Prawie wszystko było wiarygodne. Tylko jedna rzecz się nie zgadzała

Mówią, że to nie jest kwestia czy, ale kiedy ktoś zostanie zaatakowany. - Trudno czuć się bezpiecznym, bo prawie każdy ma konto w mediach społecznościowych, pokazuje co robi i namierzenie ofiary z administracji czy księgowości jest dla przestępców prostsze - słyszymy od osób, które padły ofiarą cyberoszustów.

Wojciech Plona, właściciel Plona Group, w rozmowie z biznesową redakcją tvn24.pl opowiada, że wszystko wygląda bardzo wiarygodnie.

- Przychodzi mail z fakturą, który do złudzenia przypomina ten od szefa. Zawiera informację: "Weź puść przelew ekspresowo". W wielu przedsiębiorstwach jest tak, że ludzie mając dużo zadań, biorą fakturę i wrzucają do systemu. Leci płatność. Jeśli taka firma robi kilkadziesiąt przelewów albo kilkaset, to jest szansa, że pieniądze trafią do oszusta, że nikt po drodze nie zauważy czegoś niepokojącego - opisuje sytuację.

Jak dodaje, to też usłyszał od osoby odpowiadającej za przelewy, że puściła fakturę, o którą rzekomo prosił. - Wieczorem usiadłem do akceptacji przelewów i zwróciłem uwagę na fakturę na 15 tysięcy złotych. Przeanalizowałem dokumentację i była to podrobiona faktura. Od razu widziałem, że to jest fałszerka. Numery konta się nie zgadzały - opowiada.

Właściciel firmy, z którym rozmawiamy nie przypisuje tego typu działań przypadkowym osobom, bo według niego trzeba umieć wpaść na taki pomysł, analizować zbiory danych, media społecznościowe. Choćby po to, aby wiedzieć, kto pracuje na jakim stanowisku.

- Kiedyś nasza konsultantka dostała maila z dyspozycją przelania około 30 tysięcy funtów. Oszuści jednak użyli słów, których my w firmie nie używamy. Nie trafili. Słyszałem też historię kolegi, który o mało nie puścił przelewu na pół miliona dolarów - wspomina podczas rozmowy.

- Kolega pracował w międzynarodowej firmie i mówił, że na Whatsappie dostał rzekomą wiadomość od szefa z dyspozycją przelewu. Coś go tknęło, bo wiadomość była, jak mówił, od "big bossa". Zdał sobie sprawę, że on nigdy bezpośrednio się z nim nie kontaktował. Mówił mi, że tylko ta jedna rzecz się nie zgadzała, prawie wszystko inne było bardzo wiarygodne. Czyli temat chodzi po rynku - wyjaśnia Wojciech Plona.

Iwona Prószyńska, ekspertka NASK ds. komunikacji w obszarze cyberbezpieczeństwa w rozmowie z tvn24.pl potwierdza, że celowany phishing jest przygotowany, czyli atakujący wiedzą, kto odpowiada za księgowość i finanse w danej firmie i wysyłają do tej konkretnej osoby maila, podając się za osobę decyzyjną.

- Mogą to zrobić z przygotowanego adresu e-mail, który wygląda podobnie jak ten prawdziwy. Wyświetli nam się poprawne imię i nazwisko na przykład naszego szefa. Mało kto z nas kliknie po to, aby zobaczyć, kto faktycznie jest nadawcą wiadomości, jaki adres kryje się nagłówku i w jakiej domenie - zauważa Iwona Prószyńska. Wskazuje, że CERT Polska udostępnia narzędzie Bezpieczna Poczta, gdzie można sprawdzić, czy mamy prawidłowo skonfigurowane mechanizmy weryfikujące nadawcę. - Jeżeli nie są one poprawnie ustawione, ktoś nieuprawniony może się podszyć pod dowolny adres z danej firmy. Wtedy takiej księgowej może nie zapalić się lampka ostrzegawcza, bo nadawca będzie mógł posłużyć się adresem wyglądającym identycznie jak ten, z którego zawsze dostajemy maile od szefa. Wszystko będzie się zgadzało co do literki - zaznacza.

Ekspertka NASK podaje przykład historii z Hongkongu, gdzie osobę odpowiedzialną za księgowość zaproszono na spotkanie online, w którym brali udział dyrektorzy finansowi i prezes.

- Na spotkaniu powiedzieli osobie odpowiedzialnej za finanse, że musi zautoryzować poza procedurą przelew na szaloną kwotę, bo w przeliczeniu było to sto milionów złotych. Tak się stało, bo na spotkaniu byli wszyscy święci i sprawa wyglądała bardzo autentycznie. Później się okazało, że wszystkie te osoby, oprócz księgowego, były wygenerowane przez sztuczną inteligencję. Próbki do stworzenia postaci były na wyciągnięcie ręki, bo prezes, jak i dyrektorzy finansowi występowali publicznie na konferencjach. Oszuści wygenerowali więc deepfake - tłumaczy.

Jej zdaniem jest to filmowa historia, działa na wyobraźnie, jest spektakularna, ale coś innego jest plagą. - Każdego dnia blokujemy dziesiątki tysięcy SMS-ów, wpisujemy na listę ostrzeżeń kolejnych 250-300 stron phishingowych. Każdego dnia Polacy tracą olbrzymie sumy pieniędzy na skutek zwykłych, prostych oszustw phishingowych. Nie oszustw, które opierają się o zaawansowaną technologię, o wykorzystanie sztucznej inteligencji, tylko takich, które bazują na emocjach, na socjotechnicznych sztuczkach, bardzo prostych mechanizmach. Czyli ci zwykli przestępcy są jak kieszonkowcy, sięgają po te nisko wiszące owoce, wcale nie muszą budować drabiny, bo okazuje się, że te proste oszustwa phishingowe wciąż są skuteczne - podkreśla.

NASK zachęca, aby zgłaszać takie SMS-y pod numerem 8080. Wystarczy skopiować wiadomość, która budzi naszą wątpliwość i wysłać pod ten numer. - Dzięki zgłoszeniom możemy wpisywać strony na listę ostrzeżeń, blokować do nich dostęp dla innych użytkowników sieci i skuteczniej bronić Polaków. Zablokowaliśmy już ponad jeden milion wiadomości od oszustów dzięki wzorcom SMS. Równie skuteczna jest lista ostrzeżeń, tylko w tym roku zablokowano aż 75 milionów prób wejścia na fałszywe strony - wylicza Iwona Prószyńska.

Centralne Biuro Zwalczania Cyberprzestępczości w odpowiedzi na pytania naszej redakcji przekazało, że "w 2023 roku polska policja na terenie całego kraju odnotowała ponad 85 tys. różnych oszustw internetowych, natomiast od 1 stycznia do 31 października b.r. odnotowano już ponad 75 tys. takich oszustw.

"Funkcjonariusze CBZC w 2023 roku zatrzymali ponad 500 osób, a 681 przedstawili zarzuty karne z czego 37 proc. dotyczyło różnego rodzaju oszustw w tym tych finansowych. Za okres od 1 stycznia do 31 października b.r. sami tylko policjanci CBZC zatrzymali 755 osób a 920 osobom przedstawili zarzuty karne. Spośród tej grupy 315 osób usłyszało 2110 zarzutów za oszustwa z użyciem sieci internet, co stanowi ponad 34 proc."- podano w korespondencji.

Czytaj też: Uwaga na takie SMS-y

Chcesz podzielić się ważnym tematem? Skontaktuj się z autorką tekstu: joanna.rubin@wbd.com