Tak popsujesz sobie wyjazd. Tłumaczymy, jak działają przestępcy, którzy podszywają się pod znane firmy

Wypad na kilka dni chodził ci po głowie od dłuższego czasu. Jak to zwykle bywa, trudno było się zdecydować, czy tym razem postawić na morze, czy góry. Na dodatek pojawił się problem z ustaleniem terminu, załatwieniem urlopu – ot, proza życia. Przeglądając Facebooka, natykasz się na konkurs: do wygrania tydzień w luksusowym hotelu. Wystarczy polubić stronę i napisać komentarz. Zerkasz na liczbę polubień profilu i widzisz, że ma kilkanaście tysięcy. Mnóstwo osób komentuje, licząc na wygraną. Kto nie ryzykuje, ten nie wygrywa, więc i ty zostawiasz komentarz. To jakby znak, że czas na urlop – taka dobra okazja może się już nie powtórzyć!

Szybko przychodzi ogłoszenie wyników. Profil cię oznacza i pisze, że zwycięzcy znajdują się na podanej stronie. Klikasz i widzisz swoje konto. Czym prędzej wykonujesz polecenie w poście, czyli przechodzisz do formularza dla zwycięzców i wypełniasz dane. W głowie już masz obraz siebie i bliskich w luksusowym hotelu, restauracji, basenie, spa…

Wszystko zaczęło się od fikcyjnego konta na Facebooku, które jedynie udawało prawdziwy hotel. Oszuści wypromowali fałszywkę, bo najpierw wykupili polubienia i komentarze. A potem samo poszło – ludzie, licząc na to, że wygrają w konkursie, klikali lubię to i nieświadomie propagowali konto. Pomagały też komentarze i udostępnienia. Nawet czujne osoby mogłyby pomyśleć, że to prawdziwy konkurs istniejącego hotelu, skoro profil cieszy się taką popularnością.

Do czego zaś prowadzi „formularz dla zwycięzców”? Wiele zależy od inwencji samych oszustów. Może to być strona służąca do zapisania się do płatnej usługi SMS premium lub wyłudzania danych. Ofiara myśli, że wpisuje niezbędne informacje do rezerwacji, a tak naprawdę ujawnia wszystko przestępcom – w tym dane karty płatniczej (oszuści mogą zasugerować, że sam pobyt jest darmowy, ale trzeba uiścić drobną opłatę, np. w celach weryfikacji). Inny możliwy scenariusz to trafienie na stronę, która przypomina portal społecznościowy. Oszukiwana osoba ma wrażenie, że loguje się na prawdziwym Facebooku, a tymczasem przekazuje hasło i login oszustom. Ci przejmują konto i wykorzystując skradzioną tożsamość, proszą znajomych np. o przelanie środków Blikiem. Niestety, to bardzo powszechne oszustwo – niedawno mieszkanka powiatu nowosądeckiego straciła w ten sposób 800 zł, myśląc, że pomaga mężowi. Jego konto przejęli cyberprzestępcy, wykorzystując właśnie klasyczny phishing. Zamiast wymarzonego wyjazdu, ściągnięcie kłopotów na innych.

Tego typu stron w Internecie jest mnóstwo. W dwa wakacyjne miesiące specjaliści z CERT Polska zablokowali blisko 12 tys. domen używanych do wyłudzania danych lub pieniędzy. Jak widać, skala tego problemu jest olbrzymia. I niestety nie ma branży, która mogłaby powiedzieć: nas to nie dotyczy.

- Cyberataki imitujące linię lotniczą nie różnią się od tych, które można napotkać,
kupując odzież, sprzęt RTV czy inne usługi – wyjaśnia Daniel Mielczarek, administrator cyberbezpieczeństwa PLL LOT.

Jak zaznacza: bardzo często oszuści stosują tę samą przynętę – fikcyjny konkurs lub wyprzedaż, dzięki którym wydaje się, że można zdobyć cenną rzecz bardzo niewielkim kosztem. Przyciągnięci „ofertą” wchodzimy na stronę i podajemy nasze dane.

- Korzystając z takiej oferty, możemy przekazać cyberprzestępcom szeroką bazę informacji o sobie czy swojej rodzinie, stracić dostęp do naszych kont w mediach społecznościowych lub w najgorszym przypadku do konta bankowego. Gdy jesteśmy świadomi tego rodzaju zagrożeń, powinniśmy bez trudu dostrzec propozycję cyberprzestępców. To niespotykane, by linia lotnicza kontaktowała się z klientem przez Messengera, bez wcześniejszego zainicjowania przez niego korespondencji! – dodaje specjalista.

Często ich atrakcyjne oferty mają limit czasowy – w komunikatach podkreślają, że promocja lada moment się skończy i z promocji czy nagrody nici. Działając pod presją, nie ma czasu na zastanowienie i przeanalizowanie. Trzeba działać szybko i zdecydowanie. Oszustom zależy też na wywołaniu stresu i niepokoju. W fałszywych mailach, wiadomościach czy komunikatach piszą, że rezerwacja została odwołana, bilet nie jest opłacony lub doszło do nietypowego zdarzenia, które wymaga od nas natychmiastowej reakcji. Działając w stresie, tak jak w euforii, nie zauważa się sygnałów ostrzegawczych, co pomaga zrealizować cel oszustom. Na wykorzystywanie przez cyberprzestępców emocji zwraca także uwagę kierownik zespołu CERT Polska Sebastian Kondraszuk.

Ekspert PLL LOT ds. cyberbezpieczeństwa przypomina, że przestępcy są dobrze zorientowani w trendach konsumenckich i rozpoznają okazje, które mogą sprzyjać ich działalności. Liczba fałszywych sklepów lawinowo rośnie w okresie wyprzedaży, takich jak na przykład Black Friday. Branża podróżnicza odnotowała skok po pandemii COVID-19, gdy wiele osób zdecydowało się odbyć odkładane miesiącami podróże.

Celem ataku są nie tylko sami pasażerowie, turyści czy przewoźnicy. Ostatnio głośno jest o oszustwach wymierzonych w branżę hotelarską. Przekręt działa podobnie jak w przypadku zwykłego Kowalskiego, tyle że przestępcom zależy na wyłudzeniu kont, z których pracownicy piszą do hotelowych gości. Zdobywając login i hasło, podszywają się pod prawdziwy hotel i informują np. o problemach z płatnością. Podsyłają link do fałszywej strony, która pozwala ukraść dane i pieniądze. Ofiara ma wrażenie, że rozmawia z prawdziwym przedstawicielem firmy oferującej nocleg – bo cała komunikacja odbywa się np. na platformie służącej do rezerwowania pobytu i jest kontynuacją wcześniej prowadzonych rozmów czy transakcji. W takich przypadkach poszkodowany jest zarówno sam hotel, którego wizerunek posłużył do kradzieży, jak i gość.

Jak się chronić? W przypadkach opisanych powyżej, zasada pozostaje w zasadzie taka sama: należy zachować czujność. Ważne jest dokładne sprawdzanie, na jakiej stronie się znajdujemy lub kto jest nadawcą wiadomości. Oszuści bardzo dobrze podrabiają witryny czy komunikaty, co sprawia, że wyglądają one bardzo wiarygodnie. Różnice mogą się kryć właśnie w nazwie domeny czy skrzynce pocztowej. Czasami różnica to jedna litera – np. „I” i „l” to dwie różne litery (duże „i” oraz małe „L”), ale na pierwszy rzut oka na ekranie komputera czy telefonu będą wyglądały identycznie.

Przestępcy są świadomi, że mimo wszystko da się odczytać ich zamiary, dlatego robią wszystko, aby przekonać nas, że mamy do czynienia z prawdziwą i bezpieczną stroną. Jedną z takich sztuczek jest wykorzystanie zielonej kłódki, która wyświetla się przy adresie. Potencjalna ofiara ma sobie skojarzyć, że taką samą widziała wcześniej, m.in. na witrynach bankowych, przez co uzna, że serwis jest bezpieczny. Gdzie leży haczyk?

- Zielona kłódka odpowiada tylko za to, że nasza strona dostała certyfikat zgodności i jest szyfrowana, tzn., że zapytanie od użytkownika do nas jest połączeniem szyfrowanym. Niestety cyberprzestępca również może wykupić certyfikat. Z tego względu np. Google wyeliminował kłódki, żeby nie wprowadzać użytkowników w błąd – wyjaśnia ekspert PLL LOT.

Logując się na portale, podajemy nie tylko hasło, ale też potwierdzamy w aplikacji, że my to my. Nawet jeśli przestępcy zdobędą login i hasło, to nie będą mogli zatwierdzić tożsamości. Taką samą funkcję pełnią klucze U2F, które podłącza się do urządzenia poprzez USB.

W PLL LOT za bezpieczeństwo pasażerów w sieci odpowiada dedykowany zespół ekspertów. Każdego dnia monitorują oni sieć pod kątem ataków czy zagrożeń. Systemy działają całą dobę i każdy sygnał o potencjalnym cyberataku jest weryfikowany przez algorytmy.

- Algorytm odszyfrowuje potencjalnie groźną wiadomość w kilku krokach; sprawdza nagłówki wiadomości, nadawców, zgodność certyfikatów bezpieczeństwa, zgodność kluczy prywatnych z publicznymi, jak również zawartość: linki, załączniki.  Każde z narzędzi, jakich używamy, monitoruje inną część infrastruktury: bazy danych, systemy aplikacyjne, połączenia przychodzące w sieci komputerowej czy infrastrukturę chmurową. Omawiamy w zespole każdy przypadek cyberzagrożeń i sposób postępowania w każdym z nich – tłumaczy ekspert PLL LOT.

Jeśli zagrożenie zostaje wykryte, zespół PLL LOT kontaktuje się z partnerami – działającym w ramach NASK zespołem CERT Polska oraz Google. Dzięki temu przestępcy nie mogą dotrzeć ze swoim komunikatem do potencjalnych ofiar. Strony, które wykorzystują do oszustw, trafiają na Listę Ostrzeżeń, a dostęp do nich jest blokowany dla użytkowników.

Bardzo często walka z cyberprzestępcami przypomina starcie z mitologiczną Hydrą – na miejsce jednego oszustwa wskakują kolejne. Dlatego użytkownicy sieci muszą być świadomi zagrożeń i pamiętać, że oszuści liczą nawet na drobną nieuwagę. Wystarczy nie zauważyć niewielkiej zmiany w adresie witryny, aby wejść na podstawioną stronę i podać tam swoje dane. W celu uniknięcia takich sytuacji warto zapoznać się z zasadami bezpieczeństwa, które przygotował PLL LOT.