Dzwonili do Ciebie cyberprzestępcy? To nie znaczy, że masz Pegasusa. Ale pieniądze możesz stracić

Bartłomiej Pawlak
Nie trzeba Pegasusa, aby przejąć telefon ofiary lub zmusić ją do wykonania niechcianego przelewu. Dla przeciętnego Kowalskiego znacznie groźniejszy jest spoofing. To właśnie ta forma cyberataku sprawia, że Polacy przez nieuwagę tracą swoje dane lub tysiące złotych. Tłumaczymy, jak działa spoofing i jak się przed nim chronić.
Zobacz wideo Czy Polska posiada system Pegasus? Pytamy wiceministra obrony narodowej

O oprogramowaniu szpiegowskim Pegasus jest dziś niezwykle głośno, bo od tygodni nie cichną echa afery związanej z możliwym wykorzystaniem tego systemu przeciwko znanym osobom nieprzychylnym władzy. Nie oznacza to jednak, że każda infekcja telefonu złośliwym oprogramowaniem to efekt działania Pegasusa.

Nie każdy atak hakerski to atak Pegasusem

Afera związana z wykorzystywaniem Pegasusa sprawiła, że wiele osób zaczęło bać się ataku na swój telefon. Jeszcze inni obwiniają Pegasusa o każdy atak hakerski, oszustwo albo próbę przejęcia kontroli nad kontem społecznościowym czy bankowym, o jakim usłyszą. To oczywiście nieprawda.

Pegasus to wysoce specjalistyczne oprogramowanie szpiegowskie, które służy przede wszystkim do prowadzenia podsłuchu ofiary. I - co bardzo istotne - w taki sposób, aby nikt nie zorientował się, że podsłuch jest lub był prowadzony. Pegasus jest niezwykle skuteczny, ma ogromne możliwości inwigilacji i... jest niedostępny dla zwyczajnych cyberprzestępców.

Izraelska firma NSO Gorup deklaruje, że licencję na wykorzystanie oprogramowania sprzedaje jedynie rządowym agencjom bezpieczeństwa wybranych państw. Na dodatek za szpiegowanie przy wykorzystaniu tego oprogramowania każe sobie płacić ogromne pieniądze. Eksperci szacują, że koszt włamania na telefon jednej osoby może wynosić od kilkunastu do kilkudziesięciu tysięcy dolarów.

Więcej o tym, czym jest i jak działa Pegasus, pisaliśmy w poniższym artykule:

To nie Pegasusa powinien obawiać się zwykły Kowalski

Z powodu ograniczonej dostępności i bardzo wysokich kosztów przypadki wykorzystywania Pegasusa należą raczej do rzadkości. W różnych (przede wszystkich niedemokratycznych) krajach Pegasusem atakowani byli głównie dziennikarze, politycy opozycji i aktywiści, którzy w jakiś sposób mocno podpadli władzy.

Zwykły Kowalski nie ma się czego obawiać. Służby żadnego kraju raczej nie będą miały ochoty wydawać tysięcy dolarów tylko po to, aby przejrzeć jego zdjęcia z wakacji, przeczytać SMS-y czy nawet dostać się do jego bankowości mobilnej.

Spoofing, czyli dzwonią udając pracowników banku

Jest za to mnóstwo cyberataków, których Kowalski już powinien się obawiać. Są to proste, ale - jak się okazuje - wyjątkowo skuteczne sposoby, którymi cyberprzestępcy posługują się na co dzień. Od rozsyłania wiadomości z linkiem prowadzącym do strony ze złośliwym oprogramowaniem, przez odnośnik do fałszywej bramki płatności online, po podszywanie się pod kogoś podczas rozmowy telefonicznej.

To właśnie ten ostatni sposób - nazywamy go spoofingiem - stał się w ostatnich tygodniach wyjątkowo dużym problemem w Polsce. Spoofing telefoniczny to podszywanie się pod numer telefonu (najczęściej) godnej zaufania osoby, instytucji lub firmy po to, aby oszukać lub wymusić jakieś działanie ze strony ofiary. Przestępcy mają sposoby na to, aby wyświetlić na telefonie innej osoby fałszywą nazwę dzwoniącego (np. "Bank"). I wcale nie trzeba w tym celu hakować czyjegokolwiek telefonu.

W ten sposób oszuści mogą podszywać się chociażby pod wspomniany bank i namawiać do zainstalowania aplikacji, która rzekomo jest oficjalnym i bezpiecznym programem. Wszystko po to, aby przejąć kontrolę nad prawdziwą aplikacją bankową i w konsekwencji środkami zgodzonymi na koncie.

Posłuchaj podcastu To, jak działa spoofing, tłumaczył również Daniel Maikowski i Robert Kędzierski w podcaście TechnoTerapia

Tak wygląda próba oszustwa

Zazwyczaj przestępcy mają przygotowany jakiś scenariusz. Celem jest wywołanie strachu oraz sprawienie, aby potencjalna ofiara nie miała czasu na zastanowienie się nad sytuacją i tym, co robi na swoim telefonie. Często oszuści twierdzą więc, że doszło np. do nieautoryzowanej próby przelewu środków z naszego konta, a jedynym sposobem, aby podobnym próbom zaradzić, jest instalacja rzekomej nowej aplikacji banku.

Tłumaczą, że trzeba działać szybko, bo oszczędności mogą zniknąć w każdej chwili, jednak z pomocą "pracownika" banku w kilka minut zabezpieczymy środki, rzekomo przelewając je na przykład na własne subkonto. W rzeczywistości przestępcy najczęściej instruują, jak zainstalować aplikację do zdalnego pulpitu, po czym proszą o podanie kodu weryfikacyjnego konsekwentnie wprowadzając ofiarę w błąd. To wystarczy, aby przejąć kontrolę nad telefonem i wyczyścić konto bankowe poprzez prawdziwą aplikację.

Innym sposobem, z którego korzystali też oszuści, było proszenie ofiary o podanie kodu z aplikacji bankowej, który rzekomo miał zabezpieczyć konto przed atakami cyberprzestępców. W rzeczywistości chodziło o kod BLIK, który oszust podawał następnie koledze czekającemu już pod bankomatem. Wystarczyło przekonać ofiarę do jak najszybszego potwierdzenia transakcji w aplikacji, tak aby nie zdążyła zorientować się, w co właśnie zamierza kliknąć.

Oczywiście sposobów na wykorzystanie telefonicznego spoofingu jest znacznie więcej. Często spotykanym ostatnio oszustwem jest podszywanie się pod doradcę inwestycyjnego namawiającego do inwestowania w akcje zaufanych spółek lub w kryptowaluty. Część przestępców wysyłała nawet oszukanym rzekome zyski z niewielkich "inwestycji" po to, aby od rozentuzjazmowanych ofiar wyciągnąć znacznie większe pieniądze i zniknąć bez śladu.

Aby ofiara połknęła haczyk, trzeba wprowadzić ją w błąd, chociażby poprzez wyświetlenie fałszywej nazwy dzwoniącego na telefonie ofiary i podanie fikcyjnych danych uwiarygadniających przybraną tożsamość. I - wbrew pozorom - osób, które dały się oszukać w taki czy inny sposób, wcale nie jest mało. Czasem wystarczy zmęczenie i roztargnienie połączone ze zbyt dużym zaufaniem do "eksperta".

Jak się bronić przed spoofingiem?

Przede wszystkim warto działać z głową i nie robić niczego pochopnie. Koniecznie trzeba czytać, jakie dokładnie działania wykonujemy na koncie i zdecydowanie nie można instalować zewnętrznych aplikacji polecanych przed dzwoniącego. Banki nigdy nie zmuszają klientów do pobierania dodatkowych programów, które miałyby zabezpieczać smartfon czy blokować podejrzane transakcje na koncie.

Dzwoniącego do nas pracownika banku trzeba też w jakiś sposób zweryfikować. Banki też przecież weryfikują klientów, z którymi rozmawiają telefonicznie. Można poprosić chociażby o przekazanie informacji, którą znamy tylko my i bank (np. limit na karcie kredytowej lub data założenia konta) zanim w ogóle zaczniemy właściwą rozmowę. Innym sposobem jest też rozłączenie się i skontaktowanie się z bankiem pytając, czy dana sytuacja na koncie faktycznie miała miejsce.

Więcej o spoofingu i innych rodzajach oszustw przeczytasz na Gazeta.pl

---

Siema! Gazeta.pl kolejny już raz gra #JedenDzieńDłużej dla Wielkiej Orkiestry Świątecznej Pomocy. Każde dodatkowe wsparcie dla tej akcji jest bezcenne. Licytujcie i kwestujcie razem z nami.

Więcej o: