Cyberzłodzieje piorą ukradzione pieniądze

02.05.2007 / Komentarze i analizy

Proceder prania pieniędzy ukradzionych z bankowych kont internetowych zawitał do Polski. Według Ministerstwa Finansów w zeszłym roku wyprano u nas co najmniej 2 mln zł pochodzących z e-kradzieży

Prawie zawsze zaczyna się tak samo – od fałszywego e-maila, w którym „bank” prosi klienta o kliknięcie w podany link i zaktualizowanie na wyświetlonej witrynie bankowej danych o sobie, swoich rachunkach, numerach kart kredytowych itp. Potem złodziej – bo to on jest nadawcą e-maila i twórcą fałszywej „bankowej” witryny – czyści rachunek z pieniędzy tym naiwnym, którzy w podstęp uwierzyli, postąpili zgodnie ze wskazówkami i podali dane pozwalające na dostęp do konta. To tzw. phishing – najpopularniejsza na świecie internetowa metoda wyłudzania poufnych danych i ogołacania internetowych rachunków.

Ale nabranie klienta e-banku to tylko jedna, niekiedy nawet łatwiejsza część zadania. Trudniejsze bywa dobranie się do ukradzionych pieniędzy – nie można ich przecież po prostu przelać na swoje prywatne konto. Najpierw trzeba je wyprać.

W 2006 r. próbowano w Polsce wyprać co najmniej 2 mln zł pochodzące z phishingu – szacuje resort finansów w swoim najnowszym raporcie na temat prania brudnych pieniędzy. Po raz pierwszy ministerstwo uznało phishing za problem wart odnotowania.

Financial manager, czyli słup

Jak internetowi oszuści piorą pieniądze? – Najczęściej rozsyłają na przypadkowe adresy e-maile, w których proponują adresatom pracę jako „financial manager”, czyli menedżer finansowy – mówi „Gazecie” Ewa Kloc, zastępca dyrektora departamentu informacji finansowej w MF. W rzeczywistości „financial manager” jest zwykłym słupem, jak określa policja przypadkowe, podstawione przez przestępców osoby, które swoim nazwiskiem, świadomie lub nie, firmują przestępcze operacje.

– Jeżeli „menedżer” się zgodzi, przelewają mu na konto pieniądze, które po potrąceniu swojej prowizji ma przekazać za pośrednictwem Western Union do innego kraju – tłumaczy dyr. Kloc. Western Union to popularny na świecie, wygodny i szybki system przekazywania gotówki za granicę, z odbiorem do rąk własnych (na dowód tożsamości). Dla złodziei ma dodatkową zaletę – pozwala na zachowanie dużego stopnia anonimowości (wystarcza sfałszowany dokument). Dlatego często bywa wykorzystywany przy rozmaitych internetowych oszustwach. Wysyłane przez słupa pieniądze najczęściej płyną do Rosji. Tam odbiera je kolejny „słup”, aż w końcu po kilku lub kilkunastu takich operacjach trafiają w ręce złodzieja, czy raczej gangu, bo działalnością taką często trudnią się zorganizowane grupy. Poszczególnych transakcji zazwyczaj dokonuje się na niewielkie kwoty, co utrudnia ich monitorowanie przez instytucje nadzoru finansowego.

Czy Polacy pomagający internetowym przestępcom wyprać pieniądze mają świadomość, w czym biorą udział? Dyr. Ewa Kloc: – Trudno przypuszczać, że nie. Przecież, jeżeli ktoś proponował im taki „złoty interes”, to powinni się domyślić, że nie są to legalnie zdobyte pieniądze.

Resort finansów złożył w tych sprawach 18 zawiadomień do prokuratur w całym kraju. Postępowania trwają, na razie jeszcze żadne z nich nie zakończyło się aktem oskarżenia.

Plaga phishingu

Według specjalistów od bezpieczeństwa komputerowego phishing – problem znany już od kilku lat – staje się coraz większym globalnym zagrożeniem. Liczba e-maili phishingowych wg specjalistów z firmy IT McAfee zwiększyła się w ciągu ostatniego roku o blisko 25 proc. Pułapki takie są coraz lepiej skonstruowane zarówno pod względem technicznym, jak i psychologicznym. I są coraz trudniejsze do wykrycia.

Powtarzane od lat ostrzeżenia policji, banków i ekspertów od bezpieczeństwa nie zawsze odnoszą skutek. Zeszłoroczne badania Harvard University i University of California w Berkeley wykazały, że dla 90 proc. osób dobrze sfałszowana witryna banku jest wciąż nie do rozpoznania. Wystarczyło, że w adresie rzekomej witryny Bank of the West (www.bankofthewest.com) literkę „w” zastąpiono dwoma literami „v”, a nabierali się na nią niemal wszyscy badani.

Metoda ta służy zresztą przestępcom nie tylko do pozyskiwania dostępu do rachunków bankowych, ale także do kont użytkowników internetowych aukcji (tu phishing może być nawet imitacją e-maila od rzekomego kontrahenta) lub e-sklepów. Wtedy podstęp staje się wstępem do właściwego oszustwa, czyli np. podszycia się pod ofiarę i wykonania na jej rachunek oszukańczych transakcji w sklepie internetowym lub na aukcji. Wszystko to jest elementem zjawiska zwanego kradzieżą tożsamości, które wprawdzie istniało od dawna (wystarczył skradziony dowód osobisty) ale w elektronicznej gospodarce nabrało nowego, groźnego charakteru – można w krótkim czasie oszukać wielką liczbę osób, relatywnie mało ryzykując.

W takich krajach, jak USA, Wlk. Brytania czy Australia straty w wyniku kradzieży tożsamości liczone są w miliardach dolarów. Ale, jak podają eksperci McAfee w raporcie na temat wirtualnej przestępczości AD 2006, już 40 proc. phishingowych pułapek na świecie jest tworzonych w innych językach niż dominujący do niedawna angielski, co świadczy, że cyberprzestępcy wychodzą ze swoimi pomysłami w świat. – Epidemie wirusów i robaków udało się zredukować dzięki coraz lepszym narzędziom do ich wykrywania i usuwania. Phishing stał się obecnie głównym sposobem ataków, zwłaszcza tych wymierzonych w banki – mówi prof. Klaus Brunnstein, specjalista od IT z Uniwersytetu w Hamburgu cytowany w raporcie McAfee.

Banki lubią milczenie

Można być pewnym, że 2 mln zł wyprane wg MF w naszym kraju, to tylko część problemu phishingu nad Wisłą. Według informacji podawanych przez banki już około 6 mln osób ma w Polsce konto internetowe (w to wlicza się 2 mln rachunków Inteligo, należącego do PKO BP i 1,3 mln kont mBanku) – grupa potencjalnych ofiar jest więc niemała. Informacji o głośnych kradzieżach phishingowych jest wprawdzie stosunkowo niewiele (choć bywają – w kwietniu „Rzeczpospolita” pisała o tym, że kilkadziesiąt osób padło ofiarą złodziei okradających internetowe rachunki Inteligo), ale nie powinno to nikogo uspokajać. – Banki niechętnie informują o kradzieżach z ich kont, bo to odbiera im klientów – opowiada nam osoba związana z jedną z instytucji nadzoru finansowego, zajmująca się ściganiem phishingu. – O niektórych przypadkach dowiadujemy się z mediów, ale czasami banki załatwiają to pomiędzy sobą. Klient zazwyczaj dostaje z powrotem ukradzione pieniądze, a bankom udaje się uniknąć rozgłosu.

Nie daj się oszukać

Phishing i podobne mu metody (np. tzw. pharming) opierają się na łatwowierności ofiar. Można się więc przed nimi bronić, stosując się do kilku reguł ostrożności:

  • Należy ignorować i kasować wszelkie e-maile wzywające do zalogowania się na jakiejś witrynie (naszego banku, sklepu, serwisu aukcyjnego) i uzupełnienia tam swoich danych – niezależnie od podawanych w nim powodów (np. rzekomych względów bezpieczeństwa lub akcji aktualizacji danych) czy grożących sankcji (np. blokady konta). Żaden odpowiedzialny bank ani serwis nie rozsyła takich e-maili.
  • Wszelkie ważne dane finansowe (np. dane kart kredytowych) należy podawać tylko na witrynach chronionych szyfrowanym połączeniem. Informuje o tym symbol kłódki na pasku w dole przeglądarki oraz to, że adres internetowy danego serwisu poprzedzają litery „https://” (a nie tylko „http://” jak przy normalnym połączeniu).
  • Jeżeli mamy jakiekolwiek podejrzenia (np. witryna banku lub serwisu wygląda nieco inaczej niż zwykle, w adresie strony pojawiły się dziwne literki i symbole), nie należy logować się i wprowadzać jakichkolwiek danych. Można zadzwonić do banku lub sklepu, zawiadomić go o obawach i upewnić się, czy wszystko jest w porządku.
  • Rutynowo stosować program antywirusowy, antyszpiegowski i antyspamowy.

Rafał Zasuń, Zbigniew Domaszewicz, Gazeta.pl

 

Powiązane aktualności