Co chwilę słyszymy o nowych wyciekach danych, a od niedawna również o nakładanych na firmy ogromnych karach finansowych. Jeśli firmy muszą płacić za wycieki danych, pewnie część tych pieniędzy trafia do ofiar, prawda?
Niespodzianka od amerykańskiej komisji ds. handlu
Niedawno uwagę użytkowników internetu przyciągnęła ciekawa witryna internetowa, która rzekomo należała do organizacji zajmującej się wypłatą świadczeń tytułem ochrony danych osobowych. Podobno taki fundusz został utworzony przez amerykańską komisję ds. handlu.
Na pierwszy rzut oka strona nie wzbudza podejrzeń: jej powściągliwy wygląd informuje, że fundusz dysponuje sporą kwotą sumę. Z dużego baneru wyświetlanego u góry strony można dowiedzieć się, że fundusz zwraca pieniądze za wycieki danych osobowych — i mogą się o nie ubiegać mieszkańcy każdego kraju na świecie.
Strona oferuje sprawdzenie, czy nasze dane kiedykolwiek wyciekły. W tym celu należy podać swoje imię, nazwisko, numer telefonu i konto w mediach społecznościowych. Powyżej formularza widnieje ostrzeżenie, że wprowadzanie nie swoich danych skutkuje surową karą.
Okazuje się jednak, że strona akceptuje wszystkie informacje — nawet dyrdymały. Na przykład zapytaliśmy o dane osobowe obywatela, który nazywał się fghfgh fghfgh. Strona chwilę się zastanawiała, niby łącząc się z bazą danych o wyciekach…
… i oto okazało się, że dane naszej fikcyjnej postaci z takim imieniem i nazwiskiem rzeczywiście wyciekły. Co więcej, okazało się, że ktoś już wykorzystał zdjęcia, filmy i informacje kontaktowe tej osoby, a więc osobnik fghfgh miał prawo do odszkodowania przekraczającego 2 500 dolarów!
Kup tymczasowy numer ubezpieczenia społecznego
Można by pomyśleć, że wystarczy podać numer karty bankowej i poczekać na zaksięgowane płatności. Nie do końca. Fundusz charytatywny nie może wysyłać pieniędzy bez znajomości numeru ubezpieczenia społecznego (Social Security Number), czyli dziewięciocyfrowego numeru wydawanego obywatelom Stanów Zjednoczonych, jak również stałym i tymczasowym rezydentom.
W Stanach Zjednoczonych ten unikatowy numer jest używany niemal wszędzie: służy on m.in. do płacenia podatków, ubiegania się o pracę, wynajmu domu itp.
Ale jeśli ktoś nie ma takiego numeru, może zaznaczyć odpowiednie pole.
Aby obejść problem braku numeru SSN, strona oferuje możliwość kupna tymczasowego. W porównaniu z wysokością potencjalnego odszkodowania, kwota 9 dolarów wydaje się być niewielka.
Próba ukończenia transferu bez zakupu numeru SSN sprawia, że witryna wyświetla błąd i żąda podania tymczasowego. A jeśli przypadkiem podasz w oszukańczym formularzu prawidłowy numer SSN, i tak ponownie wyświetli się komunikat o konieczności zakupu tymczasowego.
Osoby, które zdecydują się na zakup tymczasowego numeru SSN, zostaną przekierowane do formularza płatności. Jeśli korzystasz z rosyjskiego adresu IP, formularz płatności pojawi się w języku rosyjskim, a cena będzie podana w rublach. Czy to nie dziwne, że agencja rządowa Stanów Zjednoczonych wymaga zapłaty w walucie obcej?
Mieszkańcy innych krajów prawdopodobnie zostaną przekierowani do formularza w języku angielskim (który przez to wydaje się mniej podejrzany), żądającego zapłaty w dolarach.
Czy oszuści internetowi z Rosji zaczynają działalność międzynarodową?
Oczywiście, jest to oszustwo. Fundusz ochrony danych osobowych nie istnieje, podobnie jak amerykańska komisja handlowa. Nazwa prawdziwej organizacji, pod którą oszuści najwyraźniej próbują się podszyć, brzmi Federalna Komisja Handlu, ale nie przyznaje ona odszkodowania masowo.
Sami oszuści są najprawdopodobniej Rosjanami, na co wskazuje nie tylko formularz płatności w rublach, ale także podejrzane podobieństwo schematu działania do innych ofert zrobienia łatwych pieniędzy, które regularnie kuszą mieszkańców Rosji i Wspólnoty Niepodległych Państw.
Przynęta używana w takich schematach bywa różna, ale cel jest zawsze taki sam: obietnica zarobienia łatwych pieniędzy po opłaceniu niedrogiej usługi: prowizji, „zabezpieczenia” płatności czy uzyskania tymczasowego numeru SSN.
Zaprezentowany schemat wykorzystuje te same systemy płatności co wcześniejsze metody. I on również zawiera znane ślady pozostawiane przez rosyjskich cyberprzestępców. Jedyną rzeczą, która odróżnia to oszustwo z odszkodowaniem w tle, jest szersza geografia ataku. Na przykład tym razem ofiary znajdowały się nie tylko w Rosji i krajach sąsiednich, ale także w Algierii, Egipcie, Zjednoczonych Emiratach Arabskich i nie tylko.
Jak nie dać się nabrać na takie sztuczki
Jak zwykle takie oszustwa stanowią największe niebezpieczeństwo dla osób, które bywają naiwne. Dlatego naszą najważniejszą poradą jest zachowanie czujności:
- Nie ufaj. Jeśli ktoś obiecuje dużą wypłatę gotówki za coś tak banalnego jak udział w ankiecie, prawie na pewno jest to oszustwo. A jeśli dodatkowo musisz wpłacić jakąś kwotę, możesz mieć pewność, że oferta jest nieprawdziwa.
- Weryfikuj. Wyszukaj tę organizację w internecie, aby sprawdzić, czy naprawdę istnieje, a jeśli tak, przyjrzyj się jej stronie internetowej. Zwróć uwagę na język: renomowana organizacja nie będzie publikować treści pełnych błędów i literówek.
- Używaj zaufanych zasobów. Jeśli obawiasz się o bezpieczeństwo danych, w szczególności hasła, możesz sprawdzić w serwisie haveibeenpwned.com, czy kiedyś wyciekło. Autorem tego zasobu wyszukiwania informacji, które wyciekły, jest ekspert ds. bezpieczeństwa informacji Troy Hunt. Serwis zapewnia najbardziej aktualne informacje na temat wycieków danych.
- Chroń się. Korzystaj z niezawodnego rozwiązania antywirusowego zapewniającego ochronę przed phishingiem i oszustwami internetowymi, takiego jak Kaspersky Internet Security.