11:21
18/2/2022

Odkąd w internecie pojawiły się pieniądze, mamy problem z atakami komputerowych złodziejaszków. W sieci możemy łatwo kupować, sprzedawać, płacić i zarabiać, ale podczas każdej z tych czynności trzeba uważać, bo przestępcy do perfekcji opanowali różne scenariusze ataków. I na kupujących, i na sprzedających i na płacących i na zarabiających. W tym artykule przedstawimy kilka sztuczek oszustów, które warto znać.

I już na początku mamy prośbę. Prześlijcie linka do tego wpisu swoim bliskim, niezależnie od tego jak wysoko lub nisko oceniacie ich wiedzę z cyberbezpieczeństwa.

Wśród ofiar zgłaszających się w ostatnich miesiącach do naszej redakcji zdarzali i młodzi, obyci z internetem i starsi, mniej doświadczeni Polacy. Było też kilku pracowników z wieloletnim (!) stażem w IT.

Dlaczego złodziejom udało się ich wszystkich okraść? Bo dziś ataków jest naprawdę sporo, a to oznacza, że z oszustem bliska Wam osoba może się zetknąć akurat wtedy, kiedy jest przepracowana, zmęczona albo tuż po jakiejś transakcji. W takiej chwili nawet niedopracowany atak może sprawić, że złodziejowi uda się podejść kogoś, kto zazwyczaj jest całkiem uważny i dość świadomy zagrożeń…

Ten artykuł powstał dzięki wsparciu XTB, jednego z największych domów maklerskich w Polsce, który oferuje możliwość inwestowania w wiele rodzajów aktywów: akcje, ETF, instrumenty CFD na surowce i kryptowaluty. XTB chce zwiększyć poziom bezpieczeństwa i świadomości zagrożeń nie tylko swoich klientów, ale wszystkich zainteresowanych inwestowaniem przez Internet. Dlatego postanowił we współpracy z nami przygotować kampanię edukacyjną poświęconą cyberbezpieczeństwu inwestycji online. Zaczynamy od opisu najpopularniejszego w ostatnich dniach ataku na tzw. “nieodebranego Bitcoina”.

“Chciałem zarobić, ale straciłem wszystkie oszczędności”

W ostatnim czasie coraz częściej słyszymy, że oszuści dzwonią do kogoś, podając się za pracowników nie tylko banków, ale także różnych firm inwestycyjnych. Łatwo jest dać się nabrać, ponieważ oszuści posługują się prawdziwymi nazwami podmiotów z branży finansowej i mogą też spoofować faktyczny numer telefonu firmy, pod którą się podszywają. Ten atak może zwieść nawet czujniejszych internautów. Dlaczego? Powodów jest kilka:

  1. Przede wszystkim oszuści działają na masową skalę, a to oznacza, że na 1000 wykonanych telefonów mają szansę trafić kogoś, kto faktycznie interesował się inwestycjami i posiada lub posiadał np. rachunek maklerski lub konto na giełdzie korzystał z aplikacji związanej z krytpowalutami. I “odruchowo” założy, że telefon jest związany właśnie z tymi kontami.
  2. Po drugie oszuści przedstawiają się imieniem i nazwiskiem faktycznego pracownika firmy, pod którą się podszywają (dane znajdują na LinkedIn czy GoldenLine)
  3. Po trzecie, korzystają z profesjonalnego “branżowego” słownictwa, nie zawsze proszą o wrażliwe dane, co usypia czujność, a niekiedy podają nawet prawdziwy numer licencji maklera giełdowego (znajdują je na stronie Komisji Nadzoru Finansowego).

 
Warto więc zapamiętać: w przypadku tych ataków w rozmowie telefonicznej możesz mieć trudność aby stwierdzić, czy rozmawiasz z prawdziwym pracownikiem domu maklerskiego czy kimś kto się pod niego podszywa. Dlatego pamiętaj, że zawsze możesz bez obaw się rozłączyć. A potem samodzielnie zadzwonić na numer infolinii instytucji finansowej podany na jej oficjalnej stronie internetowej. Wtedy wiesz, że rozmawiasz z konsultantem prawdziwej firmy i od razu stanie się jasne, czy dzwoniąca do Ciebie przed chwilą osoba rzeczywiście starała się z Tobą skontaktować. Najczęściej jednak usłyszysz gratulacje — że rozpoznałeś oszusta i nie dałeś się podejść.

Rozpoznanie oszusta jest też możliwe także wsłuchaniu się w to, co nam proponuje i jak prowadzi rozmowę…

Scam na zapomnianego bitcoina

Z informacji docierających do działu bezpieczeństwa XTB wynika, że popularnym obecnie sposobem na rozpoczęcie rozmowy z ofiarą jest próba przekonania jej, że na jednym z jej starych rachunków są środki, które trzeba wypłacić. Posłuchajmy relacji jednej z ofiar tego oszustwa:

“Zadzwonili do mnie i powiedzieli, że na moim starym rachunku była włączona jakaś usługa autoinwestowania i że ona wygenerowała mi 0,07 bitcoina a teraz muszę go wypłacić, bo oni te rachunki zamykają. Jak tego nie zrobię to mi przepadnie równowartość 12 tysięcy złotych. Pokazali mi nawet adres portfela w serwisie blockchain z tą kwotą. Serwis był prawdziwy. Te bitcoiny tam faktycznie były. Ale to nie był mój adres portfela”

Część z ofiar skuszona takim niespodziewanym zyskiem wchodzi w rozmowę z oszustami. Wtedy dowiadują się, że z wypłaty musi zostać potrącona pewna prowizja i że zgodnie z wytycznymi KNF transakcja musi być rejestrowana. W tym celu oszuści nakłaniają do instalacji “specjalnych aplikacji”: AnyDesk lub Teamviewer. Te aplikacje dają jednak oszustom pełną kontrolę nad komputerem ofiary. I w ten sposób mogą uzyskują dostęp do rachunku inwestycyjnego lub konta bankowego ofiar. A potem wyprowadzają z niego środki.

Wariantów tego scamu jest więcej. Czasem musimy przelać 100 dolarów prowizji, którą należy wpłacić samodzielnie, ze swojego rachunku bankowego, jeszcze przed zleceniem wypłaty kryptowaluty aby odblokować środki. Czasem musimy się dodatkowo uwierzytelnić podając numer karty płatniczej przypisanej do rachunku…

Warto zapamiętać: prawdziwi konsultanci instytucji finansowych nigdy nie poproszą Cię w trakcie rozmowy ani o zainstalowanie aplikacji autoryzacji, zdalnej kontroli (np. AnyDesk), ani też nie będą Cię wypytywać o dane związane z kartą płatniczą.

Dlaczego oszustom się udaje?

Oszuści, kontaktując się z potencjalnymi ofiarami, często wspominają o Bitcoinie lub generalnie o kryptowalutach. Te popularne na przestrzeni ostatnich lat aktywa znacznie zyskiwały na wartości, pomnażając nawet kilkunastokrotnie majątki osób, co było chętnie nagłaśniane w mediach. Kto nie słyszał o chociaż jednej historii o kimś, kto wykupił parę Bitcoinów, kiedy kosztowały one jeszcze kilka dolarów, po czym zapomniał o nich, aby obudzić się po kilku latach jako milioner?

Dlatego wiele osób, które tylko otarły się o “inwestowanie”, chcąc ochronić swoje pieniądze przed inflacją, hasła takie jak “kryptowaluty” czy “Bitcoin” kojarzą właśnie z potencjalnie wysokimi zyskami. Wtedy informacje o tym, że rzekomo posiadają jakieś kryptowaluty na swoim rachunku wydaje się bardzo atrakcyjna i często wyłącza logiczne myślenie…

Ponieważ przestępcy wciąż dopracowują scenariusze ataków, aby było one jeszcze bardziej wiarygodne, wydaje się że najlepszą radą, jaką warto zapamiętać jest ta. Jeśli ktoś zadzwoni do Ciebie w sprawie Twoich pieniędzy/oszczędności, to po prostu:

rozłącz się a potem sam zadzwoń do tej instytucji.

Jeśli kontakt był prawdziwy, stracisz minutę na wybranie numeru, ale wciąż dowiesz się o co chodziło. Ale jeśli za połączeniem, które odebrałeś, stali złodzieje, to dzięki tej dodatkowej minucie właśnie uratowałeś się przed utratą swoich oszczędności.

Temat ataków wymierzonych w nasze oszczędności będziemy kontynuować w kolejnych artykułach. Ale jeżeli już teraz chcesz poczytać o innych zagrożeniach, na które narażeni są inwestujący przez internet, to zajrzyj na specjalną podstronę w serwisie XTB.

Przeczytaj także:





Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

27 komentarzy

Dodaj komentarz
  1. Jest jeszcze jeden interesujący wariant scamu z bitcoinem. Jego przebiegłość polega na tym, że pozwala on nam wypłacić pieniądze – niedużą ilość (być może przy okazji przekazując dodatkowe dane). jednak wtem wartość “naszego portfela” spada poniżej jakiegoś progu do wypłat i trzeba dopłacić…

    Partnerstwo z XTB fajne… Mam tam konto i nie ma żadnego 2FA…

    • 95% klientów XTB traci swój kapitał. Jak to mówią kasyno zawsze wygrywa.

    • Paweł, tak na szybko to nie kojarzę ŻADNEJ instytucji finansowej, która oferuje 2FA ale takie sensowne z kluczem fizycznym. Trochę to słabe…

  2. Technologia, automatyzacja i internet zbyt szybko się rozwija w stosunku do niestety naszej wiedzy. Niestety nie ma nic za darmo, a nabierają się naiwni lub pazerni. Dlatego jak dzwonią z banku zawsze twierdzę, że jak ja będę potrzebował sam się zgłoszę bo nie wiem, z kim naprawdę rozmawiam.

    • Poczekaj aż Ci latka polecą i zaczniesz nie nadążać za postępem technologicznym. Jeśli nie masz wiedzy z jakiegoś obszaru, to inna osoba mająca taką wiedzę będzie w stanie wcisnąć Ci KAŻDY kit. Kwestia odpowiedniego podejścia i urobienia ofiary.

    • @Paweł

      I dlatego warto przyjąć zasadę bardzo ograniczonego zaufania do obcych kontaktujących się z nami z własnej inicjatywy. “Nie ma darmowych obiadów”.

  3. Do mnie dziś zadzwonili podali mi moje dane prawdziwe z miastem jak zapytałem do kogo dzwonią i ze niby w 2020 byłem na giełdzie jakiejś btc i musza mi przelać 0.32 btc ciekawe skad dane

  4. Do ostatniej rady: “rozłącz się a potem sam zadzwoń do tej instytucji.” Dodałabym, żeby samodzielnie wyszukać nr do tej instytucji. Kiedyś pani z banku, na moją podejrzliwość, czy aby na pewno dzwoni z banku, powiedziała, żebyśmy się rozłączyły i żebym oddzwoniła na nr, który do mnie dzwonił….

    • No ale tak jest:
      “Dlatego pamiętaj, że zawsze możesz bez obaw się rozłączyć. A potem samodzielnie zadzwonić na numer infolinii instytucji finansowej podany na jej oficjalnej stronie internetowej. Wtedy wiesz, że rozmawiasz z konsultantem prawdziwej firmy i od razu stanie się jasne(…)”.

  5. Dokładnie przejrzałem stronę http://www.xtb.com/pl i nie znalazłem wyczerpującego opisu mechanizmów bezpieczeństwa stosowanych przez tą platformę. Są tylko bardzo ogólne informacje na ten temat. Nie udało mi się sprawdzić jakie metody 2FA są stosowane oraz jakie procedury są przewidziane w przypadku gdy inwestor zapomni hasła dostępu.
    Moim zdaniem na stronach Binance, Coinbase, Kraken oraz niektórych polskich banków opis zasad bezpieczeństwa jest znacznie lepszy niż na http://www.xtb.com/pl. Uważam, że platforma powinna nad tym popracować.

    • Nie ma 2FA :)
      Aby wypłacić pieniądze musisz dodać konto bankowe na dane zgodne z danymi właściciela konta XTB. Da się to ogarnąć ale jest to jakieś utrudnienie.

      Nieco gorzej jak ktoś będzie chciał namieszać – bezpośrednio po pokonaniu hasła można zawierać transakcje.

    • @ Paweł
      Bez 2FA można łatwo uzyskać dostęp do konta i:
      1) tak jak piszesz namieszać,
      2) podejrzeć dane osobowe klienta (chyba, że są częściowo wygwiazdkowane/zamaskowane, ale na ten temat też nie ma żadnej informacji – są podmioty, które o tym informują ) i użyć je do popełnienia dalszych przestępstw,
      3) podejrzeć stan posiadania klienta – jeśli jest to zamożny klient można przeprowadzić bardziej spersonalizowany atak.

  6. Tytuł idealnie pasuje do sponsora i jego podejścia do wystawiania pitu :)

    • Trochę nie rozumiem tej nagonki w sprawie PIT na XTB. Dom dostał wytyczne od KIS, więc musi się do nich zastosować, a widzę, że niektórzy inwestorzy oburzeni.
      Czy jest powód, skoro XTB wystawia teraz zamiast PIT dokument z rozliczeniem i jedyne co trzeba zrobić to skopiować dwie kwoty do swojego PIT`a. Tyle.
      Jak ludzie, którzy tego nie potrafią ogarnąć w ogóle mogą inwestować i odnajdywać się w analizie spółek giełowych i innych instrumetach finansowych jeśli nie potrafią skopiować dwóch liczb? Nie pojmuję tego.

    • Dodaj jeszcze fakt, że umiejętność przepisania danych z PIT-11 nie wyczerpuje minimalnego zakresu wiedzy w zakresie podatków od zysków kapitałowych.

      “Jak ludzie, którzy tego nie potrafią ogarnąć w ogóle mogą inwestować i odnajdywać się w analizie spółek giełdowych i innych instrumentach finansowych (…)?”
      Odpowiedź na to pytanie znajduje się w disclaimerze :)
      “72% rachunków inwestorów detalicznych odnotowuje straty w wyniku handlu CFD u niniejszego dostawcy.”

  7. Dobrze wydane pieniądze na reklamę. Brawo XTB!

  8. Kilka dni temu mialem rzekomy telefon z banku. Pani ladnie sie przedstawila a chwile wczesniej otrzymalem przed jej telefonem sms ze zablokowano trancakcje na kwote£600. Pani oznajmila ze dzwoni z banku i ponic ktos probowal cos kupic w Kaliforni a oni zablokowali ta tranzakcje. W moim przypadku taka tranzakcja jest nie mozliwa gdyz taka tranzakcje musze sam potwierdzic za pomoca card reader. Moje pytanie bulo jedne, Rozumiem ze mam zglosic to na policje? I w tym momencie Pani sie rozlaczyla. Chwile pozniej wszedlem na europejska strone rejestracji scamow i podalem ten numer.

    • Podaj adres tej strony, bo pierwsze słyszę o czymś takim…

  9. Wasze rady, są z palca, i warte tyle co nic. Rozłącz się i połącz z instytucją…. Tia.. Jeśli finalizujesz jakikolwiek zakup kredytowy w santander, dzwoni do ciebie konsultant z kwestiami domknięcia procedury. Ale jeśli nie odebrałeś, spróbuj się dodzwonić a ten nr.. Mają tylko wyjście, z zewnątrz nie dodzwonisz się… Pekao, tydzień temu Czat. Dzień dobry. Miałem dziwny telefon, dziwne pytania, zachowanie. Czy to wasz pracownik? Nr xxx xxx xxx. Przykro mi, nie jestem w stanie ustalić, czy to nasz pracownik. Czy mogę jeszcze w czymś pomóc?

    • Ale jakie dziwne pytania, zachowania? Czy ktoś kazał podać hasło do konta, instalować Teamviever czy biec do bankomatu i wpłacać blikiem kasę na obce konto?

    • @Borys

      W innym banku miałem podobną sytuację.

      Właśnie takie nakłanianie ludzi do naginania zasad bezpieczeństwa “dla nas zrób wyjątek, jesteśmy bezpieczni” robi ofiarom wodę z mózgu i wystawia ich na tacy oszustom.

      Nie mam pomysłu jak z tym walczyć. W tamtej sytuacji zmieniłem bank. Ale od tego czasu ta plaga rozlała się wszędzie.

  10. Cały ten artykuł można skrócić do jednego zdania. Co by typ nie mówił to nie wolno podawać żadnych danych, ani instalowac żadnego programu.

  11. a tymczasem Inteligo dzwoni do nowych klientów i pod pozorem weryfikacji wypytuje o wszystkie wrażliwe informacje. oczywiście na stronie w zasadach bezpieczeństwa piszą, że nigdy tego nie robią…

  12. TAV ma świętą rację, ja mam swoje latka bo już 59 w tym roku i mam info do Paweł -spróbuj mi coś wcisnąć albo namówić na cokolwiek – NIEWYKONALNE !!! Używam tylko gotówki sprawy załatwiam na miejscu w bankach ( w kilku mam konta żeby było bezpieczniej ) możesz dzwonić do mnie codziennie i nic to nie da, nie rozmawiam z kimś kto do mnie dzwoni w żadnych sprawach, tylko jeśli ja dzwonię do firm itd. to jest proste, tylko wystarczy używać mózgu, pozdrawiam :-)

  13. toja 2022.02.19 00:19 | # |
    Ale jakie dziwne pytania, zachowania? Czy ktoś kazał podać hasło do konta, instalować Teamviever czy biec do bankomatu i wpłacać blikiem kasę na obce konto?

    Ulżyło ci? Nie,nie mówił o bliku,haśle,etc,etc. Po prostu dziwnie pierniczył,a jakieś dane jednak posiadał. Za mocno nie fiksuj na pytania o blik ,czy hasło,bo to chyba nie jedyna metoda “wykolegowania”… Także ten….

  14. Artykuł o cybersecurity sponsorowany przez XTB, który nawet nie chce wprowadzić 2FA do logowania i sam dostawał kary za okradanie swoich klientów? XDD

  15. Wczoraj do mnie dzwonił oszust, dwa razy. Też historyjka, że mam jakieś bitcoiny i muszę wypłacić.

    Co ciekawe trafił, faktycznie miałem konto na Blockchain… A żeby jeszcze było ciekawiej, to faktycznie znalazłem na innym starym koncie jakieś zapomniane bitcoiny! Więc wyjątkowo potencjalnie miał szansę mnie zrobić na szaro …

    Ale był wyjątkowo nieuprzejmy, miał pretensje do mnie o różne rzeczy. I średnio mu szło tłumaczenie po co dokładnie dzwoni. Pomijam już wschodni akcent.

    A policja ma na to wywalone…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: