Jakie jest najbardziej wyrafinowane oszustwo internetowe, z którym się Pan spotkał?

Problem w tym, że internetowi oszuści nie są zbyt wyrafinowani. Większość ataków jest dość banalna, zgodnie z maksymą, że najlepiej sprawdzają się najprostsze rozwiązania... Z ciekawych ataków, które ostatnio zbierały spore żniwo wśród Polaków, można wymienić okradanie internetowych kont bankowych metodą "na błędny przelew".

Po zalogowaniu na konto bankowe pokazuje się nam komunikat (kolorystycznie i stylistycznie pasujący do wyglądu banku), w którym bank informuje nas, że na naszym rachunku przez pomyłkę zaksięgowano przelew skierowany do innego klienta. W komunikacje przywoływane są paragrafy kodeksu karnego i informacja, że przelew należy zwrócić własnoręcznie, bo bank zgodnie z prawem nie może nikomu "zabrać" pieniędzy z konta. Na zwrot mamy kilka dni, potem sprawa ma być przekazana organom ścigania (jako przywłaszczenie). Kiedy zaglądamy w saldo i historię przelewów, widzimy, że rzeczywiście jest ono powiększone o kwotę z komunikatu i na liście widnieje przelew od nieznanej nam osoby... robimy więc zwrot, własnoręcznie zlecając przelew oraz potwierdzając go kodem SMS. Dopiero po kilku dniach okazuje się, że zarówno komunikat jak i zmodyfikowane saldo było sprawką trojana Citadel, którym zainfekowano nasz komputer. Przelew który wykonaliśmy nie był zwrotem – sami oddaliśmy pieniądze oszustom, i jeszcze potwierdziliśmy to kodem z SMS-a.

Czy oszustwa w internecie to dzieła pojedynczych "ciułaczy", a może mamy tu do czynienia ze sprawnie funkcjonującymi grupami przestępczymi?

O ile kilkanaście lat temu, większość ataków komputerowych i wirusów powstawała głównie dla żartu lub z chęci udowodnienia, że da się coś "zepsuć", to obecnie wszelkie błędy w oprogramowaniu są wykorzystywane przede wszystkim w celach zarobkowych lub w celu uzyskania przewagi (szpiegostwo gospodarcze). Exploitami, czyli programami, które wykorzystują błędy w oprogramowaniu do wykonania konkretnej akcji (np. kradzieży danych) handluje się, a ich ceny mogą sięgać kilkuset tysięcy dolarów. Istnieją nawet specjalne platformy aukcyjne do licytacji exploitów – sprzedaje się je temu, kto zapłaci więcej.

Internetowi przestępcy mają także możliwość zakupienia odpowiedniego oprogramowania, które służy do generowania niewykrywalnego przez programy antywirusowe złośliwego oprogramowania. Tzw. malware pozwala osobie o praktycznie zerowych zdolnościach technicznych, kilkoma kliknięciami przeprowadzić zautomatyzowane ataki na internautów, a następnie daje możliwość wykradania konkretnych danych z przejętych komputerów w celu ich spieniężenia (numery kart kredytowych, dane dostępowe do skrzynek pocztowych, itp.).

Czy służby odpowiedzialne za walkę z przestępczością traktują internetowe oszustwa na równi z przestępstwami popełnionymi w "realu"?

Mamy w polskim kodeksie karnym tzw. prawo komputerowe. Te kilka paragrafów pojawia się w aktach oskarżenia od czasu do czasu. Istnieje więc możliwość skazania sprawcy za przestępstwo w internecie, jak i popełnione przy użyciu komputera. O ile ma się podejrzanego - bo w internecie stosunkowo łatwo można zatrzeć za sobą ślad, jeśli wie się jak to zrobić.

Inną kwestią jest przygotowanie merytoryczne prokuratorów czy też sędziów do tego typu spraw. Techniczne aspekty niektórych internetowych przestępstw są mocno zawiłe – bardzo łatwo można "wrobić" kogoś w rolę sprawcy ataku.

W przypadku phishingu i tzw. szwindlu nigeryjskiego, e-maile otrzymane od oszustów bardzo często pełne są błędów ortograficznych i merytorycznych. Czy to celowy zabieg?

Niektórzy z badaczy uważają, że jest to zabieg celowy, mający na celu nawiązanie korespondencji tylko z tymi najbardziej naiwnymi internautami. Jest to całkiem sensowna teza – gdyby e-maile były doskonale przygotowane, wiele osób odpowiadałoby na wiadomości, co mogłoby znacznie obciążyć szajkę oszustów – pamiętajmy, że typowy nigeryjski szwindel wymaga dość angażującej i długotrwałej wymiany spersonalizowanych wiadomości pomiędzy ofiarą a oszustem.

Innym wytłumaczeniem tak niskiej jakości treści jest wysyłanie tych e-maili przez stosunkowo młode i niewykształcone osoby, które w internetowych oszustwach widzą łatwy sposób na podreperowanie swojego budżetu.

Ostatnio niesławną popularnością cieszą się oszustwa na tzw. „stronach premium". Często nie zdajemy sobie sprawy, że sam fakt rejestracji w takim serwisie obciąży nas niebotycznymi kosztami Oczywiście, aby zabezpieczyć się przed takim oszustwem, wystarczy odrobina zdrowego rozsądku i dokładna lektura wszelkich regulaminów. Co jednak zrobić, gdy "mleko już się rozlało", a naciągacz straszy nas sądem lub komornikiem?

Polecam kontakt z prawnikiem. Od strony technicznej jest już za późno na jakąkolwiek reakcję. Warto oczywiście zgłosić się do operatora po pomoc polegającą na zablokowaniu komunikacji z odpowiednimi numerami lub namierzeniu właściciela usługi, do której nieświadomie się zapisaliśmy.

Coraz częściej wylęgarnią dla oszustów i naciągaczy stają się również portale społecznościowe. Na jakie zagrożenia narażeni są użytkownicy Facebooka?

Ciężko mówić o zagrożeniach charakterystycznych dla użytkowników Facebooka. Facebook oferuje adres e-mail i możliwość wymiany wiadomości, a więc wszyscy Facebookowicze są podatni na wszelkie zagrożenia związane z korespondencją e-mail; phishing oraz nigeryjskie szwindle, które od jakiegoś czasu także panoszą się po Facebooku. Problemem dla Facebooka na pewno są złośliwe aplikacje, do których instalacji jesteśmy namawiani na różnych stronach.

Aplikacje te udają "niewinne", a tak naprawdę w trakcie instalacji, uzyskują dostęp do naszego konta, który pozawala na odczyt wszystkich danych na nasz temat oraz możliwość umieszczania w serwisie wpisów w naszym imieniu.

Użytkownicy Facebooka przede wszystkim powinni przejrzeć ustawienia swojego konta pod kątem prywatności i zweryfikować jakie dane podali w serwisie oraz kto je widzi. Warto także włączyć dwuskładnikowe uwierzytelnienie w zakładce "bezpieczeństwo", co pozwoli uchronić nasze konto przed przejęciem. Wówczas, nawet jeśli ktoś pozna nasz login i hasło, to do zalogowania będzie potrzebować jeszcze kodu SMS przesłanego na nasz telefon.

Czy istnieje "5 złotych zasad", które uchronią nas przed oszustwami w internecie?

Nie znam oficjalnego zbioru takich zasad, ale na pewno pomoże zastosowanie się do poniższych rad:

1. Aktualizuj oprogramowanie. Korzystanie z nieaktualnego pozwala atakującym na przejęcie kontroli nad twoim komputerem.

2. Korzystaj z różnych haseł do różnych serwisów. Dzięki temu wyciek haseł z jednego serwisu na którym masz konto nie otworzy atakującemu dostępu do innych kont.

3. Zastanów się co umieszczasz w internecie - wszystkie wgrywane do sieci dane, nawet jeśli są wysyłane tylko jednej osobie, należy traktować jako publicznie dostępne. Przekonał się o tym sam Mark Zuckerberg, który na skutek błędu w Facebooku ujawnił swoje prywatne zdjęcia całemu światu. To samo może spotkać ciebie, i tyczy się nie tylko Facebooka, ale i Gmaila, Google Docs, etc.

4. Zainstaluj oprogramowanie antywirusowe. Nie jest ono idealne i ci bardziej zaawansowani atakujący z łatwością je oszukają, ale mimo wszystko po internecie panoszy się dużo standardowych wirusów, z którymi program antywirusowy doskonale sobie poradzi

5. Myśl. Nic nie jest tak dobrym zabezpieczeniem jak nasz zdrowy rozsądek. Dobrze trenować go na cudzych błędach, a nie na własnych, dlatego warto czytać branżowe serwisy opisujące najnowsze zagrożenia w sieci przystępnym językiem, np. niebezpiecznik.pl

PIOTR KONIECZNY - szef zespołu bezpieczeństwa Niebezpiecznik.pl, firmy zajmującej się włamywaniem do sieci komputerowych innych firm (za zgodą ich właścicieli), w celu identyfikacji błędów bezpieczeństwa zanim wykorzystają je prawdziwi włamywacze.