OSZUSTWA INTERNETOWE - JAK SIĘ BRONIĆ? JAK POSTĘPOWAĆ BĘDĄC POKRZYWDZONYM?
Globalna sieć komputerowa – Internet stał się nieodłączną częściąnaszego codziennego życia. Wykorzystywany jest w pracy, do nauki, wymianyinformacji lub jako forma relaksu, czy zabawy. Niestety z Internetu korzystająrównież osoby, które wykorzystują go do popełniania przestępstw. Zapośrednictwem Internetu, tak jak i w świecie rzeczywistym, popełnianajest cała gama różnego rodzaju przestępstw, jednak użytkownicy Internetu niezawsze zdają sobie z tego sprawę jak łatwo można stać się ofiarą cyberprzestępczości.
Ofiary cyberprzestępczości tonajczęściej ofiary oszustw. Oszustwa internetowe stanowią przeważającą grupęprzestępstw, która w bardzo szybkim tempie się rozwija i ewoluuje w corazbardziej złożone formy. Poniżej opisane są niektóre rodzaje oszustwinternetowych, metody działania sprawców oraz sposoby postępowaniaumożliwiające uniknięcia oszustwa i pozostania jego ofiarą.
Phishing
Przy tego rodzaju oszustwach sprawcaposługując się ogólnie dostępnymi usługami internetowymi zmierza dowprowadzenia ofiary w błąd i wyłudzenia wrażliwych danych osobowych lubfinansowych, tj. numer karty kredytowej, hasła, loginy, numery PIN. Dane, którepozwalają przejąć posiadane pieniądze, lub przejąć wirtualną tożsamość, copośrednio może prowadzić też do utraty pieniędzy, a także może narazić ofiaręna utratę dobrego imienia itp. Często ofiara oszustwa dostaje wiadomość e-mail,mówiącą, aby się zalogować i potwierdzić swoje dane bankowe, dane do kontae-mail itd. Sprawcy potrafią tworzyć fałszywe maile, które do złudzeniaprzypominają oficjalne wiadomości od różnych organizacji i instytucji, takichjak banki, towarzystwa ubezpieczeniowe. Aby zmylić odbiorców, wykorzystują logoorganizacji, instytucji czy podmiotu oraz imitują styl i szatę graficzną jejkorespondencji. Wiadomość zwykle sugeruje użytkownikowi, aby kliknął odsyłacz wcelu wprowadzenia swoich informacji osobistych. Po wejściu na link sugerowany
w korespondencji, nawet bez wprowadzania swoich danych, następujezainstalowanie na komputerze użytkownika złośliwego oprogramowania wykonującegofunkcje zdefiniowane przez sprawców („koń trojański”).
W jaki sposób uniknąć tego oszustwa?Jeżeli użytkownik otrzymał wiadomość od firmy, banku lub operatora pocztyelektronicznej, z której usług nie korzysta – powinien zachować ostrożność przyjej odczytywaniu lub usunąć taką korespondencję. W przypadku otrzymaniawiadomości od nadawcy podającego się za operatora poczty elektronicznej czybanku, w którym użytkownik posiada konto, należy go dokładnie przeczytać.Oszuści często nazywają używane przez siebie strony internetowe wykorzystywanedo działań oszukańczych, bardzo podobnie do tych oryginalnych, np. http://twiter.com/ zamiast http://twitter.com/. Ponadto jeżeli nadawcaprosi o podanie loginu, hasła itp. to również powinno wzbudzić naszą czujnośćponieważ żadna z legalnie funkcjonujących firm, czy banków, nie żąda podawaniatakich informacji! Jeżeli mamy wątpliwości co do autentyczności wiadomościnależy sprawdzić ją na oficjalnej stronie firmy, wpisując jej adres wwyszukiwarce, nigdy za pomocą linku podanego w otrzymanej wiadomości! Należypamiętać, że przestępcy zainteresowani są wszelkiego rodzaju danymi, nie tylkozwiązanymi z systemami płatności internetowych. Dlatego oszuści wykorzystującwyżej opisane metody wyłudzają nasze dane dotyczące kont poczty elektronicznej,portali społecznościowych, czy też gier on-line.
Kradzież tożsamości oraz „praniepieniędzy”
Do tego typu przestępstw dochodziczęsto poprzez przesłanie do użytkowników ofert atrakcyjnej pracy. Sprawcyzazwyczaj oferują wysokie wynagrodzenia lub proponują pracę nie wymagającą odprzyszłych „pracowników” dużego wysiłku. Oferty pracy przychodzą na adresymailowe w postaci spamu lub ogłoszeń, itp. Ofiara wysyła swoje CV, kopiędokumentów tożsamości, numer swojego konta bankowego i telefon kontaktowy.Zdarzają się nawet przypadki gdzie oszust wymaga od aplikantów założenia kontabankowego na swoje dane osobowe, a następnie wysłanie otrzymanej kartybankomatowej wraz z kodem PIN. Jeżeli użytkownik spełni wymagania, oszust mawszystko co potrzebne aby posłużyć się tożsamością ofiary do popełniania innychprzestępstw. Po wyłudzeniu tych informacji oszust może dalej wykorzystywaćnieświadomość użytkownika. W przypadku fałszywych ofert pracy, zadaniem ofiaryjest zazwyczaj przesyłanie pieniędzy, wpływających na konto, do wskazanychprzez oszustów osób czy banków. Przy czym przesyłanie pieniędzy odbywa się zapośrednictwem systemu płatności uniemożliwiającego identyfikację odbiorcy,np.Western Union. Ofiara jest przekonana, że pieniądze pochodzą z legalniedziałających firm, przesyła pieniądze w żądane miejsce za co pobiera prowizję.Ofiary nie zdają sobie sprawy, że uczestniczą w procesie tzw. „praniapieniędzy”, pochodzących z przestępstwa. Slangowo osoba zajmująca sięprzesyłaniem pieniędzy nazywa się money mule (muł pieniężny) -takiedziałanie w myśl przepisów polskiego prawa również jest karalne.
Fałszywe oferty pracy wykorzystywanesą również do wyłudzania pieniędzy. Odbywa się to w podobny sposób. Oszustwysyła bardzo korzystną ofertę pracy za granicą. Ofiara odpowiada na ofertę,bardzo łatwo przechodzi rekrutację,
a następnie ma zgłosić się do pracy. Oszust zapewnia, że wszystko jest jużzałatwione, prosi jedynie o wpłacenie niewielkiej kwoty np. na zakup biletulotniczego, wykupienia wizy, pozwolenia na pracę czy opłacenia wynajętegomieszkania. Przestępstwo takie jest formą „oszustwa nigeryjskiego”.
Jak się chronić przed kradzieżątożsamości? Przede wszystkim, jak zawsze trzeba zachować zdrowy rozsądek. Niemożna ufać ofertom firm, które dają bardzo atrakcyjne zarobki, przy minimalnymnakładzie pracy np. wykonywanie przelewów
w zamian za prowizje. To oszustwo – „prania pieniędzy”, w którym stajemy sięwspółsprawcą i możemy za to ponieść odpowiedzialność! Nie można odpowiadać namaile, które są spamem, gdyż uczciwi pracodawcy nie korzystają z tegotypu działań w procesie rekrutacji. Nie należy wysyłać swojego CV nieznanymfirmom a tym bardziej szczegółowych danych swoich kart kredytowych. Należyzwracać uwagę na adres e-mail,czy należy rzeczywiście do wskazanej w wiadomościfirmy, ewentualnie kto jest właścicielem strony internetowej podanej wogłoszeniu. Nie można poprzestawać jedynie na kontakcie drogą pocztyelektronicznej. W przypadku ofert pracy wskazanym jest kontakt telefoniczny iosobisty w siedzibie firmy. Zazwyczaj w procesie rekrutacji firmy organizująrozmowy kwalifikacyjne i dopiero po tym etapie podejmują decyzje o zatrudnieniupracownika. Ponadto trzeba zwracać uwagę czy firma podaje adres swojejsiedziby, numery NIP, REGON. Są to dane, które można sprawdzić i potwierdzićich autentyczność. Można też sprawdzić opinie internautów o firmie na różnychforach – często tam właśnie demaskowani są oszuści.
Fałszywe ofertykupna/sprzedaży
Oszustwa dokonywane za pośrednictwemofert kupna/sprzedaży są jedną z najstarszych metod wyłudzania pieniędzy. Najczęściej oszuści zamieszczają bardzo atrakcyjną finansowo ofertę kupna np.samochodu lub motocykla na portalu aukcyjnym. Ofiara kontaktuje się z oszustemw celu dokonania zakupu, a oszust chce otrzymać pieniądze jak najszybciejpoprzez Western Union. Odbiór osobisty nie jest możliwy, gdyż oszust bardzoczęsto przebywa właśnie za granicą i zależy mu
na szybkiej sprzedaży samochodu. W celu uwiarygodnienia swojej oferty, oszuściproponują dokonanie transakcji poprzez zaufaną firmę pośredniczącą tzw. „EscrowService”, która ma gwarantować dostawę samochodu do klienta. Przy czym firma„Escrow Service” nie istnieje, jest stworzona przez oszusta. Ofiara wysyłapieniądze i na tym kontakt się urywa.
Drugą wersją tego oszustwa (choć dużorzadszą) jest zamiar dokonania przez oszusta zakupu np. samochodu, bądź innegotowaru jaki potencjalna ofiara oferuje do sprzedaży przez portal ogłoszeniowylub aukcyjny. Schemat jest bardzo podobny. Oszust prosi o przesłanie towaru zagranicę i proponuje zabezpieczenie transakcji poprzez Escrow Service – firmępośredniczącą, gwaranta bezpiecznej transakcji. Ofiara dostaje maile odfałszywego Escrow Service, informujące że wpłata została dokonana i możnawysyłać towar. Oczywiście pieniądze nigdy nie docierają do ofiary. Czasempokrzywdzeni otrzymują wiadomości e-mail z darmowych skrzynek mailowych,imitujących znane instytucje bankowe.
Jak uniknąć tego oszustwa? Niewierzyć w super oferty! Oferty sprzedaży samochodów w zaniżonej cenie nieodpowiadającej wartości rzeczywistej powinny wzbudzić naszą podejrzliwość.Zawsze należy dążyć do kontaktu osobistego
i możliwości obejrzenia auta. W żadnym wypadku nie wysyłać pieniędzy „z góry”,za jakikolwiek towar poprzez Western Union, Money Gram, czy do niesprawdzonegoEscrow Service. Tak jak i w innych przypadkach należy dokonać wszelkichmożliwych sprawdzeń osoby sprzedającej, czy firm pośredniczących w sprzedaży.
Oszustwo nigeryjskie - tzw. oszustwo 419
Oszustwo nigeryjskie (z ang.419 Fraud, West African Fraud) - oszustwo na zaliczkę jest znane od XVI wieku,wówczas znane było pod nazwą Listu Hiszpańskiego Więźnia, a do jego popełnieniawykorzystywano pisanie i wysyłanie listów. Obecnie oszuści wykorzystują w tymcelu pocztę elektroniczną. Rozsyłają wiadomości, w których piszą, że znaleźlisię w bardzo trudnej sytuacji (pomysłowość jest zadziwiająca, potrafią podawaćsię za byłych ministrów, prawników czy nawet naszych dalekich krewnych) iproszą o pomoc w podjęciu dużej sumy pieniędzy, czy też spadku. Ofiarajest zapewniana, że otrzyma dużą część przedmiotowej kwoty w zamian zawpłacenie kwoty na np. opłaty skarbowe czy prawników prowadzących sprawęspadkową. Jest to jedna z wielu form tego oszustwa.
Jak sie chronić przed oszustwem?Przede wszystkim nie odpowiadać na takie wiadomości, nie wierzyć w możliwośćłatwego zdobycia majątku „dalekich krewnych”, usuwać z konta korespondencjęspamową oraz zachować środki ostrożności opisane powyżej. Więcej informacji natemat tego typu oszustw można uzyskać z opracowania pt. „Jak uniknąć oszustwanigeryjskiego” - http://www.policja.pl/portal/pol/1218/39219/Jak_uniknac_quotoszustwa_nigeryjskiegoquot.html
Oszustwo z wykorzystaniem„SMS”.
Proste oszustwo polegające nawyłudzeniu pieniędzy od osób, które za skorzystanie z usług dostępnych naróżnego rodzaju stronach internetowych płacą wysyłając wiadomość tekstową SMS.Internauci otrzymują wiadomość e-mail zachęcającą np. do wykonania testu nainteligencję i sprawdzenia swojego IQ. Aby otrzymać rozwiązanie testu należywysłać płatną wiadomość SMS, której cena nie jest jasno sprecyzowana np. wymagasię od użytkownika aby zachował ściśle określony, kilkuetapowy sposób wysłaniawiadomości. W efekcie rachunek za tę usługę zaskakuje niemile. Kolejny przykładto wysyłanie e-kartek. Cena za wysłanie takiej kartki nie jest wysoka, wynosikilkadziesiąt groszy. Za wysłanie płaci się SMS-em, który w rzeczywistościkosztuje użytkownika nie kilkadziesiąt groszy ale kilkadziesiąt złotych.Powodem tego jest zapis w regulaminie, według którego użytkownik płaci za stotakich kartek, o czym nie miał pojęcia.
Jak walczyć z oszustwem? Należyzawsze czytać regulamin! W regulaminie muszą być podane dokładne warunkiużytkowania, sposoby i terminy płatności oraz cennik usług. Autor takiej strony(pod warunkiem, że nie jest to strona założona
na kilka dni) liczy na to, że użytkownicy akceptują regulamin bez jegoczytania. Kartka kosztuje kilkadziesiąt groszy, ale dopiero w regulaminienapisane jest, że użytkownik zgadza się na automatyczny zakup większej ilościkartek np. 100 sztuk. Brak zapoznania się z treścią regulaminu skutkuje brakiempodstaw do roszczeń z tytułu strat finansowych.
Oszuści Internetowi cały czasprześcigają się w tworzeniu nowych sposobów wyłudzania danych osobowych, czypieniędzy. Często wykorzystują sprawdzone wcześniej metody, wprowadzającjedynie niewielkie zmiany, które usypiają czujność użytkowników Internetu. Otokilka przykładów:
- Oszustwa na tzw. „Wygraną wloterii”- są podobne do oszustwa nigeryjskiego. Użytkownik otrzymujewiadomość e-mail z informacją, o rzekomej wygranej w loterii i prośbą o daneosobowe w celu przekazania zwycięzcy wysokiej nagrody. Tak jak w przypadkuoszustwa nigeryjskiego - ofiary proszone są o zaliczkę na pokrycie opłatbankowych oraz w niektórych przypadkach również o dane osobowe itp. Podaneprzez użytkowników dane mogą być ponadto wykorzystane do kradzieży tożsamości idokonania innych przestępstw;
- Oszustwo na tzw. odszkodowanie:przestępstwo bazujące na „oszustwie nigeryjskim”. Użytkownik otrzymujewiadomość e-mail informującą o rzekomym utworzeniu funduszu wypłacającegoodszkodowania ofiarom oszustwa nigeryjskiego. Ofiara może otrzymać wysokieodszkodowanie, ale tak jak w przypadku klasycznego oszustwa nigeryjskiego, musioczywiście wpłacić niewielką kwotę manipulacyjną;
- Oszustwa na tzw. „zakochanądziewczynę”, z użytkownikiem adresu e-mail, kontaktuje się osoba podająca sięza młodą kobietę, pochodzącą z jednego z krajów, np. zza wschodniej granicy.Następnie po wymianie korespondencji kobieta wyznaje,
że jest bardzo zakochana i chce jak najszybciej przyjechać do kraju ofiary. Wostatniej chwili okazuje się, że młoda kobieta nie ma pieniędzy na podróż.Prosi więc o gotówkę na opłacenie biletów lotniczych, wizy itp. Po wpłaceniupieniędzy kontakt się urywa.
Jak widać oszuści Internetowi potrafią być bardzo pomysłowi i bezczelni. Jednakniektóre metody wyłudzania danych osobowych, czy pieniędzy stosowane są niezmiennieprzy wielu rodzajach oszustw. Czasami oszustwo rozpoznamy nie
na podstawie informacji zawartych w wiadomości e-mail, ale sposobu, w jakiwiadomość została napisana, oraz rozkładu tekstu. Taka szybka analizaotrzymanej wiadomości może uchronić przed niepotrzebnymi problemami. Dlategonależy zwracać uwagę na to czy otrzymana wiadomość jest zaadresowanaindywidualnie na nasze dane, czy jest to masowa wysyłka do wielu osób. Należyrównież zwrócić uwagę na nadawcę wiadomości, czy jest to znany nam adres, czypochodzi od firmy, która podaję się jako jej nadawca. Żadna poważna firma niewysyła wiadomości e-maili z darmowego konta pocztowego, np. gmail.com. Oszuściw celu przyciągnięcia uwagi użytkownika niektóre ze słów piszą wielkimiliterami lub świadomie stosują błędną pisownię aby obejść zabezpieczeniaantyspamowe.
Postępowanie osobypokrzywdzonej
Osoba, która stała się ofiarąoszustwa internetowego (cyberprzestępstwa) ma prawo złożyć zawiadomienie opopełnieniu przestępstwaw jednostce Policji lub w prokuraturze, najlepiejnajbliższej dla miejsca zamieszkania lub miejsca,
w którym w danym momencie się znajduje. Ze względu na możliwość utratylub zniszczenia danych informatycznych zawiadomienie o popełnieniu tego typuprzestępstwa, należy złożyć możliwie w jak najkrótszym czasie od momentu jegoujawnienia. Zwiększa to szanse organów ścigania na zabezpieczenie kompletnegomateriału dowodowego i ustalenie sprawcy.
Na jakie dane i informacje powinnazwrócić uwagę osoba pokrzywdzona? W pierwszej kolejności dane dotyczące domeny(adresu strony www., adresu e-mail), na której pokrzywdzony znalazł ofertę. Wprzypadku portali aukcyjnych podstawową rzeczą jest zebranie wszelkich danychdotyczących przedmiotu kupna/sprzedaży oraz osoby sprzedającej. A więc ustalenienumeru aukcji (ewentualnie danych charakterystycznych dotyczących sprzedawanegoprzedmiotu zamieszczonych w opisie), daty rozpoczęcia i zakończenia aukcji,daty przystąpienia do aukcji, ceny i opisu przedmiotu aukcji, itp. Następniewszystkie dane osobowe i kontaktowe podane przez sprzedającego, tj. imię inazwisko, adres zamieszkania lub prowadzenia działalności (NIP, REGON), numerytelefonów, kont bankowych, login (nazwa użytkownika), adres pocztyelektronicznej (identyfikator użytkownika komunikatora GaduGadu, Skype).Znaczenie ma również sposób w jaki pokrzywdzony logował się na stronie przedmiotowej aukcji, czy np. był to znany portal aukcyjny, czy przekierowaniez linku zamieszczonego w treści otrzymanej wiadomości. Pokrzywdzony powinien zabezpieczyćten link np. poprzez wydrukowanie dokładnego adresu podanego przez sprawcę.Jeżeli w trakcie trwania aukcji lub po jej zakończeniu pokrzywdzony kontaktowałsię ze sprawcą, wówczas powinien zachować treść korespondencji aby było możliweustalenie kiedy i w jaki sposób była prowadzona korespondencja (adres e-mail,komunikatory internetowe, wiadomości tekstowe SMS). Jeżeli pokrzywdzony wpłaciłpieniądze, należy zachować wszelką dokumentację potwierdzającą w jaki sposób,kiedy i gdzie dokonano płatności. Do składanego zawiadomienia pokrzywdzonypowinien załączyć wydruki: strony głównej aukcji, zdjęć zamieszczonych nastronie, danych i komentarzy dotyczących sprzedającego (ewentualnie stronysprzedającego), wydruk korespondencji, potwierdzenia wpłaty itp. Przywykonywaniu wydruków korespondencji elektronicznej należy pamiętać by były onewykonane z uwzględnieniem nagłówka rozszerzonego (właściwości/źródła)wiadomości, który wskazuje „wirtualną” jej drogę. Jak widać pokrzywdzony możewe własnym zakresie zabezpieczyć wiele danych dotyczących sprzedającego.Informacje uzyskane od pokrzywdzonego, już w momencie składania zawiadomienia,mają decydujący wpływ na dalsze postępowanie dowodowe i wykrycie sprawcyprzestępstwa.
Podsumowując, użytkownicyInternetu powinni przestrzegać kilku prostych zasad bezpieczeństwa:
1. Należy korzystać z programu antywirusowego, regularnie aktualizowanego, cozapewni skuteczną ochronę przed wieloma różnymi zagrożeniami internetowymi(wirusami, robakami, trojanami itp.).
2. Nie należy otwierać linków lub załączników podanych w wiadomościach e-mail,które wzbudzają wątpliwości, ponieważ mogą one zawierać szkodliweoprogramowanie lub będą łączyły nas z fałszywymi adresami służącymi dowyłudzenia pieniędzy lub kradzieży tożsamości.
3. Wszelkichpłatności bankowych dokonywać z wykorzystaniem protokołu https (oznaczony ikonąw kształcie kłódki), który zapewnia bezpieczeństwo transmisji danych. Warto teżwyświetlić certyfikat poświadczający bezpieczną transmisję danych, gdyżbardziej wyrafinowani sprawcy przestępstw potrafią użyć protokołu https, alenie posiadają certyfikatu bezpieczeństwa.
Cyberprzestępcy stosująodpowiednio sformułowane zwroty lub tworzą bardziej rozbudowane i złożonefabuły w celu wzbudzenia zaufania. Oszuści wykorzystują łatwowierność,chęć pomocy innym, chęć szybkiego wzbogacenia, pośpiech, czy ciekawość. Należypamiętać, że wyłącznikiem logicznego myślenia i czujności jest najczęściejchciwość. Przede wszystkim musimy być jednak świadomi tego, że bezpieczeństwo wwirtualnej przestrzeni zależy od samych jej użytkowników. Nie pomogą nam żadnezabezpieczenia systemowe jeżeli sami nie zachowamy należytej ostrożności izdrowego rozsądku.
Źródło: KGP