Cyberoszuści wymyślają nowe sposoby, by ich działania były skuteczne. Ich celem jest pozyskanie danych, na przykład loginów i haseł do bankowości elektronicznej czy danych kart płatniczych, oraz nakłonienie osoby, którą chcą oszukać do wykonywania przelewów na należące do nich rachunki. Schematy swoich działań oszuści dostosowują do aktualnych trendów oraz sytuacji panującej w kraju i na świecie. Oszuści tworzą nowe scenariusze ataków, a także modyfikują te, którymi posługiwali się wcześniej. Jednak u podstaw każdej takiej kampanii, czyli akcji cyberoszustów, leży ten sam cel - wyłudzenie środków finansowych.
Jak wygląda oszustwo inwestycyjne?
1. Oszustwo rozpoczyna się od umieszczenia reklamy fałszywej inwestycji w mediach społecznościowych, jak np. Facebook czy Instagram, wyszukiwarkach, wszelkiego rodzaju stronach internetowych.
Przykład reklamy fałszywej inwestycji
Na tego rodzaju reklamach zazwyczaj zamieszczone są hasła mające przekonać potencjalnego inwestora o wysokich zyskach i braku ryzyka. Bardzo często używane są hasła „bezpieczna inwestycja”, „zysk bez ryzyka”, „zacznij zarabiać”. Aby dodatkowo wzbudzić zaufanie odbiorcy reklamy, cyberoszuści mogą umieścić na niej wizerunek znanej osoby – polityka, sportowca, artysty, lub logo instytucji publicznej czy spółki.
Przykład wykorzystania wizerunku w reklamie fałszywej inwestycji
2. Osoba, która zdecyduje się na inwestycję, po kliknięciu w taką reklamę proszona jest o podanie swoich danych kontaktowych w celach rejestracyjnych lub instalację aplikacji do inwestowania.
Przykład strony do rejestracji
3. Po dokonaniu rejestracji z taką osobą kontaktuje się oszust, najczęściej podający się za brokera lub konsultanta inwestycyjnego. Oszust pozostając w ciągłym kontakcie telefonicznym z potencjalnym inwestorem opowiada o korzyściach wynikających z tej inwestycji. Przekonuje o bardzo wysokich zyskach, braku ryzyka. Opowiada o wynikach innych inwestorów, powołuje się na znane osoby, firmy, instytucje. W ten sposób, przy wykorzystaniu manipulacji, stara się nakłonić rozmówcę do inwestycji.
4. Oszust przekazuje potencjalnemu inwestorowi numer rachunku (należący najczęściej do innego inwestora) do przelewu środków na transfer inwestycyjny. Po kolejnych zrealizowanych przez inwestora przelewach, aby uśpić jego czujność i zachęcić go do dalszych inwestycji, oszuści zasilają jego rachunek drobnymi kwotami przelewanymi w rzeczywistości z rachunków innych inwestorów. Oszuści mogą również stosować perswazję wobec inwestorów przedstawiając im wyniki zysków zamieszczone na fałszywych platformach inwestycyjnych. Często przy rejestracji na fałszywej platformie inwestycyjnej oszuści udostępniają formularz, w którym należy podać dane karty płatniczej, które następnie są wykorzystywane do celów oszustów.
Przykłady aplikacji do inwestowania
Przykład fałszywej platformy inwestycyjnej
5. Gdy inwestor chce wypłacić wypracowane dotychczas zyski i na tym zakończyć inwestowanie, oszuści pod pretekstem pomocy w wypłacie proszą, aby na swoim urządzeniu zainstalował legalny program do zdalnego zarządzania pulpitem, np. AnyDesk, TeamViewer, QuickSupport czy Alpemix. Po zainstalowaniu takiego programu, inwestor zostaje poproszony o zalogowanie się do swojej bankowości internetowej. Wszystkie dane wprowadzone przez inwestora są widoczne dla oszustów.
Przykład rozmowy oszusta
6. Oszuści stosują również dodatkowe warianty schematu informując inwestora, aby otrzymał on zwrot środków z inwestycji musi zapłacić podatek dochodowy. Gdy taki inwestor nie posiada już własnych środków na dokonanie tej opłaty, oszuści oferują mu pomoc w zaciągnięciu kredytu. Składając w imieniu inwestora internetowy wniosek o kredyt, oszuści proszą go o podanie kodów autoryzujących SMS oraz informują, że może skontaktować się z nim pracownik banku w celu potwierdzenia zobowiązań.
7. Środki z rachunku osoby oszukanej mogą zostać rozdysponowane przez oszustów w następujący sposób:
- przelewem na rachunek innej osoby poszkodowanej przez oszustów lub słupa,
- przelewem na rachunek zagraniczny,
- przelewem na giełdę kryptowalut,
-
płatność kartą na giełdy kryptowalut.
W zależności od scenariusza oszustwa może pojawić się w nim dodatkowy element, jakim jest poproszenie inwestora o przesłanie skanu swojego dowodu osobistego, który może zostać wykorzystany do:
- założenia rachunku bankowego na tak zwaną skradzioną tożsamość,
- zaciągnięcia kredytu/pożyczki krótkoterminowej na dane właściciela dowodu,
- rejestracji konta na giełdzie kryptowalut na podane dane.
Dodatkowe warianty
Zdarza się, że oszuści informują jeszcze, że należy zweryfikować numer rachunku, aby ten nie został zablokowany po wpłacie, rzekomo zarobionej, wysokiej kwoty. W kolejnym etapie przysyłają link do strony phishingowej, wykorzystującej np. wizerunek Komisji Nadzoru Finansowego, aby zwiększyć wiarygodność swoich działań. W formularzu należy podać dane osobowe oraz wybrać bank, w którym dana osoba posiada rachunek. Następnie następuje przekierowanie do strony przypominającej bankowość internetową banku, w którym osoba ta ma założony rachunek. Podanie na takiej stronie danych logowania do bankowości elektronicznej skutkuje tym, że w ich posiadanie wchodzą oszuści.
Zdarza się również, że osoba poszkodowana trafia na reklamę informującą np. o rzekomym aresztowaniu osób wyłudzających pieniądze i możliwości odzyskania ich. Po kliknięciu w link z reklamy zostaje przekierowana na stronę internetową, na której musi wprowadzić swoje dane osobowe oraz podać informację na jaką kwotę została oszukana. Na kolejnym etapie oszuści kontaktują się z tą osobą próbując w trakcie rozmowy ponownie ją zmanipulować i pozyskać od niej kolejne środki finansowe.
Socjotechnika stosowana przez oszustów w tym schemacie działania pokazuje jak dobrze są oni przygotowani. Jednocześnie osoba, która zostanie przez nich oszukana często jest przez nich manipulowana nawet przez kilka miesięcy biorąc jednocześnie nieświadomy udział w przestępstwie prania pieniędzy.
Przykład strony phisingowej do rzekomej weryfikacji rachunku
Przykład strony phisingowej do rzekomej weryfikacji rachunku
Przykład strony phisingowej do rzekomej weryfikacji rachunku
Przykład reklamy fałszywej inwestycji
Przykład strony phisingowej do wyłudzania danych
Pamiętaj, żeby:
- zawsze kierować się zasadą ograniczonego zaufania – nigdy nie masz pewności, kto może znajdować się po "drugiej stronie" w sieci,
- nigdy nie podawać osobom trzecim kodów z wiadomości SMS do autoryzującji transakcji bankowych,
- zawsze dokładnie czytać komunikaty i sprawdzać transakcje, które potwierdzasz w aplikacji mobilnej lub za pośrednictwem kodów SMS,
- dokładnie sprawdzać informacje o danej inwestycji i firmie ją oferującej (czy takie usługi w rzeczywistości ona oferuje),
- nie działać pochopnie, a jeżeli ktoś oferuje szybki i duży zysk, dokładnie przeanalizuj taką ofertę i zweryfikuj ją, by podjąć świadomą decyzję.
Źródło: https://www.knf.gov.pl/