Tylko w marcu odnotowano ponad 100 różnych stron udających pośredników płatności - podaje Europejskie Centrum Konsumenckie Polska. Problem jest poważny, metody stosowane przez "cyberzłodziei" coraz bardziej wyrafinowane, a rozmiar potencjalnych strat - ogromny.
ECK alarmuje o wysypie zidentyfikowanych prób podszywania się pod strony obsługujące szybkie płatności (np. Dotpay, PayU, Przelewy24), które w rzeczywistości nie mają nic wspólnego z oficjalnymi platformami. Wzorowane na dobrze znanych standardach strony mają za zadanie udawać operatorów płatności, a w rzeczywistości pomóc w zebraniu wrażliwych danych, które następnie posłużą do np. wyprowadzenia środków pieniężnych z kont nieuważnych klientów banków.
To polowanie na klientów banków
Wspólne ostrzeżenie w tej sprawie wydało w czwartek kilka instytucji: Prokuratura Krajowa, Komenda Główna Policji, Urząd Ochrony Konkurencji i Konsumentów, FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP i właśnie ECK. Informację tej samej treści wysłały do swoich klientów banki - przykładowo PKO Bank Polski powiadomił użytkowników bankowości mobilnej pushem, Getin Bank zamieścił informację na swojej stronie internetowej.
Uczulają, że na działania cybeprzestępców szczególnie uczuleni są użytkownicy bankowości internetowej i mobilnej, dokonujący zakupów w sieci. To ich bowiem - różnymi metodami (linki w SMS-ach, e-mailach, fałszywe sklepy internetowe) - próbuje się przekierować zamiast na właściwą stronę, z poziomu której można zalogować się do banku, żeby dokonać płatności, na "podstawioną" witrynę, która tylko platformę do szybkich płatności udaje.
Na celowniku złodziei są loginy i hasła logowania do systemów bankowości elektronicznej. Będąc w ich posiadaniu, mogą pozbawić klienta banku środków zdeponowanych na rachunku, które często stanowią oszczędności całego życia. A to tylko jedno z ryzyk. Tożsamość nieświadomych klientów banków może zostać wykorzystana do zawierania różnorakich umów (np. o udzielenie pożyczki), których konsekwencjami zostaną obarczone w przyszłości ofiary.
Kosztowna naiwność
Jak zminimalizować ryzyko wpadnięcia w podobne pułapki zastawiane przez cyberprzestępców? Wielokrotnie uczulaliśmy, żeby nie klikać w linki kierujące do takich stron a pochodzące z niepewnych źródeł. Szczególną ostrożność należy zachować, odczytując powiadomienia z rzekomo konieczną do uregulowania płatnością - zaległą fakturą, mandatem etc.
W przypadku podejrzenia, że wiadomość nie pochodzi od firmy, za którą podaje się jej nadawca (np. niepokojąca jest domena, z której wysłano e-mail), przed wykonaniem przelewu warto skontaktować się z operatorem telekomunikacyjnym, sklepem czy serwisem internetowym w sprawie rzekomego wezwania do zapłaty. Konsekwencje braku czujności w takich przypadkach opisywaliśmy m.in. w artykułach:
– Jeśli podejrzewasz, że jesteś ofiarą internetowego oszustwa, zgłoś to jak najszybciej do swojego banku, a następnie zespołowi reagowania na incydenty CERT.PL (pod adresem https://incydent.cert.pl/) oraz najbliższej jednostce policji. Wskazane powyżej instytucje przekażą ci informacje na temat kolejnych działań. Masz też prawo złożyć reklamację do swojego banku – informują instytucje zaangażowane w akcję edukacyjną.
MW