Bezpieczeństwo

Czarny Piątek? Oby nie dla Ciebie!

25 listopada 2021

Czarny Piątek? Oby nie dla Ciebie!

Walentynki, Halloween, Czarny Piątek- zastanawiam się, czy to zamyka grupę inkorporowanych do naszego życia amerykańskich „świąt”? Ale nic to – ja mogę być po prostu zgryźliwy, ale skoro ludziom się podoba? Niech będzie! Ale sami wiecie, że nie byłbym sobą, gdybym nie wykorzystał jutrzejszego Black Friday do nauki. Tym bardziej, że złodziei w sieci nie brak, okazja czyni złodzieja, a nie ma lepszego dnia na oszustwa, niż ten, gdy wszyscy rzucają się do sprzedaży.

Zaczęli wcześniej

Przyznam Wam szczerze, że sam nie mogę się doczekać, aż włączę jutro komputer. Nie po to, by robić zakupy (ostatnio kupiłem sobie duży gadżet, muszę się na pewien czas uspokoić). Po to, by zobaczyć, jakie oszustwa zaczną wpadać do naszych systemów bezpieczeństwa. W sumie to zaczęło się już na początku tygodnia, co wychwycili koledzy z CERT Komisji Nadzoru Finansowego.

Akurat tak się złożyło, że ten nieco bardziej wyrafinowany atak opisaliśmy tego samego dnia na stronie CERT Orange Polska. Pawłowi należy jednak oddać, że to u niego pojawiła się informacja o wektorze ataku – reklamach na Facebooku sugerujących „+50% do depozytu”. Specjalnie na Czarny Piątek! Nieważne, że w dalszej części scamu nic o rzeczonych 50 procentach nie jest pisane. Grunt, że wędka zarzucona.

To jednak ciekawostka zaledwie i wierzę, że niewiele osób na ten lep się złapie. Bardziej obawiałbym się o fałszywe sklepy, kuszące promocjami na atrakcyjne – nieistniejące rzecz jasna – towary. Tego typu przedsięwzięcia regularnie, od bardzo dawna monitorujemy, a liczba zablokowanych witryn w odpowiednich kategoriach CyberTarczy idzie w setki. O ile w czasie, gdy zbliża się Czarny Piątek, czy święta Bożego Narodzenia, zwracamy w CERT Orange Polska na tego typu zagrożenia szczególną uwagę, warto przypomnieć na co trzeba zwracać uwagę, gdy emocje zaczynają nieśmiało wychylać się zaciekawione zza pleców zdrowego rozsądku.

Czarny Piątek po europejsku

Nasz Czarny Piątek (niestety) nie przypomina tego, co dzień po Święcie Dziękczynienia dzieje się w USA. Amerykanie nie kryją, że chcą pozbyć się towaru z półek, by zrobić miejsce na Boże Narodzenie, nic więc dziwnego, że poziom tamtejszych zniżek u Polaka wywołuje uderzenie szczęki o podłogę. Jeśli coś takiego zobaczycie na przecenie w Polsce – warto uruchomić zasadę ograniczonego zaufania. Oczywiście może się zdarzyć, że ktoś chce sprzedać towar wysokiej wartości za pół ceny! Tym niemniej

warto wtedy sprawdzić adres strony, regulamin sklepu, sposoby płatności i metody dostawy

Co dokładnie? Najpierw przeczytajmy dokładnie adres strony, czy jest to może sklep, który jest popularny lub go po prostu znamy. Jeśli nie – przeczytajmy adres jeszcze raz, ale tym razem… od tyłu. Dlaczego? Lwia część fałszywych sklepów, które do nas trafiają, ma adresy w dziwnych, niestandardowych domenach wyższego rzędu: .xyz, .site, czy nawet niepopularny u nas – choć kojarzony ze sklepami – .store. Nie zaszkodzi po prostu założyć, że rzetelne sklepy powinny mieć adresy kończące się domenami narodowymi (.pl, .de, .it), .com, czy (w wyjątkowym przypadku Wlk. Brytanii) co.uk.

Czytanie adresu od tyłu pomoże też w rozbrojeniu podstępów takich jak mojsklep-pl.xyz. Domena nierzadko jest jeszcze dłuższa, ale jej początkowa konstrukcja – niezmienna. Oszuści wykorzystują sytuację, gdy nasz mózg, widząc znaną mu treść na początku, potrafi „nie zauważyć” tego, że zamiast kropki jest dywiz, a to, co zobaczy po pl – podświadomie odcina. Wszystko po to, by chronić się przed zbytnim zalewem informacji.

Groźne bramki płatności

W zasadzie wszystko wydaje się jasne. Jeśli strona jest podejrzana – nie robimy zakupów. Jeśli nie jest – robimy. W życiu jednak mało co jest czarne lub białe, co więc zrobić w pozostałych przypadkach? Zalecałbym po prostu uspokojenie emocji i skupienie przy całym procesie ewentualnego zakupu. Największym zagrożeniem w ostatnich miesiącach – już latach w zasadzie – są fałszywe bramki płatności. Bliźniaczo przypominające witryny firm przetwarzających płatności, a po kliknięciu w bank – witrynę logowania do Twojego banku. Z tą różnicą, że po wpisaniu loginu i hasła pozwolą one na zalogowanie się nie Tobie – tylko oszustom. A ci błyskawicznie „ogolą” Twoje konto do zera.

Co robić? Uważać. Nie klikać automatycznie dlatego, że „przecież wygląda tak samo”. Tutaj wystarczy spojrzeć na pasek adresu przeglądarki. Jeśli adres jest inny, niż domena pośrednika płatności (m.in. PayU, czy BlueMedia) – nie wpisuj swoich danych! W sumie danych nikogo innego też nie 🙂 Zazwyczaj przy fałszywych bramkach nie zmienia się adres i w pasku widzimy wciąż adres sklepu, prowadzonego przez oszustów. Wtedy mamy pewność, że usiłując tam zapłacić, stracimy pieniądze.

A może to po prostu zwykłe oszustwo?

No i nie zapominajmy o zwykłym oszustwie. Żadnym wyrafinowanym „cyber” – po prostu o sklepie, założonym po to, by wyciągnąć pieniądze od niefrasobliwych i po krótkim czasie zniknąć z sieci. Ja mając wątpliwości na pewno zerknąłbym na regulamin. Czy w ogóle jest, czy nie jest dokumentem generycznym i czy zawiera wszystkie wymagane prawem informacje. Warto sprawdzić sposoby płatności. O ile w dzisiejszych czasach mało kto płaci przy odbiorze, brak takiej możliwości w regulaminie zaniepokoiłby mnie. Podobnie z dostawą. Jeśli mamy wyłącznie możliwość zapłaty z góry – kurier przyjdzie, zostawi paczkę i nie będzie go interesowało to, że w środku jest owinięta bąbelkową folią para cegieł (no chyba, że zamawialiście cegły, w końcu to towar jak każdy inny).

A przede wszystkim, po prostu (jeśli chcecie) cieszcie się konsumpcyjnym stylem życia! To nie tak, że za każdym krokiem czai się cyber-obwieś, czy też nieuczciwy, wpatrzony w Wasze pieniądze zwykły oszust. Tacy ludzie to tylko promil/e całości otwierających wyprzedażowe wrota nie tylko sieciowych sklepów, ale warto na nich uważać. Niech ten Czarny Piątek pozostanie tylko nazwą własną, a nie opisem Waszego stanu psychicznego na koniec dnia.

Aha, niech Was nie zmyli to, że trzy dni później Cyber Monday nie ma w nazwie niczego czarnego. Wtedy też trzeba uważać!

Udostępnij: Czarny Piątek? Oby nie dla Ciebie!

Bezpieczeństwo

Vishing, czyli rozmowa z oszustem

21 października 2021

Vishing, czyli rozmowa z oszustem

Pamiętacie czasy, gdy telefon służył do rozmów z innymi ludźmi? Wiem, że tzw. „dzisiejsza młodzież” może czuć się tym zaskoczona :). Tak samo jak tym, że było to urządzenie, ograniczone kablem. I nie było na nie gier! Dobra, żarty żartami, ale sami przyznacie, że coraz częściej posługujemy się po prostu komunikatorami. W dużych firmach, jak choćby Orange Polska, nasz wewnętrzny komunikator służy też do rozmów głosowych, również na numery telefoniczne. Komu przydają się najczęściej konwersacyjne możliwości telefonu? Marketingowcom, cwaniakom i złym ludziom, stosującym vishing. Nie zrozumcie mnie źle, mam na myśli trzy rozłączne grupy 🙂

(pół)Automat zawsze świeży i rześki

W każdym z testowanych przeze mnie smartfonów używam dwóch kart SIM. Mój podstawowy numer służbowy oraz prywatny, zaszłość dawnych czasów. Ten drugi utrzymuję w zasadzie za darmo (Nju Po Wieki, polecam!). Wrzucam go np. do ofert sprzedaży w różnych serwisach (dlatego nie dostaję scamu na OLX, bo pod tym nr nie mam WhatsAppa 🙂 ), czasami dzwonią nań dawno niesłyszani znajomi. A kto najczęściej? Scamerzy oczywiście!

Wczoraj w przypływie dobrego humoru odebrałem rozmowę z takiego numeru i po prostu milczałem. Co się działo?

– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!

Po trzecim razie rozłączyłem 🙂 Za każdym razem słyszałem ten sam głos. Co to oznacza? Ano to, że w sporej części tego typu przedsięwzięć nie rozmawia z nami wcale żywy człowiek! Tzn. po części rozmawia – on/a siedzi przed komputerem ze słuchawkami na uszach. W zależności od naszych odpowiedzi, klika odpowiedni punkt ze skryptu, a my słyszymy odpowiadającą mu wypowiedź. Z punktu widzenia „drugiej strony” – świetne, prawda? Nagrany głos nigdy nie będzie zirytowany, nie będzie w nim słychać zmęczenia, zawsze będzie świeży i rześki. Ale czy tylko dla mnie jest to sytuacja mroczna i co najmniej dziwna?

Vishing, czy prawdziwy bank?

Dlaczego w ogóle o tym piszę? Bo w ostatnim czasie znacząco rośnie tzw. vishing (voice phishing), czyli próby phishingu głosowego. O ile takie sytuacje jak ta, którą opisałem na początku, można traktować jako – hmmm – ciekawostkę, groźnie się robi, gdy odbierzemy rozmowę z ostrzeżeniem lub ofertą inwestycji. Niestety o ile np. adresów e-mail, z których przychodzą do Was nasze faktury nie da się podrobić (zespoofować) to z numerami telefonów nie jest już tak dobrze. Rozwój technologii VoIP i aplikacji do dzwonienia oraz fakt, iż tworząc podstawowe funkcjonalności telefonii nikt nie spodziewał się, że trzeba ją będzie zabezpieczyć przed cyberzagrożeniami, spowodowały iż bardzo łatwo możemy zadzwonić do kolegi przy biurku obok, a jemu na ekranie telefonu pokaże się numer banku. A to już pierwszy krok do uzyskania zaufania ofiary i sprawienia by ta „łyknęła” vishing!

A co można z nami zrobić, gdy na pierwszy rzut mózgu zaufamy rozmówcy? W zasadzie wszystko. Z drugiej strony słuchawki siedzą naprawdę sprawni socjotechnicy, a ci potrafią tak – wybaczcie kolokwializm – nawinąć makaron na uszy, że nawet świadomi internauci uwierzą im naprawdę w wiele. Na co zatem trzeba w takiej sytuacji uważać? Przede wszystkim na:

  • prośby o login i/lub hasło
  • próby „potwierdzenia” danych pozornie niegroźnych
  • sugestię instalacji zewnętrznej aplikacji (głównie na komputerze, zazwyczaj jest to AnyDesk)

Pierwsza kwestia jest oczywista. W drugiej może to być np. nazwisko panieńskie matki, niezbędne w przynajmniej jednym banku do aktywacji aplikacji mobilnej. Trzecia – to aplikacja zdalnego pulpitu, dająca pełny dostęp do naszego komputera.

Dodatkowo, słuchajcie komunikatów, gdy dzwoni do Was bank. Ten prawdziwy. Wiem, są długie i nudne, ale bywają bardzo ważne. Coraz częściej na automatycznych infoliniach, gdy generowane jest dla nas hasło, jesteśmy informowani o tym fakcie i jego celu. Po to, by komunikat: „Nie podawaj tego kodu nikomu!” przekonał nas, że to vishing. A nasz rozmówca tylko podaje się za pracownika banku.

Nie musisz (jeszcze) niczego przelewać

Wiem, miało być o inwestycjach. Czy raczej „inwestycjach”, bo jedyny zysk mają na nich oszuści. Do niedawna ich aktywności ograniczały się do stron/reklam na Facebooku, obiecujących ogromne zyski ze złóż ropy, gazu, czy Bitcoinów. Ostatnio trafiłem na sprytny phishing hybrydowy. Zaczęło się od strony, sugerującej oddanie inwestycji w „ręce” automatu. Co więcej, nie musimy przelewać naszych pieniędzy! Tzn. musimy, ale – o dziwo – nie od razu. Najpierw poczytajmy stronę, opinie innych, zapiszmy się (oddając nasze personalia, mail i telefon oszustom) i… czekajmy na telefon! Tutaj oszuści w sprytniejszy sposób wzbudzają nasze zaufanie, podsuwając marchewkę i niczego (w pierwszym kroku) nie żądając. Stawiam ich wszystkie BTC, że dzwoniąc wezmą się za przekonywanie do instalacji AnyDeska albo czegoś podobnego.

Ten przykład to jednak wyjątek, scam „na bitcoiny” to wciąż nachalne reklamy w social mediach, czy – coraz częściej – rozmowy telefoniczne. W ostatnich dniach kilkakrotnie do CERT Orange Polska trafiły informacje o rozmówcach telefonicznych, próbujących przekonać, że „na naszej platformie czekają na pana bitcoiny do wypłaty”, zgodnie ze schematem, który opisywałem jakiś czas temu. Zdarza się, że rozmówcy przypadkowo się rozłączają, a gdy niedoszła ofiara oddzwania, słyszy kogoś innego! Właściciel numeru twierdzi, że nie ma pojęcia o żadnych bitcoinach, zdarza się, iż mówi, że to nie pierwszy taki telefon, który danego dnia odebrał. Nie wiadomo na jakiej zasadzie oszuści wybierają numery – nikomu z moich znajomych nie zdarzyło się jeszcze, by podszywali się pod niego.

A co robić w przypadku takiej rozmowy? To akurat proste. „Proszę pana/i, nie mam u was żadnych bitcoinów, żegnam”. Nie zaszkodzi z poziomu telefonu zablokować numeru, by nie próbowali nas przekonać, że jednak tak. Nikt nie rozdaje bitcoinów za darmo, a jeśli gdzieś zainwestowaliśmy nasze oszczędności w kryptowaluty, to przecież sami dobrze o tym wiemy!

 

Udostępnij: Vishing, czyli rozmowa z oszustem

Bezpieczeństwo

Duchota, deszcze i… oszustwa na OLX

29 lipca 2021

Duchota, deszcze i… oszustwa na OLX

Gorące powietrze, czasami nawalne deszcze, coraz więcej ludzi nie zakładających maseczek, próby oszustw pod pozorem kupna rzeczy wystawionych na OLX. Te wszystkie – i wiele więcej – cechy składają się na polską rzeczywistość lata 2021… O ile na pierwsze trzy nie mamy wpływu, warto się przyjrzeć tej ostatniej. Oczywiście wiem, że to nie pierwszy raz – jednak pomysły oszustów ewoluują na tyle, że warto przed nimi regularnie ostrzegać.

Jeśli temat jest Wam znany – możecie pominąć następny śródtytuł.

O co chodzi z tym OLX?

O oszustwach „na OLX”, jak najpopularniejszej w ostatnich miesiącach metodzie ataków, pisałem już zarówno na łamach bloga, jak i na stronie CERT Orange Polska wielokrotnie. Oprogramowanie oszustów automatycznie przegląda wystawiane w serwisie OLX oferty. Następnie, przy użyciu komunikatora WhatsApp, kontaktuje się z wystawiającym z propozycją zakupu.

W czym zatem tkwi problem? Przestępca nie przypadkiem łączy się przez zewnętrzne źródło komunikacji. Wtedy nie tylko nie zostawia po sobie śladów w systemie OLX. Nie ma ryzyka, że konta z których robi oszustwa, będą jedno po drugim zamykane. A dlaczego oszustwa? Bo pod przykrywką rzekomego zakupu podeśle nam link do formularza, gdzie socjotechnicznymi sztuczkami będzie nas przekonywał albo do podania wszystkich (łącznie z kodem CVC/CVV) danych karty płatniczej, bądź wygeneruje fałszywą bramkę płatności, gdzie niefrasobliwie możemy podać mu login i hasło do banku. Chyba, że – jak niedawno Wojtek – czytamy Bloga i stronę CERT 🙂

Kawalerka Inpostem wysłana

Za znaczną większość (a być może za wszystkie) ataki „na OLX” odpowiadają napastnicy zza naszej wschodniej granicy. Skąd o tym wiadomo? W sieci można łatwo znaleźć screenshoty, gdzie rozmówcy, wiedząc, że są oszukiwani, prowokowali oszustów. Ci bardzo szybko odpowiadali im, wulgarnie lub cynicznie, po rosyjsku/ukraińsku. Nawet nie usiłują się z tym kryć.

Na początku jednak nie kryli także z brakiem znajomości naszego języka. Mimo, iż wiadomości na komunikatorze przychodzą zazwyczaj z polskich numerów, nie trzeba było być językoznawcą, by wychwycić w nich rusycyzmy. Bardzo często atakujący korzystali także z prostych skryptów, można się było więc z nich całkiem nieźle pośmiać:

Albo – w przypływie szczerości u łobuza – dowiedzieć się, ile zarabiają.

Nie wiem, jak na Was, ale na mnie ta liczba zrobiła wrażenie. I dowiodła słuszności pisania cały czas o tym zagrożeniu, skoro tak wiele osób nieprzerwanie się nań łapie.

Obraz na OLX, czyli manipulacja na kolejnym poziomie

Niestety przestępcy widzą, co się dzieje i monitorują nasze reakcje. W sumie można się było tego spodziewać. O ile bowiem bycie obśmiewanym im nie przeszkadza (na prowokację potrafią odpowiedzieć bezczelnie z tupetem), to już spadek zysków stanowi dla nich zapewne pewien problem. A ponieważ zysk jest spory, można zatrudnić kogoś, kto lepiej pisze po polsku. Choćby Rosjanina/Ukraińca studiującego w Polsce, który – jak widać poniżej – nie uniknie w wypowiedzi kilku rusycyzmów, ale mimo tego wzniesie konwersację z ofiarą na dużo wyższy poziom.

Widzicie różnicę z poprzednimi zrzutami ekranu? Przede wszystkim tutaj nie ma już skryptu. To nie jest człowiek bez znajomości języka polskiego, który wkleja kolejne linijki z notatnika, niezależnie od tego, co napisze ofiara. Mamy do czynienia nie tylko z prowadzeniem dyskusji w kontekście konkretnej oferty, ale także próbą dodatkowego jej zmanipulowania komplementami. Tym bardziej, że tu chodzi o obraz, a artyści mnie przynajmniej wydają się wyjątkowo chętni na komplementy w aspekcie swojej twórczości.

Co robić?

Ja bym przeszedł do form drastycznych – blokowania/ignorowania każdego, kto pyta o przedmiot z OLX za pomocą komunikatorów (chyba, że go znacie, rzecz jasna). Czy to OLX, czy Allegro, czy inne tego typu serwisy mają własny system wiadomości. Ryzyko, iż stracicie dobrego kupca jest w mojej opinii zerowe – ja nie sprzedałbym niczego komuś, dla kogo problemem jest kliknięcie oferty na stronie, czy napisanie wiadomości wewnątrz serwisu. Każda (to nie jest przesada) osoba, która pyta mnie o opinię, gdy dostanie podejrzaną wiadomość na WhatsApp po odrzuceniu „oferty” w ciągu kilkunastu minut, maksymalnie godziny, dostaje jeszcze dwie-trzy propozycje!

Ignorujcie WhatsAppa w takich sytuacjach, ignorujcie też maile (!), bo ostatnio spotkałem się z przykładami bardzo ładnie udających OLX wiadomości, gdzie tylko link do „zapłaty” prowadził na podstawioną stronę. Kupujesz przez OLX – pisz przez OLX, a ja Ci zapłacę po MOJEMU, nie po twojemu.

Sprawmy, by tym łobuzom bezczelny uśmiech zamarł na ustach.

Udostępnij: Duchota, deszcze i… oszustwa na OLX

Odpowiedzialny biznes

Senior bezpieczny w sieci

16 lutego 2021

Senior bezpieczny w sieci

Ostatnio obchodziliśmy Dzień Bezpiecznego Internetu. Jak zwykle mówiliśmy o bezpieczeństwie dzieci w sieci. Ale nie powinniśmy zapominać także o starszych użytkownikach internetu – seniorach. Szczególnie teraz, kiedy z uwagi na pandemię wielu z nich przeszło szybki kurs cyfryzacji.

Senior w sieci

Jak wynika z badań konsumenckich UKE prowadzonych w 2019 roku – największą motywacją osób starszych do wejścia do cyfrowego świata jest poczucie sensu. Szybkie zdobywanie informacji (62,9%) oraz ciekawość świata (61,3%) to najczęstsze powody dla których decydują się na korzystanie z internetu. Dla jednej trzeciej internautów powyżej 60 r.ż. znaczenie ma także korzystanie z bankowości internetowej oraz oszczędność czasu. Wiele osób przekonuje się do komunikatorów, dzięki którym mogą połączyć się z bliskimi, zobaczyć ich na swoim telefonie czy laptopie i porozmawiać twarzą w twarz.

Najczęściej wykorzystywanymi usługami internetowymi wśród konsumentów 60+ są: przeglądanie stron internetowych, odbieranie/wysyłanie poczty email, jak również używanie komunikatorów i portali społecznościowych. Co najmniej kilka razy w miesiącu korzystają z bankowości internetowej oraz płacą rachunki przez internet. Osobami, które najczęściej pomagają seniorom w korzystaniu z internetu są dzieci (64,5%) oraz wnuki (39,7%).

Według danych za 2019 rok 69,8 proc. osób powyżej 60 r.ż. nie korzystało z internetu. Najczęściej wskazywanymi powodami niekorzystania z internetu są brak umiejętności jego obsługi (54,6%) i poczucia użyteczności (47,1%) oraz nieposiadanie odpowiedniego sprzętu (26,8%).

Główną obawą seniorów związaną z używaniem internetu jest możliwość stania się ofiarą oszustwa (39,9%). Istotne znaczenie ma również wyciek danych i haseł (32,1%) oraz brak przekonania o możliwości nauczenia się obsługi przeglądarki internetowej, które wydaje się być w tym przypadku kluczowe (29,7%). Nieco rzadziej seniorom towarzyszy również obawa dotycząca wchodzenia na szkodliwe strony, zagrożenia dla zdrowia oraz uzależnienie od internetu.

Pandemia – żniwa dla oszustów

W 2020 roku wszystko się zmieniło. Internet okazał się w wielu przypadkach niezbędny – aby umówić się na wizytę u lekarza, opłacić rachunek, załatwić sprawy urzędowe. Seniorzy zaczęli się uczyć tych aktywności, aby nadal być … samodzielnymi. To bardzo ważna dla nich potrzeba – chcą jak najdłużej być samodzielni, sprawni i nie prosić innych o pomoc.

Pandemia sprawiła, że oszustwa seniorów się nasiliły. W 2019 roku ofiarą przestępców padło 3821 seniorów, a oszukani stracili 72 mln złotych. Przestępcy dostosowali się do nowych warunków, a koronawirus i obawy z nim związane stały się dobrym pretekstem do nowych metod. W 2020 roku 5289 osób zostało oszukanych metodą „na wnuczka” i podobnymi na kwotę 86 mln złotych. Należy pamiętać, że problem może być poważniejszy, bo takie przestępstwa nie zawsze są zgłaszane.

Wielu oszustów przeniosło się do sieci, aby tu spotkać się z seniorami. W sieci nasz „wnuczek” prosząc o pieniądze korzysta z mediów społecznościowych czy maila, ale mechanizm jest ten sam – nagła sytuacja, emocje – wypadek samochodowy, zagrożenie życia i prośba o przekazanie pieniędzy. Czasem to może być też prośba od bliskiej osoby o niewielkie wsparcie poprzez kod do płatności bankowej, a potem okazuje się, że kwota, która zniknęła z naszego konta wcale nie jest taka mała. Seniorzy lubią poznawać nowe osoby, także w sieci. Po jakimś czasie nasz dobry – cyfrowy znajomy prosi nas o pożyczkę, wsparcie czy ratunek w trudnej sytuacji i potem okazuje się, że kontakt z nim się urywa.

Jest jeszcze sposób na ZUS lun inne ważne instytucje – senior dostaje urzędowy mail, a nadawca podaje się za Zakład Ubezpieczeń Społecznych. W wiadomości zaszyte są niebezpieczne linki lub załączniki z jasnym wskazaniem, że należy w nie kliknąć lub pobrać je na swoje urządzenie. Groźnie brzmi na przykład krajowa kontrola skarbowa, a oszuści w przesyłanych wiadomościach zachęcają do pobrania i otworzenia załączników, informując, że jest to urzędowy formularz do wypełnienia.

Oszuści wykorzystują też zaufanie seniorów do usług bankowych – co widać w metodzie „SPYWINDOW” (ang. „okno szpiegowskie”). Oszust, podając się za pracownika banku, zachęca do otworzenia teoretycznie bezpiecznego dokumentu. Żeby to zrobić, musimy podać nasze dane logowania do konta bankowego. SpyWindow przesyła te dane oszustowi, a do nas przychodzi fałszywe potwierdzenie autoryzacji.

Przestępcy mogą też podawać się za znane osoby i zachęcać do wejścia na strony, na których ukryte jest złosliwe oprogramowanie. Starsze osoby padają też często ofiarami fałszywych aukcji, e-sklepów i sprzedawców i płacą za nieistniejący produkt.

I oczywiście jest oszustwo na koronawirusa i na przykład wiadomość o konieczności zapłaty za szczepionkę.

To tylko niektóre z niebezpieczeństw, na które narażeni są seniorzy. Jak sobie z nimi radzić, jak nie dać się oszukać? Podpowiedzi można znaleźć publikacji „Metoda na… czyli metody oszustw w sieci, na które trzeba uważać”. Jest to poradnik dla seniora wydany w ramach programu „Seniorze – spotkajmy się w sieci”. Przestudiujcie go ze swoimi rodzicami lub dziadkami.

starsza kobieta z telefonem na kanapie, dalej starszy mężczyzna na krześle

Udostępnij: Senior bezpieczny w sieci

Bezpieczeństwo

Kupuję bezpiecznie w sieci – poradnik dla Mikołaja

26 listopada 2020

Kupuję bezpiecznie w sieci – poradnik dla Mikołaja

Pandemia nie pandemia, święta być muszą. Myślę, że każdy z Was się ze mną zgodzi. Oczywiście nieco (lub bardziej) kameralne, niż zwykle, ale bez smacznego, „dedykowanego” – jak mawiamy w IT 🙂 – jedzenia, no i prezentów, cały czar grudniowych nocy prysłby jak mydlana bańka.

Z mojego punktu widzenia każdy, kto stanowi „osobowe wsparcie Mikołaja” powinien zdecydować się na zrobienie tego w formie online. Ja na pewno ryzykować nie zamierzam, będę kupował w sieci i stawiam bitcoiny przeciwko orzechom, że zrobi tak znacznie więcej osób, niż w poprzednich latach.

Ale wiecie co? Wiecie to nie tylko Wy (jak przewiduję) i ja. Oszuści też o tym wiedzą. Na co zatem uważać, by nasze zakupy nie wzbogaciły cwaniaków, czyhających na naszą krzywdę (i pieniądze)?

Czas na eksperymenty przyjdzie później

Nie wykluczam rzecz jasna, że w pandemicznych czasach ktoś na ostatnią chwilę umożliwi kupno wyjątkowych dzieł swoich rąk w internecie, sprzedając je wyjątkowo tanio, ze znanych sobie powodów. Na pewno jednak do wszelkich marek, o których słyszymy pierwszy raz, musimy przykładać zasadę ograniczonego zaufania.

Jeśli jednak chcecie sprawdzić nowy sklep, z którego do tej pory nie korzystaliście, warto zrobić przynajmniej dwie rzeczy:

  • Sprawdzić rekord Whois dla domeny (adresu sklepu). W przypadku stron .pl zrobicie to na stronie https://dns.pl/whois, dla domeny .eu – https://whois.eurid.eu/pl/. Na co zwracać uwagę?
    • Data utworzenia domeny. Zasadniczo im starsza tym lepsza, bo z większym prawdopodobieństwem korzystająca z niej firma faktycznie istnieje od dawna. To jednak nie musi być wiążące – zdarza się, że przestępcy „podbierają” wyłączone stare domeny, na których faktycznie były sklepy z dobrą reputacją.
    • sprawdzamy nazwę abonenta (jeśli w tym polu pojawi się „Anonimowy”/”GDPR redacted”, czy cokolwiek w tym stylu, ryzyko oszustwa wzrasta. Uczciwa firma, czy rzemieślnik, rejestrują domenę na siebie lub np. wspierającą ich agencję marketingową)

  • Warto też sprawdzić witrynę w serwisie https://urlscan.io
    • Tam zobaczymy m.in. informację o jej reputacji (jeśli będzie niska, na pewno to zobaczycie; będzie czerwoooonoooo); jej głównym adresie (zdarzają się przekierowania, nawet w seriach); sieci, w której jest utrzymywana witryna (dokładnie o tzw. systemie autonomicznym, ASN); no i – last but not least – o certyfikacie szyfrującym połączenie (u oszustów są to zazwyczaj darmowe/bardzo tanie certyfikaty Let’s Encrypt, wystawiane na 3 miesiące)
  • Nie zaszkodzi też zajrzeć, czy sklep nie jest notowany na https://www.legalniewsieci.pl/. Jeśli jest tam oznaczony jako podejrzany – uciekaj.
  • Pojawiła Ci się reklama sklepu w serwisie społecznościowym? I tu znów wraca Zasada Ograniczonego Zaufania. Podpromowanie „shady” sklepu w mediach społecznościowych to nie są drogie rzeczy, a można – dzięki profilowaniu w social mediach – trafić idealnie w oczekiwania „klienta”. Pojawia mi się akurat to, co chciałbym kupić? Niewyobrażalnie tanio? Przecież żal nie skorzystać. Na pewno?

„Ale ja chcę tu kupić, MUSZĘ!”

Załóżmy jednak, że się uparliście. No musicie i już, już Jerzy Stuhr daaawno temu śpiewał, ze czasami człowiek musi, inaczej się udusi. Ale jeszcze gdzieś tam w tyle głowy majaczy czerwony ostrzegawczy kolor. Co powinno go wzmocnić i pokręcić tą lampką tak, byśmy ją na pewno zauważyli?

  • Ceny. Jeśli są wyjątkowo niskie, zawsze powinny wzbudzić naszą czujność. Taniej o 10-20% – to się może zdarzyć, szczególnie przed świętami. Jeśli są jednak mniejsze o połowę (i więcej) od standardowych, bądźmy bardzo ostrożni. Oczywiście nie wykluczamy, że – tak jak w przypadku „świeżego” sklepu – to ma się prawo zdarzyć. Ale raczej rzadko.
  • Regulamin. Jeśli go nie ma – uciekajcie. Jeśli jest – przyjrzyjcie się mu dokładnie, tak jak polityce prywatności. Czy są tam dane firmy i zapisy, zgodne z RODO. A może tylko blebling mający robić wrażenie bardzo poważnych treści?
  • Płatności. Są uczciwe sklepy oferujące wyłącznie płatność z góry przelewem. Ciężko w to uwierzyć, ale są. Mimo wszystko ja się lepiej czuję się z wieloma możliwościami. Na pewno z , z płatnością kartą kredytową (wtedy w razie problemów uruchamiamy w banku procedurę cashback). Do tego mój ukochany BLIK, no i płatności za pobraniem.
  • Termin dostarczenia przesyłki. Kto nie czekał kilku miesięcy na przesyłkę z Aliexpress, niech… rzuci, czym chce. Sprawdźcie (albo dowiedzcie się u źródła) o planowany termin dostarczenia przesyłki. Wielkie Przedświąteczne Zapchanie Paczkomatów to jedno. Cwani sklepikarze kupujący na Aliexpress i odsprzedający po kilkukrotnie większej cenie w sumie też nie są problemem (skoro chcecie od nich kupić, to co Wam będę bronił). Ale to po prostu może potrwać. I święta, na które dotrze przesyłka, mogą okazać się… wielkanocnymi.

Ryzyko? Może jednak po świętach?

Może niektórych z Was kusi przetestowanie nowych pomysłów na zakupy, ale… może zróbcie to na kolejne Boże Narodzenie? Albo obdarujcie bliskich prezentami na urodziny, czy imieniny,dając sobie trochę więcej czasu. Nie kuście licha, no i zawczasu dokładnie prześwietlcie sprzedającego. Powiecie: „Przecież to może być nawet kilkanaście minut na jeden sklep!”. Zgoda, może. A ile czasu i nerwów stracicie, jeśli coś/wszystko pójdzie nie tak?

Bądźcie zdrowi. #zostańciewdomu

Udostępnij: Kupuję bezpiecznie w sieci – poradnik dla Mikołaja

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej