Rodzaje ataków hakerskich na firmy i ich klientów

I duża firma, i mała jest łasym kąskiem dla hakerów

Trwająca od prawie dwóch lat pandemia spowodowała, że wiele czynności, które dotychczas wykonywano poza przestrzenią internetu, teraz są domeną wirtualnej rzeczywistości. Co prawda e-handel rozwijał się już od kilku lat, ale trzeba przyznać, że skrzydła rozwinął po wybuchu covid-19. Zresztą, pisaliśmy już o tym wielokrotnie. 

I to m.in. właściciele e-sklepów, platform sprzedażowych czy porównywarek cen stali się celami hakerów. I tu ważna informacja — dla cyberprzestępcy każdy podmiot może być wartościowy. Nie zrezygnuje ani z dużych, światowych graczy, ani z niewielkich firm. Duże przedsiębiorstwa są łasym kąskiem, bo zwykle poddają się szantażom i płacą gigantyczny okup za odzyskanie danych bądź dostępów do swojej infrastruktury. Cyberprzestępcy nie pogardzą też średnimi i małymi firmami. Dlaczego? Bo wiedzą, że nie stać je na drogie zabezpieczenia i w banalnie prosty sposób mogą je przejąć.

Metody ataków na dane i pieniądze

Obecna sytuacja stworzyła idealne warunki również dla powstawania coraz bardziej wyszukanych sposobów wyłudzania zarówno ważnych danych, jak i środków finansowych sięgających kilkuset tysięcy złotych. Metod oszustw powstało już ponad 30 i stosowane są na całym świecie.

Inne numery kont bankowych na fakturach. Haker kradnie z naszej skrzynki pocztowej e-maila z rachunkiem, fakturą i go kasuje. Na fakturze zmienia numer konta bankowego na taki, który bynajmniej nie należy do operatora. Ponownie dostajemy wiadomość, tym razem z podmienionym rachunkiem.

SMS od firmy kurierskiej. Klienci zamawiają częściej i więcej — oszuści podszywając się pod znanych dostawców towarów, wysyłają wiadomość, że paczka, którą mają od nich otrzymać, trafiła do służby celnej. By poznać szczegóły, np. gdzie dokładnie się znajduje, klienci mają kliknąć w podany link. Taki link może zainfekować ich komputer lub telefon — haker będzie miał dostęp do danych, które zawierają się na “przejętych” urządzeniach, w tym hasła, zdjęcia, filmy, ważne dokumenty itd. W treści fałszywego SMS-a może znaleźć się wręcz nakaz zainstalowania aplikacji, dzięki której klient odbierze paczkę. Pobierając ją, otwiera hakerowi drzwi do danych do zalogowania się w banku. Schemat jest taki, że przekierowanie łudząco przypomina stronę banku, na której wpisując dane (hasło, login) może je stracić. Czasem celem linku jest zainstalowanie złośliwego oprogramowania, które wyczyści ich konto bankowe. Ten rodzaj hackingu jest dosyć powszechny i choć nie dotyczy e-commercu bezpośrednio, to może mieć dramatyczny wpływ na wizerunek sklepu, który korzysta z dostawcy, za którego haker się podawał.

Nieautoryzowane połączenia na numery premium. International Revenue Share Fraud (IRSF) jest najbardziej uporczywym rodzajem oszustw w branży telekomunikacyjnej. Oszuści często wykorzystują nielegalne zasoby, aby uzyskać dostęp do sieci operatora w celu zapewnienia ruchu na numery telefonów uzyskane od dostawcy międzynarodowego numeru premium.

Cyberprzestępcy używają zhakowanych telefonów, skradzionych kart SIM i zagrożonych korporacyjnych centrali abonenckich do kierowania połączeń do własnych lub dzierżawionych linii z rozliczeniami połączeń przychodzących. Metodą ataku IRSF jest też drop-call, który może nas zmusić do oddzwonienia na numer premium.

Metoda na BLIK. To wyłudzenie kodu do płatności przez telefon. Logując się do swojego banku, klient musi wygenerować w aplikacji kod do płatności telefonem, a następnie przesłać go “znajomemu”, którym tak naprawdę jest oszust. Niestety w przeciwieństwie do płatności przelewem, transakcji dokonanych za pomocą tego kodu nie można już cofnąć, gdyż przestępca od razu wpisuje podany kod BLIK w bankomacie i wypłaca z niego pieniądze.

Celowe wprowadzenie w błąd. Bardzo często zdarza się, że w internecie, aby coś otrzymać, np. dostęp do poradnika, e-booka, newslettera, trzeba dać coś od siebie. Może to być numer telefonu do otrzymania kodu, który uruchomi rzekomą usługę. Wysłanie cyberprzestępcom kodu uruchamia jednak jedynie lawinę kosztownych SMS-ów. 

Na rekompensatę za wyciek danych. To sugerowanie, że należy nam się odszkodowanie. Pozorna oferta rekompensaty za wycieki danych osobowych to próba nakłonienia nas do zakupu „tymczasowych amerykańskich numerów ubezpieczenia społecznego” w cenie około 35 zł.

Oszustwo na intymne nagranie. Zaczyna się od e-maila, w którym oszust informuje, że jest w posiadaniu ciekawego nagrania z kamery naszego laptopa lub smartfona. Na filmie ma być uwieczniona intymna sytuacja, w której się znaleźliśmy. Nie mamy jak sprawdzić, czy to prawda, więc ulegamy szantażowi: jeśli nie prześlemy wskazanej sumy pieniężnej, w ciągu np. doby, nagranie zobaczą wszyscy z naszej listy kontaktów, w tym nasi klienci.

Popularny bitcoin. Może zdarzyć się, że zadzwoni do nas konsultant, by poinformować, że na naszym koncie znajduje się bitcoin. By go wypłacić, musimy najpierw zainstalować program AnyDesk. Wówczas dzwoniący pomoże nam wymienić kryptowaluty. Tak naprawdę oszust ma nasze dane, w tym do kont bankowych, na wyciągnięcie ręki. Może to się skończyć też wyłudzeniem kredytu na podstawie naszych danych.

Vinted, OLX. Sposobów na kradzież danych na platformach sprzedażowych oszuści mają kilka. Na OLX na przykład próbują wyłudzić od klientów numer karty płatniczej i podstawowe dane osobowe. Podszywając się pod kupującego, udają, że chcą po prostu przekazać pieniądze. Oszukani na Vinted założyli grupę na Facebooku — jest ich niemal 37 tys. i twierdzą, że policja niewystarczająco zajmuje się tą formą oszustwa, bo zwykle kwoty nie są wysokie, jednak skala zjawiska porażająca. 

Oszustw kilka na Allegro. Tu wyspecjalizowało się całe grono oszustów. Sposobów kradzieży jest kilka. Na przykład, złodziej rejestruje się na platformę, podając fałszywe dane np. firmy, sklepu, wystawia bardzo korzystne aukcje, a po sprzedaży, znika. Albo — kupujący pisze do sprzedającego, że niezwłocznie potrzebuje wystawiony przedmiot, proponując wyższą kwotę niż podana w ofercie. Wysyła sprzedawcy podrobiony przelew, sprzedawca niczego nieświadomy wysyła towar. 

“Nieprawidłowy IBAN”. Przestępcy podszywają się pod bank i rozsyłają maile o tytule “Nieprawidłowy IBAN”. Mail przypomina wiadomość z banku i zawiera prośbę o sprawdzenie załączonego numeru IBAN (międzynarodowy standard służący do identyfikowania rachunków płatniczych). Załącznik zawiera szkodliwe oprogramowanie. Najlepiej nie otwierać załączników ani nie klikać w linki. Możemy przez to stracić pieniądze i kontrolę nad kontem bankowym.

To zaledwie garstka hakerskich metod, a pozostałe będziemy prezentować w kolejnym artykule.