Oszuści uciekają się do różnych sztuczek, by wyłudzić od nas pieniądze. W dobie internetu, kiedy większość spraw urzędowych i finansowych załatwiamy online, przestępcy polują także na dane do naszego konta. Stosują przy tym kilkanaście sposobów wykorzystując autorytet publicznych instytucji: ZUS-u, banku, policji, ministerstw, urzędów. Jak działają oszuści i jak się zabezpieczyć przed kradzieżą?
Spis treści
ZUS, NFZ, Policja czy Ministerstwa czasem kontaktują się z obywatelami. Powodem są np. zmiany przepisów czy alerty. Oprócz tradycyjnych pism dostarczanych pocztą, instytucje te wykorzystują cyfrowe technologie i przesyłają ważne informacje przez internet, w SMS-ach. Wykorzystują to przestępcy – w ostatnich tygodniach mamy prawdziwy wysyp fałszywych wiadomości w wielu wariantach. Oto siedem najnowszych metod na wyłudzenie danych i pieniędzy, przed którymi ostrzegają… prawdziwe instytucje.
Ofiara otrzymuje SMS z „Ministerstwa Zdrowia”, w którym oszuści zachęcają do złożenia wniosku o odszkodowanie za powikłania po szczepieniu. Pod pozorem logowania się na stronie rządowej wyłudzane są dane pozwalające oszustom na kradzież pieniędzy z karty płatniczej. SMS zawiera link, kierujący do fałszywego wniosku o rekompensatę. Dane, które tam podamy trafią w ręce złodziei.
Komisja nadzoru finansowego wydała ostrzeżenie dotyczące tej próby wyłudzenia danych.
„Dnia 5 czerwca 2023 r. o godzinie 17.31 wystawiono e-receptę…” Ta znana formuła w odebranym e-mailu, wysłanym rzekomo przez Centrum e-Zdrowia raczej nie budzi naszych wątpliwości. W załączniku wiadomości jest plik PDF – mamy go otworzyć, by zobaczyć szczegóły recepty. Jednak złośliwy załącznik prowadzi faktycznie do strony, na której oszuści wyłudzają dane logowania do poczty elektronicznej.
Posługując się naszym e-mailem, oszuści mogą założyć konta w wielu serwisach i na nasz rachunek dokonać różnych transakcji.
Wyłudzacze rozsyłają SMS-y z informacją o świadczeniu do odebrania. By dostać pieniądze trzeba wypełnić formularz – dostępny po kliknięciu w podany w wiadomości link. Jednak prowadzi on w istocie do fałszywej strony Ministerstwa Rodziny i Polityki Społecznej – choć logo jest prawdziwe, a wygląd witryny na pierwszy rzut oka identyczny, to adres strony zupełnie inny.
Celem oszustów jest przechwycenie danych do bankowości elektronicznej (trzeba je podać, by „ ZUS” przelał nieodebrane świadczenie na konto). ZUS ostrzega emerytów i rencistów przed tą kampanią SMS-ową i przypomina, że nigdy nie wysyła żadnych wiadomości z aktywnymi linkami! Informacje o świadczeniach są dostępne online wyłącznie po zalogowaniu się na portalu PUE ZUS.
Potencjalna ofiara otrzymuje SMS z informacją o spełnieniu kryteriów do przyznania rządowego wsparcia, czyli dodatku mieszkaniowego. Kliknięcie w umieszczony w wiadomości link przenosi na stronę internetową, która przypomina witrynę gov.pl. Odczytamy tam komunikat informujący o przyznaniu dodatku.
Aby otrzymać pieniądze, należy potwierdzić odbiór świadczenia za pomocą Profilu Zaufanego. Kolejny link prowadzi do fałszywego serwisu Ministerstwa Finansów i strony logowania do Profilu – uzyskanie dostępu prowadzi przez bank. Login i hasło do bankowości elektronicznej, które tu wpiszemy trafią bezpośrednio do oszustów.
Masowo rozsyłane są też fałszywe e-maile rzekomo pochodzące od… zastępcy Komendanta Centralnego Biura Zwalczania Cyberprzestępczości, nadkom. Marcina Bednarza! E-mail zawiera wezwanie do złożenia natychmiastowych wyjaśnień – by odpowiedzieć na wezwanie, należy otworzyć załącznik, w którym musimy podać wiele wrażliwych danych, m.in. PESEL. Ten komplet danych jest prawdziwym celem oszustów.
Pamiętajmy, że o wszelkiego rodzaju wezwaniach czy wszczęciu postępowania policja nie informuje przez pocztę elektroniczną!
Dzwoni do nas oszust, ale na ekranie telefonu wyświetla się autentyczny numer telefonu sekretariatu jednego z departamentów Ministerstwa Finansów – 22 694 47 92 (to tzw. spoofing, czyt. spufin). Rozmówca przedstawia się i informuje nas o próbie włamania na konto – by chronić oszczędności, musimy podać dane do bankowości elektronicznej.
Pamiętajmy, że nawet jeśli otrzymamy telefon od osoby przedstawiającej się jako urzędnik, czy pracownik banku, a numer z którego dzwoni jest właściwy, nim podamy jakiekolwiek wrażliw informacje lepiej się rozłączyć i samodzielnie zadzwonić do urzędu/ banku, by zweryfikować ten kontakt. Przez telefon żaden prawdziwy pracownik banku lub ministerstwa nigdy nie prosi o loginy, hasła itp. poufne informacje!
W e-mailach nadesłanych z adresów: informatycy@ nfz.gov.pl, [email protected]. pl, [email protected] otrzymujemy ostrzeżenie o wielkim wycieku poufnych danych lub o aktualizacji systemu SZOI czyli Systemu Zarządzania Obiegiem Informacji.
Każdy e-mail zawiera link, który rzekomo pozwala pobrać niezbędne dokumenty do ochrony danych albo (w wariancie o aktualizacji systemu) przejść do strony logowania do systemu SZOI. Kliknięcie w odnośnik powoduje zainstalowanie złośliwego oprogramowania na naszym urządzeniu. W ten sposób cyberoszuści przejmują nad nim kontrolę i uzyskują dostęp do wszystkich loginów i haseł.
Trzy złote zasady, których musimy przestrzegać, korzystając z internetu:
W przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank powinien zwrócić płatnikowi kwotę tej transakcji – zgodnie z art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2021 r. poz. 1907 z późn. zm.). Jeśli zorientujemy się, że oszustom udało się zdobyć dostęp do naszego rachunku płatniczego lub danych do karty trzeba niezwłocznie:
Banki często nie uznają reklamacji i nie chcą zwrócić pieniędzy, powołując się na zapis o winie właściciela rachunku za nieautoryzowane transakcje. Jednak to bank musi udowodnić, że doszło do nich z winy klienta – w wyniku umyślnego działania lub skutkiem rażącego niedbalstwa i naruszenia obowiązków wynikających z przepisów prawa bankowego i regulaminu usług. W razie sporu z bankiem warto zwrócić się po pomoc do Rzecznika Finansowego. Więcej na wwwrf.gov.pl