SMS-owe oszustwa wciąż mają się świetnie. Klienci nieświadomie oddają przestępcom tysiące złotych, myśląc że dopłacają niewielkie kwoty do przesyłki kurierskiej lub za przedłużenie ogłoszenia na portalu aukcyjnym. Opisywaliśmy już kilka takich przypadków. W lutym przed pułapkami oszustów ostrzegały też same banki.
Na taki klasyczny atak phishingowy dała się nabrać klientka Santander Bank Polska. Kobieta chciała dopłacić zaledwie trzy złote do rzekomej faktury swojemu operatorowi telekomunikacyjnemu. Zalogowała się (na podrobionej stronie) do bankowości przez fałszywą stronę PayU, zdradzając przestępcom dane do logowania i ostatecznie straciła dziewięć tysięcy złotych.
Brak podstaw do reklamacji
W nadziei na odzyskanie skradzionych pieniędzy złożyła w swoim banku reklamację. Teraz Bankier.pl informuje, że bank rozpatrzył ją negatywnie uzasadniając, że "nie doszło do naruszenia sieci teleinformatycznej".
Nic dziwnego. Bank nie miał możliwości weryfikacji, czy klientka nie padła właśnie ofiarą oszustwa. Można powiedzieć, że ze swojej strony usługę polegającą na przekazaniu pieniędzy wykonał poprawnie. Można więc się spodziewać, że również inne banki będą odrzucać podobne reklamacje.
Fałszywe wiadomości SMS o niedopłacie Fot. pxhere.com/Niebezpiecznik.pl
Schemat działania przestępców identyczny
Schemat tego oszustwa był identyczny, jak w bardzo wielu innych przypadkach, o których pisaliśmy. Ofiara jest przenoszona na fałszywą, do złudzenia podobną stronę pośrednika, a następnie podrobiony serwis transakcyjny banku. Strona internetowa w rzeczywistości służy przestępcom do pozyskania danych logowania do banku ofiary.
Przestępcy mając login i hasło w tym samym czasie wykonują inną operację (np. utworzenie szablonu płatności lub wykonanie przelewu na znacznie wyższą kwotę) na prawdziwym koncie bankowym ofiary. Ta wpisując kod SMS na należącej do oszustów podrobionej stronie tak naprawdę oddaje im hasło do zatwierdzenia prawdziwej operacji, o której nawet nie wie.
Fałszywa bramka płatnicza Fot. Niebezpiecznik.pl
Jak chronić się przed atakami?
Przede wszystkim warto dokładnie sprawdzić wiadomości SMS zawierające prośbę o przelanie pieniędzy. Operatorzy telekomunikacyjni czy banki nie proszą o dopłaty podając w treści SMS-a linki kierujące do operatorów płatności. Jeśli już w taki klikniemy, wystarczy sprawdzić nazwę strony internetowej, aby zorientować się, że nie jest prawdziwa.
Ogromnie istotne jest też, aby zwracać szczególną uwagę na treść SMS-a z kodem od banku. Sprawdzić, czy zgadza się rodzaj dyspozycji (przelew czy zlecenie stałe), numer rachunku odbiorcy z tym widniejącym na ekranie komputera oraz kwota przelewu.
Warto wiedzieć też, że powyżej opisany rodzaj ataku phishingowego to nie jedyny, z jakim możemy zetknąć się w ostatnim czasie. Już od dawna po sieci grasują wirusy zamieniające skopiowane na komputerze numery kont. W zeszłym miesiącu spółka Polskiej Grupy Zbrojeniowej przez nieuwagę przelała około cztery miliony złotych na konto podmienione przez cyberprzestępców.
