To nie twój bank...

W komunikatach z ostrzeżeniami o atakach często słyszysz, że oszuści wabią ofiary na podrobioną stronę, łudząco przypominającą stronę internetową prawdziwego banku. Tak wyłudzają loginy i hasła do bankowości online, aby zalogować się na cudze konta, zlecić fałszywe transakcje, a potem nakłonić niczego nieświadomą ofiarę do ich potwierdzania.

Atak, w którym oszuści podszywają się pod jakąś firmę nazywamy phishingiem. Jeśli oszuści udają kogoś w rozmowie telefonicznej, takie ataki nazywamy vishingiem. A jeśli do podszywania się wykorzystują SMS-y, mowimy o smishingu. Przyjrzyjmy się tym atakom i nauczmy się je rozpoznawać.

 

Jak rozpoznać phishing?

 

Żeby phisherzy mogli Cię okraść, muszą najpierw nakłonić Cię do kliknięcia w link prowadzący do fałszywej strony internetowej. Takiego linka możesz otrzymać w wiadomości wysłanej e-mailem, w której podszyją się pod bank, w SMS-ie udającym powiadomienie od firmy kurierskiej lub przez komunikator internetowy, udając, że są zainteresowani zakupem przedmiotu, który sprzedajesz na portalu aukcyjnym. Więcej o tej metodzie oszustwa przeczytasz tu. 

 

Zbudowanie fałszywej strony, ale wyglądającej dokładnie tak jak prawdziwa, to żaden problem. Odpowiednie oprogramowanie pozwala wykonać idealną kopię dowolnej strony w mniej niż minutę. Jedyne czego nie da się podrobić, to URL, czyli adres strony, pod którym jest ona umieszczona.

 

Oszuści nie są w stanie swoich wiernych kopii umieścić pod oryginalną domeną banku - adresy fałszywek będą inne. I właśnie dlatego, podrobione strony najprościej rozpoznać po niepoprawnym adresie:

 

 

O ile patrząc na powyższy adres łatwo będzie zorientować się, że nie jest to prawdziwy adres URL logowania do banku, to niestety, niektórzy oszuści stosują różne sztuczki, które mają uśpić naszą czujność.

 

1) Mogą np. używać liter z innych języków, np. tureckiego, które są łudząco podobne do polskich odpowiedników. Czy widzisz drobną różnicę w literze k? Wiele osób może kreseczkę pod literą "k" wziąć za paproszek na ich monitorze i wprowadzi swoje hasło na fałszywej stronie banku: 

 

2) Nawet bez korzystania z zagranicznych liter można kogoś oszukać. Popatrz na tę domenę. Zwróć uwagę, że choć początek powyższego adresu (tzw. subdomena) naśladuje prawdziwy adres banku, to faktyczna domena jest niepoprawna:

 

Pamiętaj!

Adres strony internetowej składa się z kilku elementów:

Aby zweryfikować, czy jesteś na poprawnej stronie, musisz sprawdzić jej domenę. Domena najczęściej składa się z jakiejś nazwy i dwuliterowego skrótu kraju. Namierzysz ją, analizując to, co zawiera się pomiędzy drugim a trzecim slashem w adresie, czytając ten ciąg od prawej do lewej. Zobacz przykłady:

 

//subdomena1.subdomena2.niebezpiecznik.pl/ lub 
https://login.ingbank.pl/mojeing/app/#login

 

Na powyższym przykładzie mamy do czynienia z domeną: ingbank.pl ale już w przypadku:
https://login.ingbank.pl-secure-login.xyz/mojeing/app/#login

choć początek adresu jest niemalże identyczny, to domena to pl-secure-login.xyz i nie należy ona do banku.

 

Takie długie adresy często wprowadzają w błąd zwłaszcza użytkowników smartfonów, którzy klikając na pasek adresowy w przeglądarce - ze względu na wąski ekran - widzą tylko początek adresu i nie sprawdzają jego całości.

 

Dziś prawie każdy adres fałszywej strony zaczyna się od protokołu "https". Przeglądarki umieszczają przy nim symbol kłódki, ale wbrew powszechnej opinii, nie oznacza to, że łączymy się z poprawnym adresem np. banku! Kłódka symbolizuje zaszyfrowanie naszych danych podczas wysyłania ich do serwera. Problem w tym, że możemy je wysłać do złego serwera. Każda strona internetowa, na której wprowadzasz swoje hasła lub dane osobowe, powinna rozpoczynać się od https: ale obecność https: i kłódki przy adresie nie gwarantuje, że jesteś na poprawnej stronie. Tak czy inaczej, musisz sprawdzić domenę!

 

Sprawdzenie adresu to ciężka sprawa, ale można łatwiej!

 

Jak widzisz, weryfikacja tego, czy jesteśmy na poprawnej stronie wcale nie jest łatwa. Ale istnieje dobra alternatywa! Ręczne, samodzielne wpisywanie adresu swojego banku zawsze wtedy, kiedy masz potrzebę skorzystania z jego usług… albo instalacja aplikacji mobilnej i zarządzanie kontem z jej poziomu.

 

Dostajesz e-maila, który nakłania Cię do opłacenia zaległej faktury i zawiera link do "szybkiej płatności"? Ignorujesz go, otwierasz aplikację mobilną lub samodzielnie wpisujesz adres swojego banku w przeglądarkę i ręcznie zlecasz przelew. O ile oczywiście kontrahenta rozpoznajesz i faktycznie potwierdziłeś (np. dzwoniąc na infolinię), że zalegasz z płatnością.

 

Aby trochę ułatwić sobie życie, możesz też stworzyć tzw. "zakładkę" z adresem banku i umieścić ją jako przycisk na pasku skrótów w swojej przeglądarce. Dodanie zakładki w każdej przeglądarce wygląda odrobinę inaczej, ale najczęściej można ją utworzyć naciskając skrót "CTRL+D' po tym jak wejdziemy na stronę internetową banku. W niektórych przeglądarkach można też po prostu przeciągnąć adres na pasek "ulubionych" w przeglądarce.

 

 

 

Jak rozpoznać smishing?

 

Smishing w zasadzie zbyt wiele nie różni się od klasycznego phishingu opisanego powyżej. Zmienia się jedynie kanał komunikacji. Zamiast e-maila z linkiem prowadzącym do fałszywej strony banku, link dostaniesz po prostu SMS-em. Link często będzie skrócony, co uniemożliwia poznanie prawdziwego adresu, pod który zostaniesz przekierowany przed kliknięciem.

 

Nie wierz też nadpisowi czyli nazwie (lub numerowi) z którego wysyłano SMS-a. Można go łatwo podrobić. W internecie jest wiele bramek, które pozwalają wysłać SMS-a z dowolnie ustawioną nazwą lub numerem nadawcy. 

 

Przestępcy często podrabiają nadpis, podszywając się pod znane marki, np. firmy kurierskie, bo dzięki temu ich fałszywy SMS jest przez Twój telefon umieszczany w konwersacji z poprzednimi, ale prawdziwymi SMS-ami od danej firmy. To znacznie podnosi wiarygodność ataku, bo przecież wszystkie poprzednie SMS-y dotyczyły prawdziwych wydarzeń. Nigdy nie zostałeś przez nie oszukany, więc zakładasz, że i ta wiadomość nie zrobi Ci krzywdy.

 

Jeśli uwierzysz nadpisowi i treści SMS-a i zdecydujesz się na kliknięcie w link, Twoim oczom ukaże się fałszywa strona internetowa, najczęściej nie od razu banku, ale najpierw pośrednika w płatnościach. I tu kończą się różnice pomiędzy smishingiem a phishingiem, bo jeśli spojrzysz na adres strony, to szybko zauważysz, że coś jest nie tak:

 

Jak wykryć vishing?

 

Poza nękaniem ofiar fałszywymi e-mailami i SMS-ami, przestępcy coraz częściej decydują się poświęcić więcej czasu na zmanipulowanie swojej ofiary. Nic dziwnego. Staliśmy się wszyscy bardzo podejrzliwi w stosunku do wiadomości tekstowych, a w rozmowie telefonicznej wciąż sporo osób czuje się bardziej onieśmielona i uległa, mając wrażenie, że "jak dzwoni ktoś z banku, to przecież musi to być coś poważnego".

 

Co gorsza, w przypadku vishingu, przestępcy:

• podszywają się pod bankową infolinię, ustawiając jej numeru telefonu na swoim telefonie przy użyciu specjalnego oprogramowania. Jeśli masz numer infolinii swojego banku wpisany w książce kontaktowej na smartfonie, to podczas połączenia na ekranie zobaczysz dokładnie taki opis dzwoniącego, jaki sam ustawiłeś. To bardzo podnosi wiarygodność ataku.
• poprawnie odczytają Ci Twoje dane osobowe, w tym cztery ostatnie cyfry numeru karty płatniczej. Skąd je mają? Zbierają je z internetu, w tym z różnych wycieków baz danych klientów sklepów internetowych, z których w przeszłości korzystałeś, ale także z Twoich.
• mogą Cię nawet przełączać między działami, a w niektóre rozmowy wprowadzą nawet postać policjanta, aby dodać wiarygodności i powagi sprawie, z którą dzwonią.

W trakcie rozmów, fałszywi pracownicy banku będą próbować nakłonić Cię do instalacji aplikacji służących do zdalnej pomocy (m.in. TeamViewer Quick Support lub Anydesk) by przejąć kontrolę nad Twoim urządzeniem. Poproszą także o twoje dane osobowe, a także dane karty płatniczej lub kody BLIK w celu rzekomej "weryfikacji technicznej".

 

Jeśli chcesz zobaczyć jak wygląda taka rozmowa od początku do końca, zapoznaj się z tym nagraniem rozmowy z oszustem, który zadzwonił do jednego z czytelników Niebezpiecznika. 

 

Zapamiętaj! Prawdziwi pracownicy banku faktycznie mogą do Ciebie czasem zadzwonić w sprawie Twojego rachunku, ale jeśli podczas rozmowy z kimś, kto twierdzi, że dzwoni z banku masz jakiekolwiek wątpliwości, rozłącz się. Po zerwaniu połączenia sam zadzwoń na infolinię i jeśli rzeczywiście jest jakiś problem z Twoim rachunkiem, konsultant przekaże Ci taką informację.

W tym przypadku, ponieważ to Ty dzwoniłeś do banku, to masz pewność, że faktycznie rozmawiasz z bankiem. Pamiętaj tylko, aby numer do banku wybrać ze swojej książki kontaktowej a jeśli nie miałeś go wcześniej zapamiętanego, to odczytaj go z oficjalnej strony banku.

 

Podsumujmy:

• Aby wykryć fałszywą stronę internetową sprawdź dokładnie jej adres. Zlokalizuj i przypatrz się uważnie domenie, bo ta jest najważniejsza.
• Pamiętaj, że kłódka przy adresie nie oznacza, że jesteś na poprawnej stronie.
• Czyść regularnie swoje ekrany, bo coś co weźmiesz za paproszek pod nazwą domeny może Cię wiele kosztować
• Jeśli to możliwe, wchodź za każdym razem na stronę swojego banku wpisując jego adres samodzielnie lub klikając na przycisk na pasku skrótów przeglądarki. A najlepiej zainstaluj aplikację mobilną swojego banku i w ten sposób zarządzaj swoim kontem.
• Uważaj na wszystkie SMS-y z linkami do płatności, nawet jeśli pochodzą od firm, które wcześniej wysyłały Ci prawdziwe wiadomości. Nadawcę SMS-a można łatwo podrobić! Zweryfikuj prawdziwość zawartej informacji albo zadzwoń na infolinię firmy, od której rzekomo pochodzi SMS.
• Przyjrzyj się też treści wiadomości – te fałszywe mogą zawierać błędy ortograficzne, nieprawidłową składnię, literówki itp.
• Pamiętaj, że można zadzwonić do Ciebie z numeru, który dzięki specjalnemu oprogramowaniu będzie wyglądał jak numer infolinii Twojego banku. Wyświetlenie się znanego numeru lub nazwy na ekranie Twojego smartfona, nie oznacza, że dzwoni do Ciebie faktycznie ten kontakt.

Artykuł przygotował Niebezpiecznik.pl