Cyberoszustwa inwestycyjne
Atak z wykorzystaniem nakładek (ang. overlaying)
Wykorzystywana przez złośliwe oprogramowanie metoda ataku ukierunkowana na użytkowników urządzeń mobilnych, polegająca na przesłonięciu okna uruchomionej aplikacji za pomocą oszukańczej nakładki. Wyświetlona nakładka może służyć np. przechwytywaniu wprowadzanych przez użytkownika danych dotyczących kart płatniczych, poświadczeń logowania i innych wrażliwych treści. Ofiara metody jest w tym wypadku nieświadoma oszustwa i odnosi wrażenie wprowadzania danych do prawdziwej aplikacji.
Scenariusze ataku do których wykorzystywany jest overlaying, poza wyłudzaniem wrażliwych informacji, mogą obejmować przechwytywanie interakcji użytkownika (takich, jak kliknięcia i wciśnięcia klawiszy), a także próby uzyskania dodatkowych uprawnień ze strony złośliwej aplikacji. Inną możliwą formą złośliwego działania jest stosowane w atakach ransomware wyświetlanie pełnoekranowej planszy, warunkującej możliwość dalszego korzystania z urządzenia po zapłaceniu wymaganego okupu. Wśród spotykanych scenariuszy ataku można również zaobserwować wykorzystanie metody w celu umożliwienia dalszej instalacji złośliwego oprogramowania. W tym wypadku nieświadomy użytkownik, klikając w wiarygodnie wyglądający ekran, wyraża zgodę na instalację oprogramowania pochodzącego z niezaufanych źródeł. Wymienione scenariusze dotyczą urządzeń mobilnych działających pod kontrolą systemu Android, a możliwości ich wykorzystania mogą różnić się w zależności od posiadanej wersji systemu.
Deepfake
To technologia wykorzystująca sztuczną inteligencję do generowania realistycznych filmów lub dźwięków, w których wykorzystywane są techniki manipulacji. W deepfake wykorzystuje się techniki uczenia maszynowego i sztucznych sieci neuronowych do naśladowania wyglądu, głosu i manier osoby, tworząc fałszywe materiały wideo lub audio, które mogą wyglądać i brzmieć jak rzeczywiste. Technologia ta jest wykorzystywana w działaniach przestępczych.
Malware
Malware to ogólna nazwa każdego typu "szkodliwego" oprogramowania, jak wirusy, robaki, trojany, backdoory itp. Ze względu na powszechność tego zjawiska, słowem będącym synonimem szkodliwego oprogramowania był wirus. W związku z rozwojem technologii, a przede wszystkim sieci Internet, pojawiło się bardzo dużo nowych zagrożeń, których nie można już było nazwać wirusami. W związku z tym coraz bardziej popularne stało się słowo jednoznacznie definiujące "złośliwe oprogramowanie" na wystarczającym poziomie ogólności. Dodatkowym powodem popularyzacji słowa „malware” była zmienność nowopowstającego szkodliwego oprogramowania, uniemożliwiająca w jednoznaczny sposób przypisanie do istniejących znanych kategorii. Wirusy zaczęły mieć cechy robaków, robaki trojanów albo łączyć w sobie cechy kilku typów szkodliwego oprogramowania, zupełnie wymykając się z podstawowej kategoryzacji.
Oszustwo
W języku potocznym termin ten określa świadome wprowadzenie kogoś w błąd dla własnej korzyści. W ujęciu prawnym pojęcie to odnosi się do przestępstwa z art. 286 § 1 Kodeksu karnego.
Przepis ten stanowi, że „Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8”. Przestępstwo to jest ścigane z urzędu, z wyjątkiem oszustwa popełnionego na szkodę osoby najbliższej - wtedy ściganie następuje na wniosek pokrzywdzonego (art. 286 § 3 Kodeksu karnego).
Ponadto przepisy prawa przewidują również odrębne podstawy odpowiedzialności karnej za oszustwo komputerowe (art. 287 § 1 Kodeksu karnego), oszustwo kredytowe (art. 297 § 1 Kodeksu karnego), czy oszustwo ubezpieczeniowe (art. 298 § 1 Kodeksu karnego).
Odpowiedzialność karną za oszustwo (286 § 1 Kodeksu karnego) ponosi osoba, której działanie podejmowane jest w celu osiągnięcia korzyści majątkowej, polega na wprowadzeniu innej osoby w błąd albo wyzyskaniu jej błędu lub niezdolności do należytego pojmowania przedsiębranego działania, oraz skutkuje doprowadzeniem tej osoby do niekorzystnego rozporządzenia własnym lub cudzym mieniem.
Brak osiągnięcia przez sprawcę zamierzonego skutku, nie oznacza jednak jego bezkarności. Sytuacja taka może mieć miejsce na przykład, gdy ofiara przestępstwa zorientuje się w porę (jeszcze przed przekazaniem przestępcy pieniędzy), jaki jest rzeczywisty cel działania sprawcy. Przestępca będzie odpowiadał wtedy za usiłowanie oszustwa. Zagrożenie karą będzie zaś takie samo, jak w przypadku udanej próby oszustwa.
Usiłowanie oszustwa również ścigane jest z urzędu. W każdym przypadku, nawet jeśli przestępcy nie udało się uzyskać pieniędzy, zgłoszenie oszustwa organom ścigania może przyczynić się do ujęcia sprawcy i uchronić przed utratą środków inne osoby. Ważne, w szczególności w przypadku cyberprzestępstwa, aby zawsze zabezpieczyć dowody przestępstwa w celu przekazania ich Policji – zwiększa to szansę na ustalenie tożsamości przestępcy i postawienie mu zarzutów.
Do metod działania przestępców, które zazwyczaj wyczerpują znamiona oszustwa, można zaliczyć phishing, oszustwa związane z fałszywymi ofertami w sklepach internetowych (oszustwo „na kupującego” oraz „na sprzedającego”), inne oszustwa z wykorzystaniem socjotechniki i manipulacji, jak oszustwo „na policjanta”, „na wnuczka”, czy oszustwo „nigeryjskie”, bądź fałszywe inwestycje lub fałszywe giełdy kryptowalut.
Phishing
Metoda oszustwa, w której oszust podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia danej osoby do określonych działań, np. dokonania przelewu na konto oszusta. Jest to rodzaj ataku opartego na inżynierii społecznej. Phishing jest bardzo prostym rodzajem ataku cybernetycznego, opartego na inżynierii społecznej i manipulacji daną osobą. Nie wymaga szukania luk w zabezpieczeniach, ani posiadania zaawansowanej wiedzy technicznej. Bazuje na najsłabszym ogniwie ochrony sieci komputerowej, czyli błędach użytkownika. Twórcy fałszywych informacji podszywają się pod realnie istniejące instytucje, nakłaniając użytkownika do udzielenia osobistych informacji. Najczęściej phishing ogranicza się do wykorzystania przez oszusta gotowych narzędzi z graficznym interfejsem, które dostarczane są przez zorganizowane grupy przestępcze.
Pierwsze odnotowane użycie terminu „phishing” miało miejsce w zestawie narzędzi do łamania zabezpieczeń AOHell stworzonym przez Koceilah Rekouche w 1995 roku, jednak możliwe jest, że termin ten był używany wcześniej w drukowanej edycji magazynu hakerskiego „2600”. Słowo to jest małomową odmianą łowienia ryb (ph jest powszechnym zamiennikiem f), prawdopodobnie pod wpływem phreakingu i nawiązuje do używania coraz bardziej wyrafinowanych przynęt do "łowu" poufnych informacji użytkowników. Od 2020 roku phishing jest zdecydowanie najczęstszym atakiem wykonywanym przez cyberoszustów.
Próby zapobiegania incydentom związanym z wyłudzaniem informacji lub łagodzenia ich skutków obejmują szkolenia użytkowników, podnoszenie świadomości społecznej, a także wprowadzanie technicznych środków bezpieczeństwa. Świadomość występowania phishingu staje się niezbędna. W latach 2017–2020 liczba ataków phishingowych wśród firm wzrosła z 72 do 86% spośród wszystkich ataków.
Grupy cyberoszustów działają praktycznie w każdym państwie, często współpracują ze sobą, operują jednocześnie na terenie kilku państw. Wykrycie ich, jak i identyfikacja państwa z którego pochodzą, jest niezmiernie trudna ze względu na mnogość zabezpieczeń jakie stosują do ukrywania się. W przypadku np. oszustwa na kupującego na OLX, w wiadomościach często można było zobaczyć „))” (popularny na wschodzie emotikon – uśmiech), co sugeruje, że oszust posiada komputer z klawiaturą z cyrylicą. Jednak nawet taka wskazówka nie daje żadnej pewności z jakiego kraju pochodzi oszust.
Scam
To pojęcie slangowe, synonim pojęcia oszustwo. Scam może wykorzystywać różne kanały komunikacji takie, jak Internet, sieć GSM (SMS lub telefon), pocztę tradycyjną czy kontakt osobisty. Najczęstsze są oszustwa, w których sprawca komunikuje się z użyciem Internetu lub telefonu. Istnieje ogromna ilość różnych typów oszustw komputerowych i internetowych. Większość z nich sprowadza się do kradzieży informacji, mienia czy pieniędzy. Wśród nich można wyróżnić:
fałszywe nagrody i loterie.
Oszustwa online są bardzo skuteczne. Spośród osób, które podjęły interakcję z cyberoszustem, zwykle około 70% ponosi straty finansowe. Według International Fraud Report on Scamming Statistics 2020, największa liczba zgłoszeń dotyczy:
oszustw typu nigeryjskiego.
Celem scamu jest wyłudzenie pieniędzy lub danych osobowych.
Aby nie dać się oszukać należy:
Nie instalować oprogramowania zezwalającego na zdalny dostęp do urządzenia. Jeśli zostało już zainstalowane oprogramowanie lub zezwolono nieznanej osobie na zdalne połączenie z komputerem/telefonem komórkowym - należy zabrać komputer do dowolnego punktu naprawczego danego urządzenia w celu wykonania diagnostyki.
Socjotechnika
To czynność wywierania wpływu poprzez zastosowanie podstępu wykorzystującego uniwersalne mechanizmy reakcji psychologicznych. Celem takiego działania jest nieautoryzowane pozyskanie poufnych lub niedostępnych w inny sposób informacji. Skuteczność i popularność socjotechniki wynika z faktu podatności ludzi na manipulację i błędy poznawcze. Wskutek rozwoju technicznych i informatycznych zabezpieczeń informacji, jednostki ludzkie mogą być postrzegane w coraz większym stopniu jako najsłabsze ogniwo łańcucha bezpieczeństwa informacyjnego. Pojęcie socjotechniki lub inżynierii społecznej jest polisemiczne, to znaczy w różnych obszarach ludzkiego działania i myślenia jego interpretacje są nietożsame. W socjolekcie użytkowników Internetu, a w szczególności specjalistów w zakresie cyberbezpieczeństwa przyjęło się je rozumieć jak wyżej. Dotychczas podjęto niewiele prób w zakresie wyostrzenia definicji tego pojęcia na gruncie bezpieczeństwa informacyjnego. Taksonomie socjotechnik na ogół odwołują się do sześciu reguł wpływu społecznego Roberta Cialdiniego. Warto jednak zaproponować systematykę alternatywną, w ramach której wyróżnia się dwie grupy socjotechnik:
Polegające na przyjmowaniu ról społecznych (ang. impersonating).
Do pierwszej grupy technik polegających na wywoływaniu emocji zaliczymy następujące, często stosowane techniki:
ingracjacja (ang. przysł. Praise the fool, the fool will jump) – gratyfikacja psychologiczna wskutek czego dana osoba odczuwa presję bycia akceptowaną i potrzebę udowodnienia, że jest w stanie wykonać żądaną czynność.
Z kolei do technik polegających na przyjmowaniu ról społecznych zaliczamy:
tworzenie pretekstu (ang. pretexting) – spreparowanie przesłanki do kontaktu zawodowego lub towarzyskiego.
Spear phishing
Specjalny typ ataku phishingowego, który został spersonalizowany (ukierunkowany) na daną osobę lub firmę. Oszuści wykorzystujący spear phishing w pierwszej kolejności zbierają informacje na temat takiej osoby lub firmy, co czyni tą metodę szczególnie niebezpieczną. W odróżnieniu od ataku phishingowego, którego celem jest masowe wysyłanie wiadomości do przypadkowych osób, atak spear phishing koncentruje się na konkretnych celach.
Typowy atak typu spear phishing przeprowadzany jest przy wykorzystywaniu wiadomości e-mail, mediów społecznościowych lub komunikatorów internetowych. Jego celem jest wyłudzenie danych do logowania, danych osobowych, instalacja "złośliwego" oprogramowania.
Tego typu atak socjotechniczny zwiększa szanse na to, że dana osoba wykona wszystkie czynności prowadzące do utraty danych lub zainfekowania urządzenia przez pobranie przesłanych jej plików.
Spoofing
Występuje, gdy oszust podszywa się pod inne urządzenie lub użytkownika w sieci, aby wykraść dane, zainstalować "złośliwe" oprogramowanie lub ominąć mechanizmy kontroli dostępu. Najczęściej występuje IP, e-mail i DNS spoofing. Dominującą metodą spoofingu jest podszywanie się pod numer telefonu banku lub instytucji publicznej. Osoba odbierająca takie połączenie jest przekonana, że rozmawia z osobą zaufaną, np. doradcą klienta.
Aby ułatwić korzystanie z serwisu, mechanizm nim zarządzający wykorzystuje technologię cookies – informacje zapisywane są przez serwer Urzędu na komputerze użytkownika. Nie jest ona wykorzystywana do pozyskiwania jakichkolwiek danych o osobach odwiedzających serwis. Użytkownik może w każdej chwili wyłączyć w swojej przeglądarce internetowej opcję przyjmowania cookies. Może to spowodować pewne utrudnienia w korzystaniu z serwisu. Więcej informacji w zakładce Polityka prywatności. Polityka Prywatności
Szczegółowe informacje dostępne są w zakładce Polityka prywatności.
Podstawowe pliki cookies są wykorzystywane do prawidłowego funkcjonowania strony internetowej.
Cookie | Czas przechowywania | Opis |
---|---|---|
JSESSIONID | sesja | Session cookie |
cookiesession1 | 24h | Session cookie. |
contrastMode | 365d | WCAG contrast mode |
fontSize | 365d | WCAG font size |
Analityczne pliki cookies wykorzystywane są do zbierania informacji o sposobie korzystania ze strony internetowej przez użytkowników w sposób anonimowy.
Cookie | Czas przechowywania | Opis |
---|---|---|
_utma, _utmb, _utmc, _utmt, _utmz, _ga* | 6m | Google Analytics |
_ga* | 12m | Google Analytics |