inwestycji", był PKN Orlen. W analizowanym przez ekspertów 66-dniowym okresie wizerunek koncernu wykorzystywało 826 fałszywych reklam - 62 proc. ogółu wykrytych.
Kierownik Zespołu CSIRT KNF odniósł się również do oszustw na portalach sprzedażowych.
"Oszuści odzywają się do osób sprzedających na popularnych portalach ogłoszeniowych i udają zainteresowanie kupnem towaru. Następnie przesyłają sprzedającemu link, który rzekomo ma prowadzić do strony z odbiorem środków. W rzeczywistości link prowadzi do fałszywej strony, która wyłudza od użytkownika numer karty płatniczej albo hasło do bankowości elektronicznej" - wskazał Paweł Piekutowski.
"Stąd tak ważne jest, by dokładnie czytać SMS-y lub powiadomienia autoryzacyjne w aplikacji mobilnej banku. Zawsze sprawdzajmy dokładnie, co autoryzujemy, na jaką kwotę i na jaki numer. Sprawdźmy dwa razy rodzaj operacji i upewnijmy się, czy nie jest to przypadkiem dodanie konta zaufanego lub zmiana numeru telefonu. Powinniśmy także dokładnie weryfikować adresy stron internetowych, na których wprowadzamy nasze hasła do bankowości elektronicznej" - podsumował ekspert.