Podczas rejestracji niektóre serwisy internetowe proszą o potwierdzenie swojej tożsamości poprzez przesłanie zdjęcia, na którym widnieje dana osoba oraz jej dowód osobisty. To wygodny sposób na udowodnienie, że Ty to Ty. Nie trzeba udawać się do żadnego odległego biura ani stać w kolejce. Wystarczy zrobić zdjęcie, przesłać je i poczekać chwilę, aż konto zostanie zatwierdzone przez administratora.
Niestety Twoimi zdjęciami selfie zainteresowane są nie tylko legalne strony internetowe cieszące się dobrą reputacją, lecz także phisherzy. Poniżej opisujemy schemat oszustwa, a także wyjaśniamy, dlaczego przestępcy chcą zdobyć Twoje zdjęcia zawierające dowód osobisty.
Weryfikowanie tożsamości
W firmach często każdy dzień zaczyna się od czytania e-maila z banku, systemu płatności lub sieci społecznościowej, z którego można się dowiedzieć, że w celu zapewnienia sobie „dodatkowej ochrony” (lub z jakiegoś innego powodu) należy potwierdzić swoją tożsamość.
Łącze prowadzi do strony zawierającej formularz, który należy wypełnić szczegółami związanymi ze swoim kontem, kartą płatniczą, podać adres, numer telefonu oraz inne informacje, na następnie przesłać zdjęcie selfie z wyraźnie widocznym dowodem tożsamości lub innym dokumentem. Wtedy musisz się poważnie zastanowić: czy to naprawdę dobry pomysł, aby przesyłać swoje zdjęcie zawierające dowód osobisty…? Przecież równie dobrze mogą to być oszuści.
Dlaczego oszuści chcą selfie z dowodami tożsamości
Jak już wspomnieliśmy, niektóre serwisy internetowe wymagają przesłania zdjęcia z dowodem tożsamości w celu rejestracji. Jeśli takie zdjęcie trafi w ręce oszustów, będą oni mogli otwierać w Twoim imieniu konta — na przykład na giełdach wymiany kryptowalut w celu prania pieniędzy. W efekcie możesz mieć problemy natury prawnej.
Na czarnym runku Twoje selfie z dowodem tożsamości kosztuje znacznie więcej niż sam skan dokumentu. Oszuści mogą sprzedać je za całkiem niezłą kwotę, a nabywca z pewnością użyje w wielu miejscach Twoje imię i nazwisko.
Typowe oznaki oszustwa internetowego
Na szczęście dla nas wszystkich oszustwo internetowe rzadko jest przygotowywane przez osoby drobiazgowe, które dopracowują każdy najmniejszy szczegół. Uważna analiza phishingowej wiadomości e-mail oraz strony internetowej, do której prowadzi łącze, prawie zawsze obnaża wskazówki sugerujące, że mamy do czynienia z oszustwem.
- Błędy i literówki
Formularz wprowadzania adresu e-mail i innych danych rzadko jest napisany starannym językiem. Czy oficjalne strony internetowe i wiadomości przesyłane przez duże organizacje aż kipią od błędów gramatycznych i literówek?
- Podejrzany adres nadawcy
Oszukańcze wiadomości często pochodzą z adresów zarejestrowanych w darmowych serwisach poczty e-mail lub należą do firm, które nie są w żaden sposób powiązane z osobą wymienioną w e-mailu.
- Inna nazwa domeny
Nawet jeśli adres nadawcy wygląda w porządku, strona, na której znajduje się formularz phishingowy, najprawdopodobniej jest zarejestrowana w szemranej lub niepowiązanej tematycznie domenie. W niektórych przypadkach adres może być bardzo podobny (choć nadal nie identyczny); w pozostałych różnica jest bardzo widoczna. Na przykład wiadomość pochodząca rzekomo z portalu LinkedIn z jakiegoś powodu zachęca użytkowników do przesłania zdjęcia w serwisie Dropbox.
- Bardzo krótki czas na wykonanie zadania
Często autorzy takich wiadomości e-mail ponaglają odbiorcę, twierdząc na przykład, że łącze wygaśnie w ciągu 24 godzin. Oszuści często wykorzystują tę technikę, ponieważ poczucie pilności sprawy wywołuje u wielu osób panikę, a w efekcie tracą czujność. Warto pamiętać, że organizacje cieszące się dobrą reputacją raczej nie ponaglają nas bez powodu.
- Żądanie podania informacji, które zostały już dostarczone
Zachowaj szczególną ostrożność, jeśli co najmniej część żądanych informacji (np. adres e-mail lub numer telefonu) już została przez Ciebie podana podczas rejestracji. Na przykład bank zna już Twoją tożsamość — i potwierdził ją podczas procesu otwierania konta. Dlaczego musisz ponownie je weryfikować na rzecz jakieś niejasnej „dodatkowej ochrony”?
- Żądania zamiast propozycji
Wiele zasobów internetowych oferuje dostęp do zaawansowanych funkcji, w tym związanych z bezpieczeństwem, w zamian za udostępnienie im większej ilości informacji na Twój temat. Jednak musisz je wprowadzić na swoim osobistym koncie, najczęściej poprzez stronę internetową, a nie poprzez wysłanie ich w wiadomości e-mail. I zwykle jest to oferta, którą możesz odrzucić. Jeśli więc zobaczysz, że po kliknięciu łącza umieszczonego w jakimś e-mailu na stronie widnieje tylko jeden przycisk — zgody na przesłanie selfie, będziesz mieć pewność, że to robota oszustów.
- Brak informacji na oficjalnej stronie
Być może właśnie potwierdziłeś swoją tożsamość w zasobie, którego używasz od dawna. Jednak to wyjątek, a nie reguła, a szczegóły dotyczące takiej akcji powinny być dostępne na oficjalnej stronie serwisu i łatwe do wyszukania w internecie.
Nie udostępniaj nikomu swojego zdjęcia z dowodem tożsamości
Aby oszuści nie ukradli Twojej tożsamości, nie podawaj żadnych swoich danych, zwłaszcza gdy żądanie obejmuje udostępnienie dokumentów.
- Z podejrzliwością traktuj prośby o zweryfikowanie swojej tożsamości w serwisach, których używasz od niedawna. Jeśli wahasz się, czy zignorować jakąś wiadomość, przejrzyj informacje dostępne na oficjalnej stronie serwisu.
- Zwracaj uwagę na jakość treści. Pamiętaj, że w prawdziwej komunikacji korporacyjnej błędy gramatyczne, brakujące wyrazy i literówki pojawiają się niezmiernie rzadko.
- Sprawdź, skąd pochodzi wiadomość, a także gdzie prowadzi łącze. Firmy wysyłają e-maile zwykle z oficjalnych domen, a wszelkie wyjątki wyjaśniają na swoich stronach internetowych. Ankiety, formularze i inne oficjalne akcje również powinny być dostępne w oficjalnych zasobach.
- Wszelkie ograniczenia, takie jak krótki czas na podanie jakichś informacji, powinny wzbudzić Twoją czujność. W takim przypadku lepiej przegapić ostateczny czas niż wysłać swoje dane cyberprzestępcom.
- W razie wątpliwości zadzwoń do obsługi klienta. Jednak nie używaj numeru otrzymanego w takiej wiadomości — lepiej znajdź go na oficjalnej stronie internetowej lub wiadomości e-mail potwierdzającej rejestrację.
- Korzystaj z niezawodnego programu antywirusowego zapewniającego ochronę przed phishingiem i oszustwami internetowymi.