Zwiń

Nie masz konta? Zarejestruj się

Cyberprzestępcy biją kolejne rekordy. Klienci głównych platform zakupowych narażeni bardziej niż rok temu

Elżbieta Rutkowska Anna Wittenberg
Ten tekst przeczytasz w 3 minuty
Phishing
Phishing
Shutterstock

Na głównych platformach zakupowych – Allegro, OLX, Vinted – incydentów cyberzagrożeń odnotowano już tyle, ile w całym ubiegłym roku.

40 tys. – tyloma zgłoszeniami prób internetowego oszustwa, jak szacują eksperci z NASK, zamknie się 2022 r. Już po danych uzyskanych do połowy listopada widać, że przypadków phisingu i spoofingu, czyli prób kradzieży danych za pomocą technologii telekomunikacyjnych, jest znacznie więcej niż rok temu. Większe żniwa złodzieje zbierają też na platformach zakupowych. W całym 2021 r. do NASK trafiło ok. 4,5 tys. zgłoszeń o takich przypadkach. W tym roku ten poziom osiągnęliśmy w listopadzie. A to niepełny obraz sytuacji, bo nie każdy przypadek jest raportowany. Wciąż nie wszyscy oszukani wiedzą, że informacje o takich próbach można przesłać do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CERT) NASK. W dodatku doroczny sezon największych żniw dla cyberprzestępców dopiero się zaczął. Przypada bowiem na okres najintensywniejszych zakupów przedświątecznych.

– Sposobów na oszustwa przybywa, a akcje cyberprzestępców stały się o wiele bardziej masowe – mówi Piotr Belniak z CERT.

Do wyłudzania danych osobowych i informacji dających dostęp do konta bankowego ofiary oszuści często używają metod związanych z funkcjonowaniem internetowych platform sprzedażowych. Najpopularniejsze, a przez to najczęściej wykorzystywane przez cyberprzestępców platformy starają się edukować internautów. Najczęściej robią to, wyświetlając ostrzegawcze komunikaty. Na przykład na głównej stronie OLX w taki baner od stycznia do października kliknęło ponad 1,5 mln osób. Od połowy roku ostrzeżenie antyphishingowe pojawia się też po wejściu w zakładkę „Twoje ogłoszenia” (zostało już wyświetlone ponad 11 mln razy). Aplikacja tej platformy pyta też, czy użytkownik na pewno chce udostępnić swoje dane w okienku czatu. Adresy stron, gdzie jesteśmy proszeni o dane, można zaś zweryfikować w „sprawdzaczu linków”.

Od stycznia do października tego roku OLX Polska zgłosił do CERT ponad 2,7 tys. linków phishingowych, z czego ponad 2 tys. przez sprawdzacz linków. – Udaje nam się zgłaszać do CERT więcej linków phishingowych, ponieważ sprawdzacz linków to proste narzędzie i użytkownicy chętnie z niego korzystają. Nie muszą wysyłać wiadomości przez formularz kontaktowy – stwierdza Ewa Lepczyk-Żerdzicka, szefowa zespołu bezpieczeństwa w OLX.

Prób oszustw jest wprawdzie coraz więcej, ale też coraz więcej osób potrafi rozpoznać próby phishingu. Jak nas informuje OLX, dotychczasowa liczba oszukanych osób jest o prawie połowę mniejsza niż rok wcześniej. – Mamy więcej świadomych użytkowników, którzy zgłaszają nam podejrzane przypadki, abyśmy mogli zareagować, niż tych nieświadomych, którzy zostali oszukani – podkreśla Ewa Lepczyk-Żerdzicka.

Joanna Fatek, ekspertka w banku PKO BP, podkreśla, że dopóki klient nie poda przestępcom danych do logowania, danych karty, nie autoryzuje transakcji ani nie zainstaluje aplikacji umożliwiającej przejęcie kontroli nad jego komputerem lub komórką, pieniądze na jego koncie są całkowicie bezpieczne. – Aby tak było, musi przestrzegać podstawowych zasad bezpieczeństwa, m.in.: nie otwierać załączników z niepewnych źródeł, nie klikać w podejrzane linki, aktualizować na bieżąco oprogramowanie antywirusowe i nie podawać osobom postronnym swoich loginów i haseł – wylicza.

Rzecznik finansowy dr Bohdan Pretkiel zaznacza jednak, że zapewnienie bezpieczeństwa środków na kontach i dokonywanych na nich transakcji jest obowiązkiem banków. – Przerzucanie na klientów konsekwencji złamania przez przestępców zabezpieczeń systemu bankowego przeczy założeniom leżącym u jego podstawy – stwierdza Bohdan Pretkiel. – Klient, dokonując transakcji, ma uzasadnione przekonanie, że jego bank zapewni mu wysoki standard ochrony. Dyrektywa PSD2 wyraźnie wskazuje, że tym standardem jest, by bank w przypadku, gdy nie stwierdzi próby wyłudzania środków ze strony klienta, automatycznie zwracał na jego konto utracone pieniądze – podkreśla.

Bank ma obowiązek zwrócić kwotę nieautoryzowanej transakcji najpóźniej do końca następnego dnia roboczego (termin D+1) po stwierdzenia braku jej autoryzacji. Wyjątkiem od tej reguły jest sytuacja, gdy zachodzi uzasadnione podejrzenie, że konsument próbuje dokonać oszustwa (o czym zawiadomiono organy ścigania) lub jeśli zgłoszenie nieautoryzowanej transakcji nastąpiło po upływie 13 miesięcy od obciążenia rachunku.

Ponadto jeżeli po oddaniu środków bank wykaże, że oszuści uzyskali dostęp do konta w wyniku rażącego niedbalstwa jego właściciela, może się od niego domagać oddania tej kwoty z powrotem.

Banki nie zawsze jednak stosują się do tych zasad. Na początku lipca UOKiK poinformował o tym, że postawił zarzuty naruszania zbiorowych interesów konsumentów pięciu bankom: Millennium, BNP Paribas, Credit Agricole, mBankowi i Santanderowi. – Zarzuty dotyczą niezwracania konsumentom w ustawowym terminie kwot nieautoryzowanych transakcji, a także wprowadzania ich w błąd w odpowiedziach na reklamacje. Nie wykluczamy stawiania zarzutów kolejnym bankom – informuje Tomasz Chróstny, prezes UOKiK.

Co robić, gdy mimo ostrzeżeń i ostrożności padniemy ofiarą cyberprzestępcy? – Gdy klient zorientował się, że padł ofiarą oszustwa i zauważył, że z jego rachunku zostały wykonane nieautoryzowane przez niego transakcje, powinien jak najszybciej skontaktować się bankiem, a następnie zgłosić podejrzenie popełnienia przestępstwa policji – informuje Joanna Fatek. ©℗

1,3 tys. szkodliwych stron wpisano już na listę ostrzeżeń CERT
2 mln prób wejścia na takie witryny zablokowano
11 tys. zgłoszeń fałszywych SMS-ów odnotowano w rekordowym miesiącu – maju 2022 r.