G2A Newsroom Blog pracowników

Bądź bezpieczny z G2A: najczęstsze typy oszustw internetowych i jak ich uniknąć

17.08.2018

Internet to po prostu cudo. Nie dość, że jest prawdziwą kopalnią wiedzy, to jeszcze pozwala na utrzymywanie kontaktu z ludźmi z całego świata czy też przemienić lokalny biznes w globalny. Szkoda tylko, że to również znakomita okazja dla wszelkiego rodzaju oszustów i naciągaczy, ale nie martwcie się – specjaliści z G2A chętnie doradzą jak bezpiecznie surfować po Sieci. Poznajcie najbardziej powszechne metody wyłudzania danych i sposoby na ich uniknięcie.

Spam

Klasyka. To po prostu tony e-mailowego śmiecia, który zawala twoją skrzynkę – o ile mu na to pozwolisz. Szczerze mówiąc większość spamu jest z natury komercyjna i choć wkurza, to jest raczej nieszkodliwa. Gorzej, gdy te maile zawierają linki do fałszywych stron założonych w celu wyłudzania danych czy też infekcje, jak trojany czy malware.

Jak się okazuje, za wysyłanie 80% spamu odpowiadają zainfekowane złośliwym oprogramowaniem komputery, które składają się na tzw. botnety. Te komputery-zombie wysyłają tysiące, a nawet miliony maili, a ich użytkownicy są tego zupełnie nieświadomi. Upewnij się zatem, że twój komputer jest dobrze zabezpieczony, aby zapobiec takiej sytuacji.

Jak uniknąć spamu? To całkiem proste:

  • Ustaw dobre filtry pocztowe, dzięki którym spam nie będzie miał najmniejszej szansy na pojawienie się w twojej skrzynce odbiorczej choćby na sekundę.
  • Nie publikuj swojego adresu e-mail na forach czy w mediach społecznościowych. Jeśli masz bloga lub stronę internetową, zamiast tego wstaw formularz kontaktowy chroniony CAPTCHA. Najlepiej też załóż osobną skrytkę pocztową, nie używaj w tym celu maila zawodowego.
  • Choć kliknięcie przycisku „Anuluj subskrypcję” kusi, lepiej tego nie rób. To może tylko potwierdzić, że twój adres jest aktywny i tym samym zachęcić szkodników do wysyłania jeszcze większej ilości spamu.
  • Nie klikaj na żadne linki i nie pobieraj jakichkolwiek załączników. Twój komputer może zostać zainfekowany, a na to nie możesz sobie pozwolić.

Phishing

To szczególnie paskudna metoda wyłudzania tak cennych informacji, jak hasła do banku czy dane kart kredytowych. Jak to wygląda?

Wyobraź sobie, że otrzymałeś e-mail, który wygląda na wiadomość od twojego banku. Otwierasz go i czytasz, że twoje konto jest zagrożone i musisz działać już teraz. W celu potwierdzenia, że ty to naprawdę ty, a wszystko jest w zupełnym porządku, musisz podać swoje dane do logowania (w tym nazwę użytkownika/numer klienta i hasło). W przeciwnym wypadku bank będzie musiał zawiesić twoje konto ze względu na tzw. „wymogi bezpieczeństwa”. To najbardziej typowy przykład próby phishingu. Od przekonywująco wyglądających e-mail po dokładne kopie stron najbardziej popularnych banków czy sklepów internetowych, każdy znajdzie tu coś dla siebie. Chociaż lepiej nie.

Phishing ma wiele różnych twarzy, tutaj te „najpopularniejsze”:

Spear phishing:

No dobra, zagrywka to paskudna, ale miło ze strony cyberprzestępców, że przygotowują e-podpuchę specjalnie dla ciebie! O ile zwykły phishing polega na zastawieniu pułapki i czekaniu, aż się ktoś w nią złapie, spear phishing jest bardziej wyrafinowany. Gdy celem są konkretne firmy, organizacje czy ich szefowie, trzeba dużo bardziej się postarać, żeby szwindel był znacznie bardziej przekonywujący. Zazwyczaj przybiera to formę starannie przygotowanych wiadomości, które zawierają np. nazwiska współpracowników czy inne dane sprawiające wrażenie „autentyczności” przekazu. Dzięki temu wysoko postawione osoby chętniej klikną w zawarte w mailu linki tudzież pobiorą (oczywiście zawirusowane) załączniki.

Jeszcze innym wariantem jest tzw. whaling (z ang. wielorybnictwo), celujący w ludzi na najwyższych szczeblach i wymagający włożenia naprawdę wiele wysiłku, by ich oszukać.

Pharming:

Wyjątkowo niemiła sprawa. Ofiara pharmingu zostaje przekierowana na fałszywą stronę nawet jeśli otwiera autentyczną. Wszystko to za sprawą złośliwego kodu, którym został zainfekowany jej komputer czy też prywatny serwer. Wariant ekstremalny to tzw. zatrucie DNS, sprawiające, że cały serwer DNS przekierowuje użytkowników do sfałszowanej witryny. Typowe próby wyłudzenia informacji łatwo zauważyć, jednak w tym przypadku nawet doświadczeni użytkownicy padają ofiarą pharmingu ze względu na brak wyraźnych oznak oszustwa.

Vishing:

Nie do końca jest to oszustwo online, bo w dużej mierze bazuje na telefonach. Vishing (lub phishing głosowy) to próba wyciągnięcia twoich danych za pośrednictwem rozmowy telefonicznej. Możesz np. otrzymać e-mail z ostrzeżeniem przed próbą włamania na twoje konto bankowe. Aby rozwiązać problem i zażegnać zagrożenie należy zadzwonić pod wskazany w wiadomości numer. Tak więc dzwonisz, ktoś (zazwyczaj syntezator mowy) odbiera i pyta o poufne dane, takie jak login i hasło. Dzięki za troskę, ale podziękujemy za rozmowę.

Smishing: 

Jest on podobny do powyższego, tylko opiera się na SMS-ach.

W jaki sposób można uniknąć tych zagrożeń i nie dać się złowić na takie sztuczki? Oto kilka podstawowych porad:

  • Nigdy, przenigdy nie otwieraj linków w podejrzanych e-mailach i nie pobieraj załączników.
  • Jeśli coś wygląda na godne zaufania, zawsze potwierdzaj u samego źródła, że faktycznie wysłało taką wiadomość.
  • Uważaj na sfałszowane strony internetowe. Zawsze upewniaj się, że witryna, którą przeglądasz (prawdziwa, rzecz jasna!) ma https:// na początku adresu.
  • Pracownicy banków czy urzędnicy państwowi NIGDY nie zapytają cię o hasło i inne dane do logowania. Nie dziel się nimi z nikim innym!

Nigeryjskie przekręty

Piszemy o nich dlatego, że to już prawdziwa legenda. Na dodatek nieraz można mieć wielki ubaw przy czytaniu tych maili. Oto wyjątkowo absurdalny przykład:

Mamy nadzieję, że jest bezpieczny! Czy to legalne tak długo go tam trzymać?

Czemu „nigeryjskie przekręty” („Nigerian scams”)? Ponoć tam się to wszystko zaczęło, choć dzisiaj takie wiadomości przychodzą już z każdej strony świata. Zazwyczaj wyglądają tak: jakiś członek wpływowej, królewskiej rodziny lub wysoko postawiony urzędnik mają na swoich kontach bankowych ulokowane olbrzymie sumy, ale—co za nieszczęście! – niestety z powodu przeróżnych perypetii nie mają do nich dostępu. Ty jednak możesz mu pomóc odzyskać te pieniądze, za co—teraz najlepsza część—”księciu” odpali ci sporą działkę. Wszystko to poparte realistycznie wyglądającymi dokumentami.

Niestety, jest tutaj mały haczyk – zanim otrzymasz swoją dolę, musisz wpłacić pewną zaliczkę. A niech to!

Rozwiązanie jest proste: zaznacz kwadracik obok wiadomości i kliknij „Usuń”.

PS. W Nigerii ponoć nie ma czegoś takiego jak „rodziny królewskie”. I bądź tu mądry, człowieku!

Może ktoś go, nie wiem, oszukał?

P.S. Jak się okazuje nie ma czegoś takiego jak „rodziny królewskie” w Nigerii. I bądź tu mądry 🙂

Man-in-the-Middle / Man-in-the-Browser Attacks

Do tego tanga trzeba trojga: ofiary, która połknęła haczyk, podmiot, z którym się komunikuje i podsłuchującego, czyli „tego trzeciego”, który przechwytuje całą komunikację – a ofiary ataku są oczywiście tego zupełnie nieświadome. Załóżmy, że chcesz przelać pieniądze z jednego konta na drugie. Wydaje Ci się, że komunikujesz się z bankiem, ale podstawiona osoba przechwytuje twoją wiadomość i następnie modyfikuje, co skutkuje przekazaniem pieniędzy zupełnie gdzieś indziej.

Odmianą tego oszustwa jest Man-in-the-Browser („człowiek w przeglądarce”), czyli wykorzystanie luk w przeglądarce użytkownika w celu modyfikacji jej elementów lub też samych stron internetowych, by dobrać się do pożądanych danych z poziomu zaplecza.

To jedno z największych zagrożeń w Internecie, jak zatem z nim walczyć?

  • Pamiętaj, by zainstalować dobre oprogramowanie antywirusowe i zawsze je aktualizować.
  • Powyższe niestety nie wystarczy — antywirusy niestety nie są skuteczne w zapobieganiu atakom MitM/MitB. Potrzebne są tutaj dodatkowe środki, w tym specjalne wtyczki, czy też w ogóle bezpieczniejsze alternatywy dla najpopularniejszych przeglądarek na rynku, takie jak Comodo IceDragon, Epic Privacy Browser, Maxthon Cloud Browser lub słynna Opera.

Malware & Ransomware

Malware, czyli złośliwe oprogramowanie, występuje pod różnymi postaciami. Wirusy, konie trojańskie (złośliwy kod umożliwiający osobie trzeciej dostęp do naszego komputera), fałszywe oprogramowanie antywirusowe, adware zasypujące nasz ekran masą okienek z reklamami, itp. Jest tego mnóstwo, a większość można pobrać zupełnie przypadkiem. Niestety jednak nawet oficjalne oprogramowanie od znanych firm może działać przeciwko użytkownikiem, chociażby poprzez śledzenie ich nawyków komputerowych.

Ransomware to zupełnie inny poziom. Oprogramowanie to bierze twoje pliki lub cały komputer na zakładników i domaga się niemałego haraczu w zamian za ich „uwolnienie”. Oszuści zazwyczaj podają się za „cyber policję” czy inny departament FBI do walki z e-przestępczością i domagają się zapłaty grzywny za wyimaginowane przestępstwo, np. pobieranie nielegalnych plików. Szantaż chyba jednak nie jest właściwym sposobem wymierzania sprawiedliwości…

Jak się przed tym bronić?

  • Regularnie aktualizuj oprogramowanie antywirusowe i pamiętaj o instalowaniu dobrych wtyczek bezpieczeństwa i odpowiednich blokad w przeglądarkach i na komputerze.
  • Nigdy nie otwieraj linków ani załączników w niechcianych e-mailach i zawsze upewnij się, że przeglądasz tylko oficjalne witryny. Te również mogły paść ofiarą hakerów, ale są zawsze znacznie bezpieczniejsze niż np. nabanktwojbank.co2.
  • Nigdy nie płać okupu, jeżeli twój komputer zostanie już zarażony ransomware’em. Pliki możesz stracić (dobrze jest zatem mieć kopie zapasowe), ale wirus da się całkowicie usunąć.

Tak oto przedstawiają się najbardziej powszechne zagrożenia, które czyhają na nas w ciemnych zakamarkach Internetu. Bez obaw jednak — dobre oprogramowanie antywirusowe bez problemu radzi sobie z większością z nich. Najlepszą bronią w walce z cyber-oszustami jest mimo wszystko zdrowy rozsądek.

Już wkrótce opublikujemy na naszym blogu więcej porad na temat bezpiecznego przeglądania Internetu. Zaglądajcie do nas regularnie! Życzymy wam miłego, beztroskiego surfowania!

G2A_DEAL_logo_RGB_achromatic_on_black G2A_DEV_STUDIO_H_logo_RGB_basic_on_black