Ataki polegające na wyłudzaniu informacji (phishing) występują, gdy cyberprzestępcy nakłaniają ofiary do udostępniania danych osobowych, takich jak hasła lub numery kart kredytowych, podając się za kogoś,
Oszustwo z użyciem pretekstu (pretexting) to rodzaj ataku socjotechnicznego, w którym oszust przy użyciu zmyślnej narracji (pretekstu) nakłania ofiarę do udostępnienia prywatnych informacji lub przekazania pieniędzy. Oszustwo z użyciem pretekstu może zdarzać się przez telefon, wiadomość tekstową, wiadomość e-mail lub osobiście. Celem oszustwa z użyciem pretekstu jest zazwyczaj zainfekowanie urządzenia ofiary złośliwym oprogramowaniem, kradzież pieniędzy, naruszenie prywatnych danych i inne działania.
Do przykładów oszustw z użyciem pretekstu należą oszustwa związane z naruszeniem firmowej poczty e-mail, „na wnuczka”, związane z aktualizacją konta, oszustwa romantyczne, fałszywe oferty pracy oraz oszustwa „na pomoc techniczną”.
Czytaj dalej, aby dowiedzieć się więcej o różnych rodzajach oszustw z użyciem pretekstu, zapoznaj się z jego przykładami i sprawdź, jak nie paść ofiarą tego rodzaju oszustwa.
Oszustwa związane z naruszeniem firmowej poczty e-mail
Wiele form oszustw z użyciem pretekstu bierze na cel ofiary w miejscu pracy. Naruszenie firmowej poczty e-mail (BEC, Business Email Compromise) to oszustwo, w którym cyberprzestępca podszywa się pod zaufaną osobę w firmie i wysyła wiadomość e-mail z prośbą o prywatne dane lub pieniądze. Aby dowiedzieć się więcej o firmie, cyberprzestępca musi przeprowadzić drobiazgowe rozpoznanie terenu i dowiedzieć się więcej o firmie, jej strukturze organizacyjnej, stanowisku potencjalnej ofiary i nie tylko. Po ustaleniu kto będzie celem i jakich informacji użyć cyberprzestępca wysyła wiadomość e-mail do osoby, którą zna w firmie, podszywając się pod współpracownika, kierownika lub nawet dyrektora generalnego. Jako ofiara oszustwa BEC możesz otrzymać na przykład taką wiadomość e-mail:
Dzień dobry,
Proszę o przesłanie numerów kart kredytowych naszych najlepszych klientów. Nie mam chwilowo dostępu do moich plików na komputerze, a mam dziś zaplanowane spotkanie, na które pilnie potrzebuję tych danych. Proszę, prześlij mi dane kart kredytowych do południa.
Dzięki,
Zawsze z ostrożnością podchodź do pilnej prośby o podanie poufnych informacji, zwłaszcza jeśli chodzi o dane finansowe. Celem oszustw BEC jest kradzież informacji lub pieniędzy firmy poprzez podszywanie się pod osobę z wewnątrz organizacji, co ma sprawiać wrażenie, że cyberprzestępca jest godny zaufania.
Oszustwo podszywania się pod dyrektora generalnego
Jednym z rodzajów oszustwa BEC jest oszustwo „na prezesa”, które polega na wysłaniu wiadomości tekstowej lub e-mail o treści podobnej do tej z powyższego przykładu, w której cyberprzestępca podszywa się pod dyrektora generalnego firmy. Cyberprzestępcy stosują tę metodę, aby wykorzystać zaufanie ofiary poprzez podszywanie się pod kogoś na najwyższych stanowiskach w firmie. Powszechnym rodzajem oszustwa „na prezesa” jest nakłanianie ofiary do natychmiastowego zakupu wskazanej liczby kart podarunkowych o określonej kwocie. Cyberprzestępcy mają nadzieję, że ofiara kupi karty podarunkowe, a następnie udostępni im numery identyfikatorów kart, co pozwoli im na ich realizację i przejęcie pieniędzy.
Naruszenie konta e-mail
Innym rodzajem oszustwa BEC jest naruszenie konta e-mail (EAC, Email Account Compromise). W przypadku tego typu ataku cyberprzestępca uzyskuje dostęp do konta e-mail pracownika i przeczesuje jego dane kontaktowe w celu znalezienia cennych informacji o dostawcach i partnerach. Po podjęciu decyzji o celu ataku cyberprzestępcy wysyłają wiadomość e-mail z konta e-mail pracownika z prośbą o pieniądze.
Oszustwa „na wnuczka”
Wyobraź sobie, że jesteś dziadkiem, do który dzwoni wnuczek. Gdy odbierasz telefon, słyszysz głos wnuka, który spanikuje i prosi o pieniądze, bo ma nagłą sytuację awaryjną. Wykonujesz instrukcje wnuczka i natychmiast wysyłasz mu pieniądze, aby zapewnić mu bezpieczeństwo – przy czym to wcale nie był głos Twojego wnuczka.
Ofiarami oszustw „na wnuczka” padają osoby starsze, które obawiają się o bezpieczeństwo swoich bliskich. Cyberprzestępcy mogą obecnie z powodzeniem wykorzystać sztuczną inteligencję podczas połączeń telefonicznych do sklonowania głosów osób znanych ofiarom poprzez analizowanie filmów umieszczonych w Internecie. Większość osób starszych nie zdaje sobie sprawy z istnienia tej zaawansowanej technologii, co sprawia, że są przekonani, że bliska im osoba faktycznie znajduje się w niebezpieczeństwie i wysłają oszustowi pieniądze.
Oszustwa związane z aktualizacją konta
Jeśli masz konto od dłuższego czasu, możesz otrzymać wiadomość e-mail o podobnej treści:
Szanowny Kliencie,
Aktualizujemy starą wersję konta email. Potwierdź adres e-mail, aby zapobiec dezaktywacji konta.
Kliknij poniżej, aby móc w dalszym ciągu korzystać ze skrzynki pocztowej.
Jeśli nie zaktualizujesz konta e-mail, konto zostaniie trwale dezaktywowane.
Wielu odbiorców takiej wiadomości e-mail natychmiast kliknęłoby link, aby utrzymać aktywny status konta e-mail. Istnieje jednak duże prawdopodobieństwo, że taka wiadomość e-mail jest oszustwem związanym z aktualizacją konta. Po dokładnym przyjrzeniu się powyższej wiadomości e-mail można zauważyć kilka kluczowych oznak, które wskazują na oszustwo:
- Nadawca wiadomości e-mail wydaje się podejrzany (imię i adres e-mail nie pasują do siebie)
- Wiadomość wywiera presję czasową i zawiera groźby
- Wiadomość e-mail zawiera błędy gramatyczne i ortograficzne
- Nadawca dołączył link lub załącznik
- Wiadomość zawiera żądanie podania poufnych informacji
Na pierwszy rzut oka można nie zauważyć błędów gramatycznych lub ortograficznych, ale można wyczuć presję, którą nadawca wywiera w celu pilnego kliknięcia podejrzanego linku. W tym rodzaju oszustwa chodzi o stworzenie wrażenia prawdziwej potrzeby i nakłonienie ofiary do szybkiego działania, co zwiększa prawdopodobieństwo aktualizacji konta i tym samym umożliwia cyberprzestępcy dostęp do danych osobowych.
Oszustwa romantyczne
Każdy marzy o miłości, ale w Internecie, zwłaszcza w aplikacjach randkowych, trzeba uważać, komu się zaufa. Oszuści romantyczni tworzą profile na portalach randkowych i powoli pozyskują zaufanie ofiar poprzez częste rozmowy. Nagle okazuje się, że pilnie potrzebują pieniędzy w nagłym wypadku, biletu lotniczego lub mają inny kosztowny wydatek.
Wiele osób daje się nabrać na oszustwa romantyczne, ponieważ oszuści w rzeczywistości tworzą bliskie relacje z ofiarami. Wykorzystując to, co jest dla ofiary ważne, oszuści romantyczni (po angielsku catfihers) potrafią przewidzieć, na co ofiara będzie ona skłonna przeznaczyć pieniądze w przypadku faktycznego zaangażowania w romantyczną relację. Ważne jest, aby zwrócić uwagę na typowe wymówki stosowane przez oszustów romantycznych, w tym na powody, dla których nie mogą spotykać się osobiście lub rozmawiać z ofiarą przez połączenie wideo.
Oszustwa dotyczące ofert pracy
Niektóre oferty pracy mogą wydawać się zbyt dobre, aby były prawdziwe, dlatego warto zastanowić się, czy nie są oszustwem. Nawet na renomowanych portalach ogłoszeń o pracę w Internecie, takich jak LinkedIn lub Indeed, cyberprzestępcy mogą publikować wyglądające na prawdziwe oferty pracy, aby ukraść dane osobowe. Podczas poszukiwania pracy w Internecie można zidentyfikować fałszywą ofertę pracy za pomocą poniższych oznak:
- Firma prosi o podanie prywatnych informacji, takich jak numer ubezpieczenia społecznego przed przekazaniem oferty pracy
- Firma nie jest wiarygodna w Internecie, ma źle przygotowaną stronę internetową lub niemożliwy do zweryfikowania adres
- Opis stanowiska jest niejasny i zawiera błędy językowe
- Komunikacja między kandydatem a rekruterem wydaje się nieprofesjonalna
Zawsze sprawdzaj ofertę i nigdy nie udostępniaj danych osobowych na wczesnym etapie procesu rekrutacji, ponieważ możesz stać się ofiarą oszustwa związanego z ofertą pracy.
Oszustwa z podszywaniem się pod instytucje rządowe
Oszustwo z podszywaniem się pod instytucje rządowe ma miejsce, gdy cyberprzestępca podszywa się pod pracownika urzędu skarbowego lub innej instytucji rządowej i próbuje przekonać ofiarę, że jest winna urzędowi pieniądze. Oszust podszywający się pod urzędnika może komunikować się z ofiarą telefonicznie, za pośrednictwem wiadomości tekstowych lub poczty e-mail w celu kradzieży jej tożsamości lub danych finansowych.
W przypadku oszustwa z podszywaniem się pod instytucje rządowe otrzymujesz połączenie telefoniczne od „urzędu skarbowego” z wezwaniem do zapłaty należności podatkowych i groźbą podjęcia kroków prawnych w przypadku braku płatności. Oszuści posługujący się numerami ubezpieczenia społecznego najprawdopodobniej poinformują ofiarę, że powstał problem z kontem i że należy podać im prywatne dane, aby otrzymywać świadczenia.
Pamiętaj, że agencje rządowe zazwyczaj kontaktują się z użytkownikiem drogą listową, chyba że użytkownik skontaktuje się z nimi wcześniej. Wszelkie kontakty innymi kanałami są najprawdopodobniej oszustwem z podszywaniem się pod instytucje rządowe.
Oszustwa podszywające się pod pomoc techniczną
Podobnie jak w przypadku oszustw z podszywaniem się pod instytucje rządowe celem oszustów podszywających się pod pomoc techniczną jest przejęcie danych osobowych lub kradzież pieniędzy. W tym celu cyberprzestępcy przekonują użytkownika, że komputer ma problemy z zabezpieczeniami i muszą uzyskać zdalny dostęp do urządzenia, aby je rozwiązać. Mogą twierdzić, że konieczne jest przeprowadzenie jakichś testów diagnostycznych, co może zająć trochę czasu. Oszuści mogą również poprosić o zainstalowanie aplikacji w celu usunięcia tych problemów. Gdy ofiara zastosuje się do przekazanych instrukcji, oszuści uzyskają dostęp do jej prywatnych informacji.
Oznaki oszustw z użyciem pretekstu
Po zapoznaniu się z najczęstszymi rodzajami oszustw z użyciem pretekstu przejdźmy do omówienia kilku oznak tego rodzaju oszustwa:
- Nagłe i pilne prośby o podanie danych osobowych lub przekazanie pieniędzy
- Oferta zbyt dobra, aby była prawdziwa (pieniądze, wakacje, prezenty itp.)
- Niechciane połączenia telefoniczne, zwłaszcza od agencji rządowej
- Błędy gramatyczne i ortograficzne
Jak uniknąć oszustwa z użyciem pretekstu?
Nawet jeśli niektóre oznaki oszustw z użyciem pretekstu mogą być trudne do wykrycia, istnieje kilka sposobów ochrony danych osobowych i pieniędzy przed oszustami.
Używaj silnych i niepowtarzalnych haseł dla każdego konta
Twórz silne hasła do każdego z kont, aby uniemożliwić cyberprzestępcom łatwy dostęp do informacji. Używanie niepowtarzalnych haseł bez danych osobowych, takich jak imię zwierzaka lub data urodzenia, znacznie utrudnia cyberprzestępcy dostęp do kont.
Włącz MFA, jeśli to możliwe
Uwierzytelnianie wieloskładnikowe (MFA) to dodatkowy środek bezpieczeństwa, który należy zastosować do ochrony kont w Internecie. Po włączeniu MFA trzeba w dodatkowy sposób potwierdzić swoją tożsamość, aby uzyskać dostęp do kont. Utrudni to uzyskanie dostępu do kont oszustom posługującym się pretekstem nawet w przypadku przechwycenia danych uwierzytelniających, ponieważ nie będą znali tej dodatkowej formy uwierzytelniania.
Blokuj dzwoniących oszustów
Jeśli odbierzesz połączenie telefoniczne z nieznanego numeru i zorientujesz się, że masz do czynienia z oszustem, rozłącz się i zablokuj ten numer. Dzięki temu nie będziesz odbierać kolejnych połączeń telefonicznych od tej osoby, gdy ponownie będzie próbowała Cię oszukać.
Nigdy nie klikaj niepożądanych linków lub załączników
Niechciane linki lub załączniki mogą być nieszkodliwe, jeśli na nie nie klikniesz ani ich nie pobierzesz. Kliknięcie podejrzanych linków lub załączników stwarza ryzyko zainfekowania urządzenia złośliwym oprogramowaniem lub uzyskania dostępu do danych osobowych przez cyberprzestępców. Najlepiej jest usunąć wiadomość, jeśli wzbudza podejrzenia.
Nie podawaj danych osobowych
Nie podawaj danych osobowych przez telefon lub za pośrednictwem wiadomości. Nawet jeśli uważasz, że osoba, z którą rozmawiasz, jest godna zaufania, jak w przypadku oszustw „na wnuczka”, zachowaj ostrożność.
Dbaj o czystość swojego śladu cyfrowego
Istnieje kilka prostych działań, które pozwolą na utrzymanie śladu cyfrowego w dobrej kondycji, co zmniejsza ryzyko oszustwa:
- Usuń wszelkie konta, których już nie używasz
- Unikaj nadmiernego dzielenia się informacjami w mediach społecznościowych
- Zaktualizuj ustawienia prywatności, aby zmniejszyć ślad cyfrowy na różnych kontach lub w aplikacjach
Chroń się przed oszustwami z użyciem pretekstu
Wszystkie oszustwa wzbudzają stres i powodują poważne konsekwencje, ale oszustwo z użyciem pretekstu jest szczególnie niepokojące ze względu na pretekst, którego cyberprzestępcy używają do budowania zaufania. We wspomnianych wyżej przypadkach oszustw z użyciem pretekstu celem oszustów są specyficzne grupy ofiar i ich słabości. Po zapoznaniu się z najczęściej występującymi rodzajami oszustw z użyciem pretekstu oraz sposobami ich unikania wiesz już, jak chronić siebie i swoje prywatne informacje.