Każdego da się oszukać

Żeby nas okraść z pieniędzy, konta na Facebooku czy hasła do banku, wystarczy, że oszuści co jakiś czas zmodyfikują sprawdzone metody i wykorzystają twarze znane z mediów. Albo że będą… udawali same media

Gwiazda mediów lub celebryta opowiadający w rozmowie na stronach znanego portalu, jak zarabia bez wysiłku na internetowych inwestycjach, to od kilkunastu miesięcy stały element infosfery. Z tym, że tak naprawdę nie jest to gwiazda ani rozpoznawalny środek przekazu. Oszuści dostosowali stare metody wyłudzania danych i pieniędzy do polskich realiów. Nagłówki i odsyłacze do tych materiałów pojawiają się głównie w mediach społecznościowych, najczęściej na słabo kontrolowanym i mizernie moderowanym Facebooku – ale nie tylko. Czasem wypełniają boksy reklamowe w prawdziwych portalach informacyjnych lub ekonomicznych, choć ich administratorzy już wyczulili się na takie przypadki i konsekwentnie je blokują. Nie są jednak w stanie zablokować wszystkich prób oszustwa.

Według danych CERT Polska, opublikowanych w raporcie NASK, w 2024 roku liczba zarejestrowanych w Polsce incydentów cyberbezpieczeństwa zwiększyła się o 29 proc. Choć dynamika ich wzrostu jest nieco mniejsza niż w poprzednich latach, nadal utrzymuje się wyraźna tendencja wzrostowa.

NA NIEDOPŁATĘ ZA STREAMING

Na liście oszustw komputerowych znalazły się m.in. fałszywe sklepy internetowe, oferujące okazyjne ceny, oraz coraz popularniejsze oszustwa inwestycyjne, w których przestępcy podszywali się pod koncerny paliwowo-energetyczne, firmy oraz instytucje. Do potencjalnych ofiar oszuści docierali poprzez reklamy w mediach społecznościowych lub na wiarygodnych portalach. W reklamach zachęcali do inwestowania na platformach inwestycyjnych i obiecywali wysokie zyski. Ich prawdziwym celem było wyłudzenie pieniędzy, najczęściej przez rzekome wpłaty początkowe lub opłaty manipulacyjne.

Według raportu NASK najbardziej rozpowszechnionym oszustwem komputerowym w 2024 roku był wciąż phishing, czyli próby wyłudzania poufnych danych, np. loginu i hasła do poczty, strony banku, portalu społecznościowego lub innej usługi online. W ciągu całego roku odnotowano 40 120 takich przypadków, co stanowi 39 proc. wszystkich zarejestrowanych incydentów. Przestępcy wykorzystywali najczęściej wizerunek serwisów sprzedażowych: OLX (9865 przypadków) i Allegro (4053 przypadki) oraz serwisu społecznościowego Facebook (3871 przypadków). Podobne statystyki pokazuje CERT Orange Polska – zespół operatora czuwający nad bezpieczeństwem w sieci podał, że w 2024 roku phishing stanowił 45 proc. wszystkich zagrożeń, z jakimi miał do czynienia. A aż 60 proc. z oszustw phishingowych dotyczyło fałszywych inwestycji.

Pojawiły się też oszustwa związane z mediami – głównie wyłudzenia danych osobowych i bankowych związanych z subskrypcjami. W maju ubiegłego roku CERT Orange informował o kampanii wymierzonej w klientów Netflixa. Cyberoszuści powiadamiali o zawieszeniu konta w tym serwisie streamingowym i konieczności aktualizacji danych. Uwagę zwracały błędy językowe i wtręty z języka francuskiego oraz dziwny link przekierowujący do strony, która do złudzenia przypominała serwis Netflix. Tam domagano się podania numeru karty płatniczej. Ile osób dało się nabrać, nie wiadomo.

Schemat oszustwa jest za każdym razem podobny: dostajemy SMS lub mail, z którego wynika, że na naszym koncie jest niedopłata. Bagatelna – zwykle 1,59 zł albo 3,20 zł. Nieuregulowanie jej w terminie siedmiu dni ma poskutkować blokadą konta. Albo otrzymujemy komunikat, że pojawił się problem z zaksięgowaniem opłaty i trzeba na nowo – jak w przypadku oszustwa z Netflixem – podać dane karty płatniczej. Ze względu na masowość subskrypcji cyberoszuści wolą atakować użytkowników platform VOD niż Onet Premium lub Wyborcza.pl. Według lipcowego badania IBRiS z ofert tych platform korzysta łącznie 46,1 proc. Polaków.

Grzegorz Zembrowski, kiedyś wydawca w radiowej Trójce, dziś analityk CERT Orange Polska, przyznaje, że w przypadku subskrypcji taki mechanizm rzeczywiście działa. Natomiast zdecydowanie popularniejszy, bo dotyczący jeszcze większej grupy potencjalnych ofiar i dający większą liczbę trafień, jest mechanizm oszustwa na niedopłaconą paczkę.

– Przestępca zawsze trafi na kogoś, kto ma abonament Netflixa albo czeka na paczkę. Reszta jest tylko kwestią skali: liczby wysłanych SMS-ów czy maili – tłumaczy Anna Mierzyńska, ekspertka w zakresie oszustw internetowych i dziennikarka OKO.press. – W codziennym pędzie nie mamy czasu na sprawdzenie tych informacji: z jakiego źródła pochodzą, czy na pewno mają związek z naszą paczką lub z naszym abonamentem. Ludzie się nabierają, bo u podstaw naszego funkcjonowania społecznego leży zaufanie. Wierzymy, że nie dopłaciliśmy za abonament na streaming – i chętnie dopłacimy.

NA NARUSZENIE PRAW AUTORSKICH

Pomysły cyberprzestępców zagrażają odbiorcom mediów, ale także wydawcom i administratorom serwisów internetowych. Stosunkowo nową kampanią oszustów były próby wyłudzeń oparte na rzekomych naruszeniach praw autorskich. CERT Polska odnotował ten typ oszustw w ostatnim kwartale 2023 roku, ale do „Press” informacje o takich próbach trafiały już wcześniej.

– Dostaliśmy takie wezwanie – przyznaje Krzysztof Czuchra, redaktor naczelny portalu ZiemiaDębicka.pl. – Chodziło o ściągnięty ze strony stockowej (z darmowymi zdjęciami) obrazek portfela.

Szybkie internetowe śledztwo wykazało, że „kancelaria”, która upominała się o opłatę za zdjęcie portfela, nie działa pod wskazanym w mailu adresem, a fotografie wszystkich jej „pracowników” wzięto z serwisu stockowego.

Jednak system działał: przestępcy wysyłali zawiadomienie o rzekomym naruszeniu praw autorskich, najczęściej do zdjęć należących do klientów ich „kancelarii”. Rzekomy reprezentant prawny wzywał do natychmiastowego usunięcia objętych ochroną materiałów, grożąc konsekwencjami. Szczegóły na temat przedmiotu naruszenia miał zawierać plik PDF przesłany jako załącznik lub znajdujący się pod podanym w wiadomości linkiem. Plik w rzeczywistości zawierał szkodliwe oprogramowanie, które mogło dać przestępcom kontrolę nad komputerem lub dostęp do danych logowania do bankowości.

Pojawiła się też fałszywa CAPTCHA. CAPTCHA w założeniu jest mechanizmem pomagającym odróżnić człowieka od internetowych robotów. Zwykle wystarczy w nim zaznaczyć odpowiedź „nie jestem robotem” albo wykonać prostą operację na obrazkach. Cyberprzestępcy prosili o zaznaczenie odpowiedniego fragmentu tekstu na stronie i wciśnięcie kolejno kombinacji klawiszy: Ctrl+C, Windows+R, Ctrl+V i Enter, czyli: kopiuj zaznaczony tekst, otwórz okno „uruchom”, wklej tekst i wykonaj. Tym sposobem nieświadomy internauta uruchamiał skrypt, który pobierał z przygotowanego przez oszustów serwera szkodliwe oprogramowanie, albo np. uruchamiał kosztowną subskrypcję premium.

NA TANIE BULETY I NIEDZIAŁAJĄCĄ KARTĘ

Jak stwierdza Piotr Zarzycki, analityk CERT Orange Polska, trudno nawet powiedzieć, kto się najczęściej na takie oszustwa nabiera. Badań nie ma, bo oszukani niechętnie przyznają się do swojej lekkomyślności. – Raczej idą na policję i próbują dochodzić sprawiedliwości. Głównie od banków, bo sami oszuści są daleko i trudno od nich coś wyegzekwować. Słyszymy czasem, że jakaś szajka została rozbita, ale zatrzymanie i pociągnięcie do odpowiedzialności przestępców, którzy działają z zagranicy, jest często sporym wyzwaniem – mówi ekspert. Podkreśla, że w ostatnim roku wiele nowości w oszustwach nie było. – Nadal mamy oszustwa na nieodebrane paczki, na dzieci, które zgubiły telefon, a zwłaszcza oszustwa na fałszywe inwestycje. Na przykład Donald Trump mówi, że każdy od dziś otrzyma 5 tys. dolarów tygodniowo. Ludzie się na to nabierają i tracą majątki.

Jako nową formę oszustwa Zarzycki wymienia wyłudzenie pieniędzy „na bilety komunikacyjne”. – W mediach społecznościowych ogłaszają się grupy, które podają się za nasze rodzime miejskie zakłady komunikacji i oferują bilety długoterminowe, na przykład półroczne, za niewielkie pieniądze – opowiada ekspert i dodaje, że w zasadzie to modyfikacja znanych wcześniej oszustw. Zmienia się temat, ale nadal ofiara musi w coś kliknąć i podać swoje dane logowania do Facebooka lub do bankowości internetowej.

Dlaczego przejęcie konta na Facebooku jest łakomym kąskiem dla przestępców? Bo ofiara ma znajomych, których z pomocą tego przejętego konta można nadal okradać, a sama kradzież staje się dużo łatwiejsza. Jej schemat jest prosty: „Cześć, słuchaj, jestem teraz na stacji benzynowej, karty mi nie przyjmuje. Czy mógłbyś mi wysłać blika?”. I choć w przypadku takich próśb jesteśmy coraz ostrożniejsi, nadal ktoś o dobrym sercu może wspomóc kolegę w potrzebie.

– Po działaniach przestępców widać, że oszustwa stosowane dotychczas się sprawdzają – zauważa Piotr Zarzycki. Oszuści nie muszą wymyślać niczego nowego, bo metody, które stosują, są wystarczająco dobre. Facebook, na którym sporo tych oszustw się pojawia, robi z tym zbyt mało. Dla oszustów to raj.

– Żyjemy w świecie, w którym oszustwa internetowe są coraz powszechniejsze i trzeba sobie wyrobić nowe nawyki, tak jak mamy wyrobione nawyki związane z życiem offline – radzi Anna Mierzyńska. – Wiemy, komu ufać, a komu nie ufać, kogo sprawdzać, którędy lepiej nie chodzić. Tak samo trzeba sobie wyrobić nawyki dotyczące cyberbezpieczeństwa. Jednym z nich musi być sprawdzanie źródeł informacji, które dostajemy, i niereagowanie automatycznie na wiadomości namawiające nas do tego, żebyśmy coś zrobili, komuś zapłacili, przelali pieniądze.

Mierzyńska podkreśla, że trzeba sobie zadać nieco trudu: czasem skontaktować się bezpośrednio z infolinią serwisu streamingowego, bankiem, nadawcą paczki. Lepiej poświęcić na to chwilę, niż stracić pieniądze.

NA AKTUALNE WYDARZENIA

Sprawdzone metody oszustów powinny być powszechnie znane. Są opisywane w mediach, szczegółowo ostrzegają przed nimi operatorzy telekomunikacyjni i banki. Wydawałoby się, że problem powinien zniknąć – a jednak tak się nie dzieje.

– To jest tak trochę jak z oszustwem na wnuczka. Każdy o nim wie, a mimo to ludzie się nabierają, bo przestępcy są na tyle sprytni, że wiedzą, jak podejść swoje ofiary – mówi Piotr Zarzycki.

Podaje przykład z Facebooka. Ten serwis społecznościowy przebadał gruntownie. Poza tym, choć młodzi użytkownicy twierdzą, że w ich grupie wiekowej Facebook traci popularność, to według raportu Digital 2025: Poland na początku tego roku miał w Polsce niemal 19 mln użytkowników. Łakomy kąsek.

Nieświadomy zagrożenia użytkownik Facebooka widzi ogłoszenie: Donald Tusk albo Karol Nawrocki, albo Szymon Hołownia, albo Sławomir Mentzen (zwykle polityk z pierwszych stron gazet) poleca świetną inwestycję, która daje 100 proc. zwrotu rocznie. Zdarzają się nawet reklamy tak absurdalne jak krążący po Facebooku wizerunek Lecha Wałęsy siedzącego w wannie pełnej banknotów euro z podpisem „Były prezydent zdradził, w co inwestuje”. A jednak niektórzy w to uwierzą.

– Taka osoba, gdy zobaczy to ogłoszenie pierwszy raz, machnie ręką i stwierdzi: „Przecież to niemożliwe”. Ale jeżeli korzysta z Facebooka codziennie i codziennie widzi takie ogłoszenia po kilka razy, kiełkuje myśl: „Gdyby to było oszustwo, to ja bym tego non stop przecież nie oglądał” – opisuje mechanizm psychologiczny reklam fałszywych inwestycji Piotr Zarzycki. – A mechanizmy Facebooka działają na dodatek w ten sposób, że im więcej ta osoba się interesuje określonym tematem, tym więcej tego tematu widzi w wyświetlanych treściach.

Cyberprzestępcy dostosowują się do aktualnych wydarzeń. Gdy są wybory i trwają kampanie, w oszustwach pojawiają się politycy. Pomiędzy wyborami skuteczniej będą kusić wizerunki znanych dziennikarzy, aktorów lub piosenkarzy.

Według Grzegorza Zembrowskiego cyberoszustów można podzielić na dwie grupy. – Jedni faktycznie dopasowują się do bieżącej sytuacji i wykorzystują emocje. Jeżeli mieliśmy atak dronów, następnego dnia użyją go do oszustwa. Drudzy posługują się znanymi wizerunkami. Niedawno pojawił się nowy scam z wykorzystaniem wizerunku Roberta Makłowicza, niezwiązany z żadnymi bieżącymi wydarzeniami – podaje przykład ekspert.

Wskazuje również na skalę działań przestępców, odwołując się do oszustwa na „nigeryjskiego księcia” oferującego miliony. – Co prawda większość z nas stwierdzi, że trzeba być głupim, żeby dać się nabrać, ale jeżeli przestępcy roześlą miliony lub miliard takich oszukańczych maili, zawsze trafią na naiwnych, którzy w to uwierzą. Nawet jeżeli będzie to dziesięć osób dziennie, po pewnym czasie robi się z tego spora kwota – zauważa Zembrowski.

NA FAŁSZYWE INWESTYCJE

Piotr Zarzycki sam robił testy facebookowych ogłoszeń o fałszywych inwestycjach. – Doszedłem do momentu, kiedy nie widziałem już normalnych reklam, tylko reklamy samych fałszywych inwestycji. I ten mój Facebook stał się takim „scam-

bookiem” [scam, ang. oszustwo – red.]. Taki tytuł Zarzycki nadał swojej prezentacji, przedstawionej w ubiegłym roku podczas konferencji „Oh My Hack” – jednego z najważniejszych wydarzeń poświęconych cyberbezpieczeństwu w Polsce.

Również Grzegorz Zembrowski, który na co dzień poluje na oszukańcze strony, tak wytrenował algorytmy Facebooka dla swojego profilu, że widzi wyłącznie „lewe” inwestycje. To ponad 70 proc. wszystkich prób oszustw w Polsce. A sami przestępcy nigdy nie przygotowują jednej strony, lecz setki, wiedząc, że część z nich zostanie zablokowana. I skoro szykują fałszywe strony z nazwami Wyborcza czy Onet, zrobią też domeny z Interią lub WP, licząc na dodatkowe trafienia.

Na ofiary oszustw inwestycyjnych działają różne bodźce dobierane przez przestępców. Nie są to tylko twarze znanych polityków. W ogłoszeniach wykorzystuje się logo firm, banków, nawet Narodowego Banku Polskiego. Mechanizmy są podobne jak w przypadku oszustw na wnuczka lub na policjanta. Wystarczy w odpowiedni sposób dotrzeć do ofiary i choć każdy o tych oszustwach słyszał, nagle emocje biorą górę nad rozsądkiem.

– A kiedy już połkniemy przynętę, stajemy się jak konie na wyścigach – mówi Piotr Zarzycki. – Biegniemy, mamy klapki na oczach, nic nie jest w stanie nas rozproszyć. Trudno nam nawet zasugerować, że coś może być nie w porządku.

Wobec powtarzających się oszustw część banków wdrożyła procedury bezpieczeństwa. W przypadku wypłaty dużej kwoty pracownicy przeprowadzają wstępną ankietę, zwłaszcza kiedy wypłatę zlecają starsi ludzie. Zadawane pytania mają pomóc wyczuć, czy klient nie jest potencjalną ofiarą oszustów. Jeżeli podejrzenie się potwierdzi, kasjer proponuje klientowi, by skontaktował się z policją. Czasem ofiara jest już tak zmanipulowana, że nie wierzy w ostrzeżenia, bo oszust „ostrzegł” ją wcześniej, iż pracownicy banku mogą być w spisku.

Eksperci z CERT Orange niejednokrotnie spotykali się z uwagami, że nie wszystkie ogłoszenia o superokazjach muszą być oszustwami. Mają wiarygodne strony internetowe, a gdyby oszustw faktycznie było tak wiele, ktoś pewnie już coś by z tym zrobił.

– To faktycznie szokujące, że tak wielka, popularna i powszechna platforma jak Facebook robi tak niewiele dla poprawy swojego bezpieczeństwa – mówi Piotr Zarzycki. W ubiegłym roku, śledząc oszukańcze profile na Facebooku, zidentyfikował i zgłosił 17 fanpage’ów podszywających się pod lotniska. Meta potrzebowała pół roku, by zablokować 15 z nich.

Nie tylko Facebook nie wyławia oszukańczych profili ze swoich zasobów. CERT Polska działający w ramach NASK opublikował w tegorocznym raporcie listę dostawców usług, którzy hostowali strony phishingowe. Na pierwszym miejscu znalazł się popularny polski serwis hostingowy Home.pl, na czwartym równie popularna Nazwa.pl.

NA TESTERA NOCLEGÓW

Trudno oszacować skalę udanych oszustw. Policja niechętnie dzieli się danymi, zwłaszcza jeżeli dotyczą spraw, w których sprawców nie udało się ustalić. Jednak policjanci i eksperci z zakresu cyberbezpieczeństwa zgodnie twierdzą, że bardziej podatne na oszustwa, zwłaszcza te kolportowane za pośrednictwem Facebooka, jest starsze pokolenie. Powodów jest kilka. Młodzi niemal od dziecka korzystają z internetu i mediów społecznościowych. Facebook nie jest dla nich atrakcyjny, wolą serwisy oparte na obrazie – TikTok czy Instagram. Poza tym zwykle nie dysponują środkami wystarczającymi do inwestowania. Starsi ludzie natomiast zastanawiają się, jak ulokować swoje pieniądze. I wygląda na to, że są mniej świadomi cyberzagrożeń.

Piotr Zarzycki zauważa jednak, że na działania cyberoszustów nabierają się nawet specjaliści IT. Nie są to jednak raczej oszustwa inwestycyjne. – Mieliśmy kolegę, który dał się w przeszłości przekonać do zarejestrowania się jako tester noclegów. Miało to polegać na tym, że „pracodawcy” wysyłają go na weekend do jakiegoś hotelu i on pisze recenzję. Musiał się zarejestrować na platformie, która była specjalnie do tego przygotowana. Aby otrzymać pierwszą zaliczkę na wyjazd, miał podać dane karty kredytowej. Podał, a oszuści sprzątnęli mu z konta 5 tysięcy złotych – opowiada Zarzycki. – To był człowiek, który zawodowo zajmował się IT, a i tak dał się podejść.

Ryszard Parka