Piotr Guzik: – Od lat głośno jest o metodzie „na wnuczka” i jej innych odmianach, a ludzie nadal się na to łapią. Dlaczego?
Dr Karolina Małagocka: – Na początek podkreślmy jedną rzecz. Nazwanie metody „na wnuczka” sugeruje, że dają się na nią złapać osoby starsze. Tymczasem ofiarami oszustw i cyberprzestępców padają osoby w każdym wieku. Także bardzo młode.
– No dobrze, ale jak to się dzieje?
– Może się wydawać, że ludzie padają ofiarami oszustów losowo. A to jest precyzyjnie przygotowany, wieloetapowy proces. W terminologii wojskowej określa się je jako „kill chain”, czyli „łańcuch śmierci”. To cykl działań, które finalnie doprowadzają do likwidacji celu. I tutaj jest podobnie, tylko nikt nikogo nie zabija. Celem są pieniądze i dane danego człowieka.
– Jak działa „łańcuch śmierci”?
– Najpierw jest rozpoznanie, czyli zebranie informacji o społeczności. Potem dokładniejszy rekonesans dotyczący poszczególnych ludzi. Następne jest typowanie osób najbardziej podatnych na atak, m.in. na pobranie złośliwego oprogramowania, które pomoże gromadzić kolejne dane. To również analiza zawartości kont w mediach społecznościowych. Następnie danej osobie podsuwa się odpowiedni przekaz w sieci. Na przykład o drastycznych wypadkach samochodowych, o ludziach którzy mają kłopoty w związku z tym, że je spowodowali. Dopiero po jakimś czasie następuje atak.
– Brzmi jak bardzo czasochłonny proces.
– Owszem, ale oszuści korzystają z narzędzi automatyzujących większość opisanych dotąd działań. Człowiek wkracza do akcji w momencie, gdy trzeba wykonać telefon i dokonać próby oszustwa. Czasami dzieje się to jeszcze na etapie przygotowań, gdy kontakt służy potwierdzeniu, czy namierzany człowiek naprawdę istnieje. Robi to, co robił kiedyś figurant siedząc w aucie pod blokiem i obserwując wejście do klatki schodowej, by upewnić się, że jego cel tam mieszka. Zaś samo oszustwo to próba zagrania na emocjach podbudowanych wcześniejszymi dramatycznymi przekazami o wypadkach. Osoba tak urobiona prędzej będzie skłonna pomóc, myśląc, że jej bliski znalazł się w podobniej sytuacji i wymaga pilnego wsparcia. Co pokazuje, że wbrew powszechnemu przekonaniu, to nie jest jeden SMS czy telefon. To złożona operacja.
Oszuści mają też sposób na młodych
– Skoro oszuści wkładają w to tyle zaangażowania, to skuteczność musi być wysoka.
– Niekoniecznie. Mimo wszystko, sporo osób się na to nie łapie. Słyszymy przecież głównie tylko o tych przypadkach, kiedy udaje im się kogoś oszukać. Ale na ten jeden sukces przypada kilkanaście, a czasami i kilkadziesiąt porażek. Z drugiej strony, nawet kilka udanych oszustw na sto prób i tak potrafi przynieść przestępcom spory zysk. Dlatego dalej to robią.
– Młodzi też się na to łapią?
– Oni częściej padają ofiarami oszustwa „na buta”. Chodzi o sytuację, w której ktoś szuka supermodnych butów. I akurat natrafia na ofertę sklepu internetowego, który ma świetną ofertę na poszukiwane obuwie. Na dodatek przeceniony jest akurat tylko nasz rozmiar. Okazja, jakich mało. Cóż z tego, że wbrew logice, bo przecież towaru na topie, który dobrze się sprzedaje, raczej nikt nie przecenia. Rabat na coś, czego bardzo akurat pragniemy, robi swoje. Jesteśmy przecież łowcami i szukamy, gdzie da się coś kupić taniej. Więc klient dokonuje zakupu, robi przelew i czeka na upragnione buty. Tyle, że te nigdy nie docierają. Ze sklepem nie ma kontaktu. Strona nie istnieje. A my w najlepszym przypadku straciliśmy tylko pieniądze za nieistniejący towar i za jego rzekomą wysyłkę. W gorszym wypadku są to również dane osobowe oraz karty płatniczej.
– Trudno stworzyć taki fałszywy sklep internetowy?
– Wprost przeciwnie. Bardzo łatwo i to nie jest wielki wydatek. Koszt postawienia serwisu, który będzie wyglądał bliźniaczo podobnie do sklepu markowego, to wydatek rzędu 70-100 dolarów. Wykonanie takiej strony zajmuje dwie godziny. Do tego dochodzi sfałszowana bramka do płatności w sieci, bo te autentyczne weryfikują podmioty, którym świadczą tę usługę. A potem wystarczy czekać na to, aż ktoś się złapie. Takie sklepy potrafią powstawać jak grzyby po deszczu, ponieważ boty śledzą trendy w sieci i podpowiadają cyberprzestępcom, jakie sklepy opłaca się w danym czasie tworzyć.
Oszuści karmią się danymi osobowymi
– Powiedziała pani, że w najlepszym przypadku tracimy tylko pieniądze, a w gorszym także dane osobowe, czy karty płatniczej. Dlaczego przestępcom zależy na tych drugich?
– Mogłoby się wydawać, że dane z karty posłużą oszustom do robienia zakupów na nasz koszt albo wyczyszczenia konta. I to się zdarza. Większym zagrożeniem jest jednak to, że numery kart płatniczych stały się w sieci uniwersalnym identyfikatorem. Mogą więc komuś posłużyć do podszycia się pod nas poprzez uwierzytelnienie w internecie. Informacje o karcie, jak i dane osobowe, trafiają na specjalne giełdy w sieci, gdzie oszuści kupują takie banki danych całymi pakietami. Ich koszt zależy od tego, czy zawierają dane, które nie były jeszcze użyte, były użyte kilka razy, czy też używano ich wielokrotnie.
– Rozumiem, że te dane, które nie były jeszcze w użyciu, są najdroższe.
– Owszem, a także najbardziej pożądane, ponieważ zwiększają szanse oszustów na powodzenie ich procederu. Wpływ na cenę ma też wachlarz danych na temat danej osoby, bądź grupy osób. Informacje o tym, gdzie człowiek mieszka, gdzie pracuje, z jakiego banku korzysta, kto jest jego dostawcą energii, kto jest operatorem jego telefonu komórkowego, skąd ma internet w mieszkaniu, jakie są jego zainteresowania – to wszystko pozycje w tabelce w arkuszu kalkulacyjnym, które pokazują oszustom, gdzie mogą spróbować uderzyć.
– Jak?
– Choćby poprzez wysłanie na adres mailowy faktury o konieczności dokonania dopłaty za energię elektryczną z groźbą jej odcięcia w ciągu kilku dni. Wyobraźmy sobie, że taką fakturę dostajemy 22 grudnia. Za dwa dni Wigilia. Z wiadomości wynika, że na święta mogą nam odłączyć prąd. Jest tam też link do dokonania szybkiej zapłaty. Sporo osób będzie to próbowało najpierw wyjaśnić. Ale część poczuje presję, będzie chciało mieć szybko problem z głowy. Więc zapłaci, zasilając portfel oszustów, często pobierając przy tym złośliwe oprogramowanie na telefon lub komputer. Koszt takiego ataku jest niski, a nawet, jak nabierze się na niego ledwie 10 proc. celów, to może się zwrócić.
Emocje i manipulacja
– Czy są jakieś nieoczywiste dane, które mogą stanowić pożywkę dla cyberprzestępców, a powszechnie wydają się niegroźne?
– To loginy do naszych kont w sieci. Szczególnie loginy adresów mailowych. Korzystamy z nich chociażby przy serwisach streamingowych. Jeśli oszust wie, z którego serwisu korzystamy i jaki jest nasz login, to może nam wysłać wiadomość, że ostatnio nie dokonaliśmy comiesięcznej płatności lub że była ona niepełna, więc mamy szybko zapłacić, bo inaczej usługa będzie wyłączona. Na stronie takiego serwisu zazwyczaj dokonując płatności wpisujemy numer karty płatniczej oraz trzycyfrowy kod CVV. Tyle, że cyberprzestępcy w wiadomości kierują nas na fałszywą stroną łudząco podobną do autentycznej i w ten sposób poznają dane naszej karty.
– Przecież często wystarczy popatrzyć na adres, z jakiego przyszła wiadomość by się zorientować, że to kant.
– Ale to kto zrobi w emocjach? Zapewniam, że garstka ludzi.
– Kim są cyberprzestępcy, o których rozmawiamy?
– To często nie jacyś zdolni hakerzy, a ludzie, którzy mają doświadczenie w rozmowach i w przekonywaniu ludzi. Na przykład byli pracownicy call center. To osoby, które potrafią kierować rozmowy na właściwe dla nich tory oraz które wiedzą, jakie stosować techniki wpływu, by namówić kogoś do zrobienia czegoś, czego oni chcą.
– Przypomina mi to postać Kevina Mitnicka, znanego hakera, który był też biegły w manipulowaniu ludźmi.
– On mawiał, że hakuje nie komputery, tylko ludzi. Uważam jednak, że nie można mówić, że ktoś sam jest sobie winien, że padł ofiarą oszustów w sieci. To ich, przestępców, należy winić, a nie ofiary, które w ten sposób doświadczają wtórnej wiktymizacji.
Szpiedzy z internetu
– Ostatnio głośno było o tym, że za część głośnych podpaleń z 2024 roku odpowiada Kolumbijczyk, którego z pomocą aplikacji Telegram zwerbowali Rosjanie. Jak służby pozyskują ludzi przez takie aplikacje?
– Mechanizm jest ten sam, co przed laty. Różnica jest taka, że teraz agent nie musi siedzieć w barze i wypatrywać ludzi, którzy spełniają kryteria do tego, aby ich zwerbować. Wystarczy, że przeczesze sieć w poszukiwaniu odpowiednich kandydatów.
– Kim oni są?
– To nie musi być żaden ekstremista. Wystarczy ktoś samotny, niezadowolony z życia. Agent kontaktując się z nim, koresponduje w taki sposób, aby ten człowiek wzmacniał z nim więź. Robi to, prezentując pogląd na rzeczywistość zbieżny z tym, jaki ma jego cel. Wzmacnia w nim przy tym pewne przekonania i negatywne emocje względem pewnej grupy bądź władzy. I z czasem potrafi wmanewrować w zrobienie czegoś, co tej grupie lub państwu zaszkodzi. Czasem robi to prośbą, a czasem też groźbą.
– Sieć ułatwia wyszukiwanie takich podatnych osób, bo ludzie sami obnażają się ze swoimi poglądami i przekonaniami. Oraz gromadzą się w wirtualnych grupach.
– Owszem, ale to nie jedyne, co agentom ułatwia internet. Sieć znacznie uprościła przesyłanie pieniędzy. Kiedyś trzeba było wymyślać sposoby na przekazywanie kopert czy paczek z gotówką. Teraz wystarczy zorganizować przelew, który za sprawą różnych narzędzi do anonimizacji bardzo trudno jest wytropić.
– Jak się przed tym wszystkim bronić?
– Nie ma co ukrywać, że postęp technologiczny sprawia, iż narzędzia znajdujące się w rękach oszustów są coraz bardziej wyrafinowane. Odpowiedzią na tę technologię jest więcej technologii. To narzędzia, które sprawdzają, czy przeglądamy witrynę fałszywego sklepu. Albo czy wiadomość pochodzi z autentycznego źródła, czy to element masowej wysyłki oraz jakie jest geopolityczne źródło wiadomości. Takie rozwiązania są już coraz bardziej dostępne, a mając na uwadze, jak wiele naszego codziennego życia powiązanego jest z funkcjonowaniem w internecie, to korzystanie z programów do ochrony w sieci nie jest żadną fanaberią, a zwyczajnym zdroworozsądkowym działaniem. Skoro montujemy zamki w drzwiach, by nikt niepożądany nie wchodził nam do domu, to dlaczego tak wielu z nas zostawia oszustom dostęp do naszego cyfrowego domostwa szeroko otwartym?
Hasła. Zapisywać, ale często zmieniać
– A co z hasłami? Przez lata mówiło się, że nie należy ich nigdzie zapisywać, a jednocześnie, by do każdej usługi tworzyć inne hasło.
– To miało sens w czasach, gdy mieliśmy jedną elektroniczną skrzynkę pocztową, może ze dwa konta na jakichś portalach. Teraz takich kont w różnych serwisach, usługach i aplikacjach mamy dziesiątki. To sprawia, że sporo ludzi do wszystkich takich kont korzysta z jednego hasła, bo to łatwiej im zapamiętać. To oznacza ryzyko, że jak cyberprzestępca zdobędzie nasz login i hasło, to zyskuje dostęp do wszystkich tych aplikach.
– Co więc należy zrobić?
– Po pierwsze pamiętać, by co jakiś czas zmieniać hasło. Warto przy tym sprawdzać, czy nasz mail nie został już gdzieś wykorzystany do oszustwa, bo z takiego skompromitowanego adresu najlepiej przestać korzystać. Nie należy też korzystać z popularnych haseł. To pokazał wyciek danych z jednej z popularnych platform do zakupów sprzętu komputerowego. Okazało się, że wśród 128 tysięcy użytkowników sporo miało identyczne hasło, stanowiące określony ciąg cyfr, liter i znaków specjalnych, które łatwo zapamiętać, ponieważ leżą obok siebie na klawiaturze.
– Czyli najlepiej mieć odrębne hasła dla każdej usługi. Jak to spamiętać?
– Nie pozostaje nic innego, jak je zapisać. Ale nie w pliku na komputerze, tylko właśnie na kartce. Nie można tylko tej kartki nosić ze sobą. Trzeba ją schować w domu w bezpiecznym miejscu.
– A jak bronić się przed obcymi agentami, polującymi na nas w sieci?
– Kiedyś wydawało się, że jak coś jest na fotografii, to jest to prawda. Owszem, istniały techniki manipulacji analogowymi kliszami, ale Photoshop w fotografii cyfrowej postawił wszystko na głowie. A teraz to samo mamy ze sztuczną inteligencją i wideo. Dlatego powinniśmy ze sceptycyzmem podchodzić do rewelacji, jakie potrafią nam serwować anonimowi użytkownicy w sieci albo serwisy o słabej renomie. Weryfikujmy źródła. I pamiętajmy, że media społecznościowe to nie media.
Czytaj też: Oszustwo na Orlen. Miał być szybki zysk, jest ogromna strata
***
Odważne komentarze, unikalna publicystyka, pasjonujące reportaże i rozmowy – czytaj w najnowszym numerze tygodnika „O!Polska”. Do kupienia w punktach sprzedaży prasy w regionie oraz w formie e-wydania
