21/05/2014

Oszustwa online: gdzie je zgłaszać i jak sobie z nimi radzić?

Porady

Na naszym blogu często poświęcamy dużo uwagi i miejsca ma omawianie rodzajów zagrożeń, które funkcjonują w internecie, oraz przedstawiamy praktyczne porady, jak nie stać się ich kolejną ofiarą. Dzisiaj chciałbym po krótce omówić najlepsze sposoby reagowania na zagrożenia online w momencie, kiedy już masz z nimi bezpośrednio do czynienia. Opowiem Wam również o organizacjach, których głównym celem jest tworzenie bezpieczniejszego internetu. Niejednokrotnie to, czego te organizacje potrzebują do efektywnego spełniania swojej misji, to wyłącznie … informacja od Ciebie.

fraud Phishing

Phishing jest rodzajem oszustwa z zakresu socjotechniki, w którym napastnik próbuje nakłonić ofiary do przekazania mu potencjalnie cennych informacji. Jednym z najbardziej powszechnych typów phishingu jest atak za pośrednictwem wiadomości e-mail. Atakujący tworzy wiadomość, która łudząco przypomina powiadomienia z zaufanych źródeł. Wiadomości mogą sprawiać wrażenie, że zostały wysłane przez powszechnie znany bank, informują o jakimś zagrożeniu dla użytkownika, równocześnie prosząc o zresetowanie hasła za pośrednictwem podanego w mailu odnośnika. Umieszczone w wiadomości hiperłącze zaprowadzi Cię do witryny, która będzie wyglądała identycznie jak strona banku. Użytkownik, który z niego skorzysta, będzie musiał użyć swojego loginu i hasła w celu zmiany ich na nowe. Oczywiście tak naprawdę w ten sposób atakujący podstępnie nakłania użytkownika do ujawnienia swoich danych uwierzytelniających bankowości internetowej (dlatego też banki ostrzegają o konsekwencjach klikania odnośników w wątpliwych wiadomościach, równocześnie zachęcając swoich klientów do logowania się bezpośrednio ze strony banku).

Nieważne, czy jesteś ofiarą, czy świadkiem; istnieje kilka organizacji, którym można zgłosić informacje o zagrożeniach w sieci i w ten sposób sprawić, że internet będzie bezpieczniejszym miejscem.

Zatem co powinieneś zrobić, gdy zetkniesz się z phishingiem? Masz wiele opcji, jednak ogólnie rzecz ujmując, należy pamiętać o pięciu następujących krokach:

  1. Nie klikaj podejrzanych linków.
  2. Niezwłocznie prześlij wiadomość phishingową i linki do firmy, której wizerunek został wykorzystany.
  3. W niektórych przypadkach możesz skontaktować się ze służbami ochrony porządku publicznego.
  4. Dobrym uczynkiem obywatelskim byłoby poinformowanie o sytuacji UOKiK lub kluczowych firm technologicznych.
  5. A gdy już wykonasz poprzednie kroki, możesz śmiało usunąć szkodliwą wiadomość.

Załóżmy, że zetknąłeś się z phishingową kampanią wykorzystującą wizerunek PayPala. Chciałbyś się skontaktować ze specjalnym zespołem tej firmy, który zajmuje się oszustwami. Możesz wyszukać informacje o nim wpisując w dowolną wyszukiwarkę „PayPal fałszywe e-maile” lub „PayPal wiadomość phishingowa”. paypal Następnie powinieneś wykonać wszystkie instrukcje, które zostaną Ci przekazane. Jeśli była to oszukańcza wiadomość, prześlij ją do odpowiednych działów firmy, a następnie skasuj. Dalej serwis prawdopodobnie zaleci Ci sprawdzenie historii transakcji w celu upewnienia się, czy z Twojego konta nie zniknęły żadne środki. Podobny scenariusz działania może być zastosowany w analogicznych przypadkach z innymi serwisami w roli głównej. Gmail posiada funkcję raportowania wbudowaną bezpośrednio w interfejs graficzny. Większość banków i sklepów oferuje możliwość zgłaszania im ataków phishingowych. W zależności od powagi sytuacji możesz również skontaktować się z adekwatnymi instytucjami egzekwującymi prawo, ale więcej na ten temat opowiem w kolejnych akapitach. W Polsce cybernadużycia można zgłaszać Rządowemu Zespołowi Reagowania na Incydenty Komputerowe, działającemu pod patronatem Ministerstwa Administracji i Cyfryzacji. Wszelkie ataki i nadużycia, zwłaszcza informacje o atakach phishingowych, należy przesyłać na specjalny adres e-mailowy (incydent@cert.gov.pl). Aktualne informacje odnośnie rozpoznanych e-maili phishingowych odnajdziemy również w oficjalnych komunikatach Ministerstwa Finansów, jak np. te dotyczące zeznań podatkowych. Podobne organizacje i inicjatywy państwowe występują również w innych krajach. Poza agencjami rządowymi, również duże firmy działające w branży technologicznej – jak Google czy Microsoft – mają łatwe w obsłudze strony oferujące informacje o phishingu i innych oszustwach, które dodatkowo pozwalają użytkownikowi przesyłać linki do podejrzanych stron.

Rozbieżności bilingowe

Za każdym razem, gdy dokonuję zakupu online, myślę o tym, co by się stało, gdybym nigdy nie otrzymał swojego zamówienia. Albo ile może mnie kosztować potencjalna nieuczciwość sprzedawcy lub problemy związane z dostawą. Oczywiście reakcja na tego typu sytuacje może być różna w zależności od tego, u kogo kupiłeś oraz w jaki sposób zapłaciłeś. Istnieją 3 ogólne zasady, których należy się trzymać w razie wystąpienia sytuacji spornych lub w przypadku, gdy zostałeś oszukany przez sprzedawcę:

  1. Skontaktuj się z firmą, która pobiera opłaty z Twojego konta.
  2. Jeśli to nie rozwiąże problemu – skonsultuj się ze swoim bankiem.
  3. W niektórych przypadkach może być konieczne zawiadomienie organów ścigania.

Jeśli kiedykolwiek zdarzyło Ci się zapłacić więcej za zamówiony towar, poniosłeś koszty za towary lub usługi, których nie zamówiłeś, lub zapłaciłeś za coś, czego nigdy nie otrzymałeś – w pierwszej kolejności z pewnością zwróciłeś się do nieuczciwego sprzedawcy – i słusznie. W przypadku gdy uważasz, że została Ci naliczona nieuzasadniona kwota, a sprzedawca był tego świadomy – powinieneś niezwłocznie skontaktować się ze swoim bankiem lub operatorem karty kredytowej w celu wyjaśnienia spornej transakcji.

Jeżeli podmiotem nieuzasadnionej transakcji jest dobrze prosperujący sklep – jak eBay czy Amazon – z pewnością posiada on specjalną stronę/zakładkę poświęconą tego typu zagadnieniom lub rozwiązywaniu problemów. Wszelkie renomowane sklepy sprzedające towary i usługi online powinny oferować swoim klientom możliwe kanały i sposoby rozwiązywania sporów, choć jestem pewien, że w niektórych przypadkach będziesz musiał solidnie przestudiować stronę, aby znaleźć o tym informację lub telefon kontaktowy. Jeżeli jesteś uczciwy i cierpliwy, powinieneś ostatecznie rozwiązać problem z większością odpowiedzialnych sprzedawców. W takich sytuacjach prawdopodobnie nie będziesz musiał nawet kontaktować się ze swoim bankiem czy operatorem karty kredytowej.

Niemniej jednak, jeżeli już jest jasne, że nigdy nie otrzymasz opłaconego towaru, czekasz zbyt długo na jego dostawę lub coś po prostu podejrzanego dzieje się w całym procesie zakupu – powinieneś natychmiastowo wziąć sprawy w swoje ręce i udać się do banku. Niezależnie od tego, jaki bank przechowuje Twoje pieniądze lub jaką posiadasz kartę kredytową. Każda firma zajmująca się obrotem Twoimi pieniędzmi powinna mieć system zgłaszania oszustw finansowych. Poszukaj w Sieci, przestudiuj stronę swojego banku/operatora karty kredytowej lub po prostu zadzwoń do działu obsługi klienta.

Poza tym na stronach takich jak eBay czy Amazon, gdzie zwykli ludzie mogą sprzedawać towary bezpośrednio pomiędzy sobą, możesz stać się ofiarą nieuczciwego sprzedawcy, który na co dzień nie zajmuje się prowadzeniem sprzedaży. W tym przypadku trzeba na bieżąco śledzić szczegółowe instrukcje dotyczące nierzetelnych użytkowników, które zostały przygotowane przez dany serwis. Jeżeli okaże się, że z Twojego konta są pobierane nieuzasadnione opłaty (tak jakby ktoś zlecił polecenie zapłaty z Twojej karty kredytowej albo konto w serwisie eBay agreguje dodatkowe koszty), powinieneś zgłosić to odpowiedniemu organowi ścigania. Linki do odpowiednich władz regionalnych powinieneś znaleźć na tej stronie.

1

Infekcja szkodliwym oprogramowaniem

Po pierwsze – i najważniejsze – należy zawsze uruchamiać programy zabezpieczające. Rzetelny produkt antywirusowy ochroni Twoje urządzenie przed szkodliwym oprogramowaniem.

Jednak przyjmijmy pewną tezę: Twój sprzęt został zarażony programem, który kradnie informacje. Musisz wykonać 3 podstawowe kroki:

  1. Usunąć infekcję
  2. Realnie ocenić skalę infekcji / narażenia swoich zasobów.
  3. Zmienić swoje hasło, wyrobić nowe karty.

Jeżeli nie posiadasz programu antywirusowego, powinieneś zakupić dobry pakiet, zainstalować go i uruchomić skaner. Porządny produkt powinien wykryć i usunąć szkodliwe oprogramowanie – nawet jeśli było ono aktywne przez zainstalowaniem programu AV.

A teraz najważniejszy krok z całego procesu – spróbuj określić, kiedy komputer został zainfekowany, bo w dużym stopniu powinno to ułatwić odnalezienie źródła zarażenia. Jeżeli była to strona internetowa, możesz ją zgłosić takim firmom jak Google, CERT, policji lub innym instytucjom, które w swoich kompetencjach mają również dbanie o bezpieczeństwo w Sieci.

Kolejnym etapem jest zdiagnozowanie, które informacje mogły zostać narażone na wyciek. Czy logowałeś się na swoje konto e-mail lub w serwisach bankowości internetowej, podczas gdy Twoje urządzenie było już zainfekowane? Jeżeli tak, weź pod uwagę wszystkie możliwe konta, z którymi miałeś do czynienia, i pilnie zmień hasła do nich. W zależności od tego, jakie informacje mogły zostać ujawnione na stronie banku, powinieneś skontaktować się z nim w celu podjęcia dalszych kroków. Należy sprawdzić swoje ustawienia poczty elektronicznej i innych kont i upewnić się, że nie zostały w nich zmienione krytyczne funkcje, jak np. dodatkowy adres e-mail czy ustalone zasady odzyskiwania konta.

Radzenie sobie z zagrożeniami internetowymi nie ograniczona się do opisanych przeze mnie trzech kroków. Wymienione etapy są jedynie wskazówkami i pewnego rodzaju scenariuszem, który warto przyjąć w sytuacjach zagrażających naszym danym. Jeżeli znasz jakiś inny pomysł lub chciałbyś podzielić się z nami jakąś poradą w tej materii, zostaw swój komentarz. Chętnie również podejmiemy kolejny temat do rozważań na łamach naszego bloga.