Oszustwa internetowe. Jak wykryć złośliwą aplikację
Wystarczyło kilkanaście minut, by hakerzy włamali się na telefon klientki banku. Bardzo szybko pobrali dużą sumę pieniędzy. Takie sytuacje będą się zdarzać częściej, w końcu internetowa bankowość kwitnie. Żeby nie dać się oszukać, warto znać kilka prostych zasad.
10.02.2019 01:54
Ofiarą takiej sytuacji stała się jedna z naszych czytelniczek, pani Magda. W ciągu kilkunastu minut z jej konta bankowego zniknęło niemal 70 tys. zł. Wszystko przez fałszywą aplikację.
Oszustwa bankowe - schemat działania
Wbrew pozorom w przypadku takich oszustw schemat działania oszustów jest niezwykle prosty. Zamiast zaufanej aplikacji do logowania w banku, złodziej podkłada ofiarze spreparowany program. Nieświadomy zagrożenia użytkownik podaje swój identyfikator i hasło, jakby logował się do banku. Napastnik przejmuje dane i kontrolę nad kontem.
Sama możliwość zalogowania się do serwisu transakcyjnego niczego złodziejowi nie daje, gdyż brakuje mu kodu autoryzacyjnego z SMS-a. Ale i z tym przestępcy potrafią sobie radzić.
Niektóre fałszywe aplikacje bankowe automatycznie przejmują i udostępniają napastnikowi kody wysyłane na telefon ofiary. Inne skłaniają do ręcznego przepisania kodu.
Kończy się na ogół tym, że haker na koncie bankowym ofiary ustawia swój numer konta jako „zaufanego odbiorcę”, do którego przelewy wykonywać można bez dodatkowej weryfikacji, a finał jest już niezmiernie łatwy do przewidzenia; pieniądze znikają.
Fałszywe aplikacje - jak się chronić
1. Nie ściągaj aplikacji z nieznanych źródeł. Dla Androida oficjalnym sklepem z aplikacjami jest Google Play. Jeśli użytkownik chce "ręcznie" ściągnąć aplikację z innego źródła i zainstalować na telefonie, musi liczyć się z ryzykiem infekcji wirusem. To jak gra w ruletkę - jedna aplikacja z nieoficjalnego źródła będzie "czysta", dwie następne zainfekowane.
2. Sprawdź nazwę. Każdy bank ma jasno sprecyzowaną nazwę aplikacji, która znajduje się na jego stronie internetowej w materiałach informacyjnych i reklamowych. Trzeba tę nazwę bardzo dokładnie, literka po literce, sprawdzić.
Dwie aplikacje w Google Play co prawda nie mogą nazywać się w ten sam sposób, ale przestępcy wykorzystują fakt, że ludzki mózg rejestruje schematy zapisu słów; przestawiają litery w środku wyrazów, celowo robią drobne literówki, zastępują literę „O” – zerem.
3. Zweryfikuj autora aplikacji. Można to sprawdzić w opisie aplikacji. Autor aplikacji bankowej będzie się nazywał tak samo jak ten bank, choć przestępcy mogą próbować się podszywać. Jeśli prawdziwy bank autora aplikacji nazwał „Bank X”, to złodziej może się podpisać „Bank X Polska”. Ale tak bezczelne próby oszustwa Google szybko wykrywa.
4. Sprawdź liczbę użytkowników aplikacji. Oficjalne aplikacje bankowe istnieją od dłuższego czasu i mają sporą rzeszę użytkowników. W Google Play widoczna jest liczba pobrań. Jeśli coś, co wygląda jak aplikacja banku, ma od kilkudziesięciu do kilkuset użytkowników, to z dużą dozą prawdopodobieństwa jest fałszywką.
5. Nie sugeruj się komentarzami. To jedna z najczęściej stosowanych metod na uwiarygodnienie się przez złodzieja. Nawet trzy-cztery pochlebne opinie łatwo usypiają czujność.
6. Przeczytaj opis aplikacji. Żaden szanujący się bank nie pozwoli, aby polskie znaki diakrytyczne zastępowane były powplatanymi w słowa pytajnikami. Ani żeby opis zawierał liczne błędy gramatyczne i interpunkcyjne.
Oszuści często są osobami spoza Polski, nieznającymi dobrze (albo w ogóle) języka polskiego. Redagując opis, posługują się internetowymi tłumaczami. To niekiedy prowadzi do absurdalnych konstrukcji zdaniowych, błędnej odmiany i wyrazów całkowicie niepasujących do kontekstu. Osoba mówiąca po polsku na co dzień szybko to wychwyci.
7. Używaj antywirusa i aktualizuj go. Najnowsze smartfony zwykle mają od razu wbudowane programy antywirusowe. Ale złośliwe oprogramowanie powstaje non stop, dlatego w kwestii antywirusa kluczowe jest jego regularne aktualizowanie. Im świeższy system, tym mniej w nim dziur i tym trudniej prześlizgnąć się fałszywej aplikacji. Dokładnie ta sama zasada dotyczy całego systemu operacyjnego Android.
Fałszywe bramki płatności
Tu sprawa jest trudniejsza. O ile sklep Google Play jest jeden i jest w nim w miarę bezpiecznie, o tyle z bramek płatności korzystamy regularnie i są ich dziesiątki.
1. Sprawdź, komu chcesz zapłacić. Istotną rolę odgrywa samo źródło przekierowania do bramki. Jeżeli jest to znany sklep internetowy, to przekierowanie do fałszywki może nastąpić tylko wtedy, gdy hakerzy przejmą nad nim kontrolę, a to sytuacje liczone w promilach.
2. Sprawdź adres bramki. Pod koniec 2018 r. miało miejsce oszustwo z witryną naśladującą DotPay w roli głównej, która została umieszczona w domenie pk999.pl, a także px3511.com. Właścicielom bramek, tak jak wszystkim innym przedsiębiorcom, zależy na rozpoznawalności marki i nigdy nie zastosowaliby tak przypadkowego ciągu znaków.
3. Sprawdź adres strony banku, do której kieruje aplikacja. Oczywiście taka przypadkowość procentuje na dalszym etapie „płatności”. Strona banku, do której kieruje fałszywa bramka, jest również fałszywa i znajduje się pod nieprawdziwym adresem. To już łatwiej wykryć, ponieważ większość osób, zdaje się, domenę swojego banku dobrze kojarzy.
4. Uważaj na SMS-y i maile od nieznanych osób. Zwłaszcza, kiedy otrzymujesz z nieznanego adresu e-mail lub numeru telefonu wiadomość o konieczności uiszczenia jakiejś niejasnej opłaty, czy kuszącej promocji - od razu z linkiem do bramki.
To metoda wykorzystywana przez oszustów od dłuższego czasu. Przestępcy rozsyłają SMS-y z prośbą o dopłatę 1 zł do zamówienia złożonego w sklepie internetowym. Kwota wydaje się niewielka, więc duża część osób chce bez namysłu uregulować rachunek, a tymczasem na szali ważą się znacznie większe pieniądze.
5. Myśl! Jakkolwiek prozaicznie to nie zabrzmi, dokonując operacje bankowe przez internet, zawsze należy zachowywać czujność. Nie wolno dać się ponieść mechanicznemu wykonywaniu kolejnych czynności. Każda próba oszustwa w mniejszym lub większym stopniu wykorzystuje nieuwagę ofiary. Pamiętajmy o tym, a nic złego nie powinno się przytrafić.