Fałszywe bilety koncertowe w social mediach
Na Facebooku i Instagramie coraz częściej pojawiają się reklamy wyglądające jak marzenie każdego fana muzyki – tanie wejściówki na największe koncerty, często z dopiskiem „ostatnie miejsca” albo „oferta ważna tylko dziś”. Strony, do których prowadzą te reklamy, są dopracowane w najmniejszych szczegółach: logotypy popularnych serwisów, zdjęcia artystów, a nawet spreparowane opinie rzekomych kupujących. Wszystko ma stworzyć iluzję wiarygodności i sprawić, że ofiara poczuje się bezpiecznie.
Prawdziwa pułapka pojawia się na etapie płatności. Jedyną metodą, jaką akceptują oszuści, jest Blik – szybki i pozornie wygodny. Wprowadzenie kodu oznacza przekazanie środków wprost na konto przestępców. Zamiast biletu klient otrzymuje fałszywy plik PDF, który przy wejściu na koncert okazuje się bezwartościową kartką. Co gorsza, oszuści działają masowo i w sposób zorganizowany – w jednej kampanii mogą wyłudzić pieniądze od setek osób w ciągu zaledwie kilku godzin.
CERT Polska ostrzega, że tego rodzaju ataki opierają się na emocjach – radości z okazji, strachu przed przegapieniem wydarzenia i presji czasu. To mieszanka, która sprawia, że zdrowy rozsądek często zostaje w tyle. Jedynym skutecznym sposobem obrony jest kupowanie biletów wyłącznie przez oficjalne kanały – strony wpisane ręcznie w przeglądarkę lub sprawdzone aplikacje mobilne.
Podszywanie się pod banki
CSIRT KNF regularnie ostrzega przed fałszywymi stronami logowania do bankowości internetowej, które są niemal nie do odróżnienia od oryginałów. Ostatnio oszuści szczególnie często podszywali się pod Bank Ochrony Środowiska i Bank BPS. Fałszywe witryny mają identyczny układ, kolory i formularze – jedyną różnicą jest adres internetowy, często zmieniony o jedną literę lub znak.
Użytkownik, przekonany że loguje się do swojego banku, podaje dane dostępowe – login i hasło – które natychmiast trafiają do przestępców. Ci z kolei błyskawicznie próbują zalogować się na prawdziwe konto i wypłacić wszystkie środki, zanim ofiara zdąży zareagować. W niektórych przypadkach wykorzystywane są również kody SMS, które ofiara sama podaje, myśląc, że zatwierdza rutynową operację. To przykład, jak łatwo można zostać zmanipulowanym, jeśli zaufa się nieodpowiedniej stronie.
Fałszywe reklamy i e-maile
Oszustwa nie kończą się na stronach logowania. Na Facebooku pojawiają się reklamy podszywające się pod największe banki w Polsce. Zawierają logotypy, atrakcyjne hasła i obietnice dodatkowych pieniędzy w zamian za udział w ankiecie czy aktywację usługi. W rzeczywistości reklamy prowadzą do formularzy, które zbierają dane logowania lub informacje o kartach płatniczych. Dla nieświadomej ofiary wygląda to jak zwykła promocja, a w praktyce jest to prosta droga do utraty oszczędności.
Jeszcze groźniejsze są e-maile podszywające się pod instytucje finansowe, np. VeloBank. Wiadomości są napisane profesjonalnym językiem, zawierają logotypy i podpisy, a w treści informują o rzekomej blokadzie karty. Kliknięcie w link przenosi użytkownika na stronę, która prosi o podanie pełnych danych karty – numeru, daty ważności i kodu CVV. To dokładnie te informacje, których przestępcy potrzebują, aby natychmiast opróżnić konto.
Nowe triki oszustów
Ostatnie miesiące pokazują, że cyberprzestępcy nie zwalniają tempa i stale testują nowe metody. CSIRT KNF poinformował o kampaniach phishingowych wymierzonych w klientów Santander Bank Polska i grupy SGB. W przypadku Santandera rozsyłano e-maile dotyczące „aktualizacji bezpieczeństwa” – ofiary były przekierowywane na fałszywe formularze logowania. W przypadku SGB do ataku wykorzystano SMS-y, które sugerowały wygaśnięcie dostępu do bankowości internetowej.
W obu przypadkach scenariusz był niemal identyczny – wywołanie niepokoju, presja czasu i przekierowanie na stronę, która wyglądała profesjonalnie, ale w rzeczywistości była pułapką. Eksperci podkreślają, że te działania są możliwe, bo przestępcy doskonale naśladują język komunikacji banków, kopiują grafiki i wykorzystują elementy prawdziwych kampanii marketingowych. Dzięki temu ofiary często nie mają świadomości, że padły ofiarą ataku, dopóki nie zobaczą wyczyszczonego konta.
Jak się chronić
Najważniejszą zasadą pozostaje nieklikanie w linki z wiadomości SMS czy e-maili, nawet jeśli wyglądają one wiarygodnie. Zawsze należy ręcznie wpisać adres strony w przeglądarce albo korzystać z oficjalnych aplikacji bankowych i serwisów biletowych. To minimalizuje ryzyko trafienia na fałszywą stronę.
Nie wolno również podawać pełnych danych karty czy loginów w formularzach otwieranych z reklam. Jeśli pojawi się podejrzana wiadomość, najlepiej natychmiast skontaktować się z bankiem lub sprzedawcą przez oficjalny kanał. Warto też zgłaszać incydenty do CERT Polska i CSIRT KNF – dzięki temu szkodliwe strony są szybciej blokowane, a inni użytkownicy nie tracą pieniędzy.
