Większość z nas zakłada, że skuteczny atak cyberprzestępcy wymaga od ofiary rażącego zaniedbania - np. kliknięcia w podejrzany link bądź też pobrania załącznika z dziwnym rozszerzeniem. Tymczasem w przypadku tzw. metody na podszywacza narzędziem ataku staje się nasza empatia oraz zaufanie do najbliższych. Wszystko dzieje się błyskawicznie, w natłoku codziennych obowiązków, kiedy nasza czujność jest naturalnie uśpiona. Nie walczymy tu z hakerem rodem z filmu Matrix, ale raczej z socjotechnikiem, który doskonale wie, w jakie struny uderzyć.
14:15 - Zarzucenie wędki
Marta, 28-letnia graficzka, siedzi w biurze. Ma "deadline" na wczoraj, ale końca projektu wciąż nie widać. Nagle na ekranie leżącego obok klawiatury smartfona pojawia się powiadomienie z Messengera. To Tomek, jej brat. Zdjęcie profilowe się zgadza. Imię i nazwisko również. Marta szybko odblokowuje urządzenie.
Wiadomość od Tomka: "Hej jesteś? Pilna sprawa"
Marta odpisuje od razu: "Jasne, co się stało?
Po drugiej stronie nie siedzi jednak Tomek. Tomek jest właśnie na siłowni, a jego telefon leży w szafce w szatni. Dzień wcześniej kliknął w link rzekomo prowadzący do "drastycznego nagrania z wypadku", który wymagał ponownego zalogowania się do serwisu społecznościowego. W ten sposób jego konto zostało przejęte przez podszywacza.
Przestępca widzi, że Marta zareagowała na zarzuconą przynętę. Zaczyna realizować scenariusz. Musi działać szybko, zanim prawdziwy właściciel konta zorientuje się w sytuacji.
14:17 - Budowanie napięcia
"Tomek" pisze: "Słuchaj, stoję właśnie w sklepie RTV. Trafiłem na mega okazję, ostatnia sztuka laptopa, na którego polowałem od miesięcy. Przecena z 4000 na 2500 zł. Ale wtopa, bo zapomniałem portfela z auta. Telefonem też teraz nie zapłacę, bo nie zdążyłem dodać karty do wirtualnego portfela. A tu długa kolejka za mną i kasjerka już krzywo na mnie patrzy."
Scenariusz jest precyzyjny. Jest okazja (laptop), jest problem (brak portfela/karty), jest presja społeczna (kolejka, zniecierpliwiona kasjerka) i jest presja czasu (ostatnia sztuka). To klasyczne elementy inżynierii społecznej. Mózg Marty przełącza się z logicznego analizowania na tryb "ratunkowy". To jej brat. Ma kłopoty. Trzeba pomóc.
14:18 – Atak
"Tomek": "Masz może pod ręką aplikację bankową? Wygeneruj mi kod na szybkie płatności. Podyktuję kasjerce, zapłacę i oddam ci, jak tylko dotrę do domu i zrobię zwykły przelew".
To kluczowy moment. Metoda na podszywacza bazuje na zaufaniu do osoby, którą rzekomo znamy, oraz na mechanizmie szybkiej płatności, który z założenia ma być prosty i wygodny. Przestępca nie prosi o numer karty kredytowej (co wzbudziłoby podejrzenia), nie prosi o loginy. Prosi o ciąg sześciu cyfr.
Marta loguje się do banku. Generuje kod.
Marta: "Dobra, łap: 772 891. Ale oddajesz dzisiaj!"
14:19 - Finalizacja
W tym samym momencie przestępca (lub jego wspólnik, czyli tzw. "słup") nie stoi oczywiście przy kasie w sklepie RTV. Czeka przy bankomacie na drugim końcu Polski. Wpisuje kod otrzymany od Marty.
Na telefonie Marty pojawia się powiadomienie z aplikacji bankowej: "Potwierdź transakcję".
To jest moment, w którym system bezpieczeństwa daje ofierze ostatnią szansę. Na ekranie widać kwotę oraz - co najważniejsze - rodzaj transakcji i lokalizację. Zamiast "Sklep RTV Warszawa", widnieje tam "Wypłata z bankomatu sieci X, Szczecin".
Marta jednak tego nie sprawdza. Działa w pośpiechu. Widzi kwotę 2500 zł, o której miał jej napisać Tomek, wszystko wydaje się zgadzać. W głowie ma obraz brata stresującego się przy kasie. Klika "ZATWIERDŹ".
14:20 - Koniec gry
Pieniądze znikają z konta Marty. Bankomat w Szczecinie wypluwa gotówkę, którą zabiera oszust. Kontakt się urywa. Godzinę później Marta dzwoni do brata, żeby zapytać o laptopa. Prawdziwy Tomek właśnie wychodzi z siłowni i nie ma pojęcia, o czym ona mówi. Pieniądze są już nie do odzyskania.
Dlaczego dajemy się nabrać? Psychologia pośpiechu
Historia Marty to nie odosobniony przypadek, a wręcz podręcznikowy przykład tego, jak działa metoda na podszywacza. W naszym zabieganym świecie, gdzie multitasking jest normą, nasza czujność jest systematycznie usypiana.
Oszuści doskonale wiedzą, że systemy bankowe są niezwykle trudne do złamania. Najsłabszym ogniwem jest zawsze człowiek. Wykorzystują kierujące nami naturalne mechanizmy: chęć pomocy stadu (rodzinie, przyjaciołom) oraz lęk przed utratą okazji (FOMO) lub negatywną oceną społeczną (wstyd przy kasie). Celowo wywołują presję czasu, używając zwrotów: "szybko", "stoję przy kasie", "zaraz zamykają".
Gdy działamy pod presją, nasz mózg pomija analizę szczegółów. Nie weryfikujemy na przykład, czy styl pisania znajomego jest taki sam jak zawsze (czy używa tych samych emotikon, czy robi te same błędy). Widzimy znajome zdjęcie i nazwisko. To nam wystarcza.
Nie tylko komunikator. Oszuści mają nowe metody
Skąd oszust miał dostęp do konta Tomka? Najczęstszym wektorem ataku wciąż pozostaje przejmowanie kont w mediach społecznościowych. Dzieje się to zazwyczaj poprzez phishing, czyli fałszywe strony logowania, konkursy, "szokujące newsy". Gdy przestępca przejmie konto, otrzymuje także dostęp do historii rozmów. Może sprawdzić, z kim ofiara rozmawia najczęściej, jaki jest jej styl wypowiedzi, a nawet czy w przeszłości pożyczała już od kogoś pieniądze.
Media społecznościowe to jednak nie jedyna droga. Równie groźny jest też telefoniczny spoofing. Oszust może zadzwonić lub napisać SMS z numeru, który wyświetli się w twoim telefonie jako "Mama" lub "Bank", jeśli masz te numery zapisane w telefonie. Technologia VoIP pozwala na niemal dowolne manipulowanie identyfikatorem dzwoniącego. W przypadku kontaktu głosowego przestępcy często stosują proste triki: "mam chrypę", "jestem przeziębiony", "zasięg przerywa", by wytłumaczyć zmieniony głos.
Obecnie eksperci ds. cyberbezpieczeństwa ostrzegają przed nadchodzącą falą ataków wykorzystujących sztuczną inteligencję. Deepfake audio (klonowanie głosu) jest już technologicznie możliwe. Wystarczy kilka minut próbki głosu danej osoby (np. z relacji na Instagramie), by AI wygenerowało wiarygodny komunikat głosowy.
Co powinno zapalić lampkę alarmową?
Metoda na podszywacza, choć wciąż skuteczna, ma jednak również swoje słabe punkty. Istnieją sygnały ostrzegawcze, które natychmiast powinny zapalić w naszej głowie lampkę alarmową:
1) Ekstremalna presja czasu: Każda prośba o pieniądze, która musi być zrealizowana "natychmiast", jest podejrzana. Prawdziwe sytuacje awaryjne zdarzają się niezwykle rzadko.
2) Nietypowa forma komunikacji: Brat, który bardzo rzadko nie korzysta z mediów społecznościowych, nagle pisze na Messengerze? Przyjaciółka, która zawsze używa polskich znaków, nagle wysyła nam wiadomość pełną błędów? To może być sygnał, że ktoś przejął ich konta.
3) Prośba o kod zamiast przelewu: Jeśli ktoś prosi o kod do płatności mobilnych, zazwyczaj oznacza to, że chce wypłacić gotówkę w bankomacie anonimowo. Warto pamiętać, że jeśli chcesz przekazać komuś pieniądze, to zamiast podawania kodu BLIK w komunikatorze, możesz wysłać przelew BLIK na telefon.
4) Inny odbiorca lub lokalizacja: Zanim zatwierdzisz transakcję w aplikacji bankowej, zwróć uwagę na szczegóły. Czy transakcja to "Płatność w sklepie" czy "Wypłata z bankomatu"? Jeśli znajomy "stoi przy kasie w aptece", a aplikacja prosi o autoryzację wypłaty z bankomatu w innym mieście, to masz 100% pewności, że to oszustwo.
Eksperci zalecają, aby w przypadku nietypowych próśb o przelew BLIK-iem, zastosować prostą zasadę: zadzwoń i sprawdź. Jeśli dostajesz wiadomość od znajomego z prośbą o pożyczkę:
- Nie odpisuj od razu.
- Wybierz numer telefonu do tego znajomego (nie dzwoń przez komunikator, na którym pisze!).
- Zapytaj: "Cześć, czy to ty prosisz mnie o kod?".
- Jeśli nie możesz zadzwonić, to poproś o coś, co wie tylko ta osoba.
Konieczne jest również zabezpieczenie własnych kont. Uwierzytelnianie dwuskładnikowe (2FA) to dziś absolutne minimum na każdym koncie społecznościowym i mailowym. To cyfrowa tarcza, która sprawia, że nawet jeśli oszust zdobędzie nasze hasło, nie zaloguje się bez drugiego składnika (np. kodu SMS lub unikalnego klucza U2F).
Uwaga na "Kubę Podszywacza". BLIK ruszył z kampanią edukacyjną
BLIK wystartował z kampanią edukacyjną "Metoda na Podszywacza", która ma na celu uświadomienie użytkownikom, jak łatwo jest dziś paść ofiarą tego oszustwa. Głównym przesłaniem akcji jest promowanie nawyku weryfikacji i ograniczonego zaufania.
Materiały dostępne na stronach operatora kładą nacisk na to, by nigdy nie podawać kodu bez uprzedniego potwierdzenia tożsamości rozmówcy, używać silnych haseł i weryfikacji 2FA w mediach społecznościowych a także by dokładnie czytać powiadomienia autoryzacyjne w aplikacji banku. Technologia jest bezpieczna, to my, użytkownicy, musimy nauczyć się z niej bezpiecznie korzystać. Weryfikacja trwa 30 sekund. Strata oszczędności może boleć latami. #StopPodszywaczom.
