Metodele de fraudare online s-au adaptat vremurilor. Acum arareori mai primim „scrisori nigeriene” prin care suntem anunțați că suntem moștenitorii unei importante sume de bani sau mesaje prin care suntem felicitați că am câștigat loteria vizelor.

Textele s-au simplificat. „Ai un mesaj vocal de la *********. Click aici”, „Aveți un colet în depozitul nostru. Mai multe detalii”, „Ați primit acest mesaj pentru a vă reseta parola Instagram. În caz contrar vă veți pierde contul. Click aici”, „Ați fost selectat pentru unul din joburile noastre. Câștigați 2000 de lei pe zi. Detalii aici” sunt doar câteva dintre mesajele care au circulat în acest an și au stat la baza unor tentative de phishing.

Escrocheriile online pot lua multe forme, însă toate sunt concepute pentru a vă fura datele personale sau banii.

Conform datelor centralizate de Direcția Cazier Judiciar, Statistică și Evidențe Operative din cadrul Inspectoratului General al Poliției Române, în 2021, Poliția Română a fost sesizată cu privire la 1899 de infracțiuni contra siguranței și integrității sistemelor și datelor informatice, în creștere cu 37,21% față de anul 2020. În plus, sesizările fraudelor comise prin sisteme informatice și mijloace de plată electronice au crescut considerabil în anul 2021 față de 2020, cu 85,53% (de la 7144 astfel de fapte în 2020 la 13254 în 2021).

De asemenea, în primele 3 luni ale anului 2022 au fost înregistrate 431 de infracțiuni contra siguranței și integrității sistemelor și datelor informatice și 2719 fraude comise prin sisteme informatice și mijloace de plată electronice.

Directoratul Național de Securitate Cibernetică (DNSC), Poliția Română și Asociația Română a Băncilor, alături de parteneri din zona privată desfășoară campania „Siguranța Online”, prin care vor să crească nivelul de conștientizare privind fraudele online. Specialiștii DNSC ne oferă și câteva informații utile pentru a ne proteja de hackeri.

Cele mai frecvente tipuri de fraude din România

Tentativele de fraudă s-au intensificat. În trecut, „neatenția” sau „vânătoarea de oferte” erau principalele cauze pentru care clienții băncilor deveneau victime ale fraudatorilor. În prezent, ingineriile sociale reprezintă pricipala metodă de a înșela utilizatorii, prin manipulare, să dezvăluie informații confidențiale sau să permită accesul unor anumite aplicații prin care pot fi sustrase datele personale și de autentificare.

Frauda prin intermediul platformelor de comerț electronic

Fraudatorul pretinde că este cumpărător. Acesta contactează vânzătorul și solicită mutarea conversației de pe platforma online pe un alt canal de comunicare (de regulă pe WhatsApp).

Fraudatorul (cumpărătorul) informează victima (vânzătorul) că a achitat produsul și îi trimite un link fals pentru a încasa suma. La accesarea linkului, victimei i se solicită datele de securitate ale cardului bancar propriu (inclusiv parola statica și cea dinamica 3D Secure). Odată intrat în posesia informațiilor, fraudatorul nu mai răspunde la conversație și inițiază tranzacții frauduloase prin utilizarea datelor de securitate furnizate de victimă (vânzător).

Într-un alt scenariu, fraudatorul pretinde că este vânzător. Acesta postează anunțuri cu produse fictive la prețuri foarte avantajoase. Pentru a cumpăra produsul respectiv, victima (cumpărătorul) este direcționată să acceseze un link destinat unei pagini de tip „phishing”. După accesarea paginii, victimei îi sunt solicitate datele de securitate ale cardului, care sunt folosite ulterior pentru plăți înregistrate la comercianți online din alte țări.

Phishing-ul

Este o metodă de fraudă prin care se încearcă obținerea ilegală de date personale de identificare și autentificare sau accesare a unor website-uri. Cea mai utilizată metodă de phishing pentru clienții băncilor este trimiterea unor email-uri care par a fi din partea unei bănci, care conțin un link cu îndemnul de a fi accesat, fie pentru actualizarea datelor personale, în caz contrar conturile persoanei urmând a fi blocate, fie pentru diferite campanii. Acest link deschide un website foarte asemănător cu cel al băncii, unde victimei îi sunt solicitate în mod ilegal datele personale și de autentificare, cum ar fi: nume și prenume, adresa, numărul cardului, data expirării, cod de securitate CVV2/CVC, cod numeric personal, telefon etc.

Smishing-ul și fraudele prin SMS

Smishing-ul este metoda de fraudare similară pshishing-ului, fiind folosite canale de comunicare prin mesaje SMS, care par a fi transmise de bănci, firme sau rețele de socializare. Scopul este același: obținerea unor date personale sau de autentificare.

În ultima vreme mai multe persoane au devenit victime ale fraudelor prin SMS. Mesajele conțin o invitație de accesare a unui link, accesare care duce la sustragerea datelor confidențiale, folosite ulterior într-un mod malițios.

În România, în ultima perioadă, date fiind reducerile de sezon, au circulat mesaje care par a fi trimise de o firmă de curierat care sugerează accesarea unui link pentru a se verifica statusul livrării. De obicei, textul utilizat în astfel de cazuri este: „Pachetul dvs. este pe drum, urmăriți-l aici (link inserat)”.

Odată accesat linkul, pe dispozitiv se va descărca un fișier APK. În timpul instalării, aplicația falsă de curierat (malware) solicită diferite permisiuni. De exemplu, de a citi contactele din agendă, de a trimite mesaje, de a iniția apeluri, de a șterge date etc. Aplicația poate fi controlată ulterior de la distanță (prin intermediul unui server de comandă și control C&C) și poate dezinstala aplicații, poate bloca telefonul, poate dezactiva anumite funcții ale acestuia etc.

CEO Fraud

Din ce în ce mai mulți clienți ai băncilor din categoria persoanelor juridice devin victime ale acestei metode de fraudare. CEO Fraud/Mesaje de la Șef reprezintă un tip de fraudă care vizează angajații autorizați să efectueze plăți, care, prin inducere în eroare, sunt determinați să efectueze un transfer. Mai exact, fraudatorul sună sau trimite un e-mail, pretinzând că este unul dintre managerii de top din companie și solicită efectuarea de urgență a unei plăți, de regulă într-un cont din afara țării, invocând că este o situație deosebită și cerând să nu se respecte procedurile obișnuite de autorizare a plăților.

Cele mai importante măsuri de precauție

Pentru a fi în siguranță online, trebuie să fiți vigilenți și să verificați „la sânge” orice mesaj primit. Puneți-vă câteva întrebări: „De unde provine acest link? De ce l-am primit?”, „Pare un link legitim sau are un format ciudat?”.

Dacă aveți suspiciuni, evitați să accesați materialele respective. Ați primit din senin pe mail/prin SMS/pe WhatsApp/pe Telegram o ofertă care pare prea frumoasă ca să fie adevărată? Ați fost etichetați pe o platformă de socializare într-o postare care promite câștiguri mari în schimbul unui click? În aceste cazuri – și în multe altele asemănătoare, cu siguranță este vorba despre o înșelătorie. Pentru a evita propagarea lor, raportează-le autorităților.

Folosiți mereu parole cu un nivel de complexitate ridicat. Evitați folosirea termenilor uzuali (nume de animale, sporturi preferate, fructe, preferințe, formații muzicale etc.). Pentru un grad sporit de siguranță, schimbați periodic parolele pentru fiecare din conturile folosite.

Asigurași-vă că aveți mereu copii de rezervă ale datelor (fișiere, documente, poze etc.). Puteți folosi atât soluții online (de tip cloud sau servicii de back-up), cât și fizice (stick-uri USB, harduri externe etc.).

Asigurați-vă că toate dispozitivele pe care le folosiți pentru a naviga pe internet funcționează în baza versiunilor actualizate ale sistemelor de operare. De asemenea, protejați-le cu o soluție antivirus eficientă.

Datele cardului bancar nu trebuie furnizate necunoscuților nici online, nici telefonic, nici prin alte canale de comunicare (WhatsApp, SMS, pagini web etc.). Cardul este un instrument de plată și nu un instrument de încasare bani, astfel că exprimarea „îți virez banii direct pe card, iar pentru asta am nevoie de datele cardului tău” este semnalul de alarmă al unei capcane. Cine vrea să vă vireze bani nu are nevoie decât de numele vostru și de codul IBAN al contului.

Înainte de a deschide un mesaj sau un fișier de la vreo bancă/companie, verificați cine l-a trimis. Instituțiile folosesc adrese de e-mail oficiale. Dacă nu sunteți sigur, contactați banca pentru a cere detalii. Folosiți întotdeauna numărul de telefon de pe website-ul băncii.

Fiți atenți la mesajele care conțin formule de adresare impersonale, greșeli gramaticale, de exprimare etc;

Activați o formă de autentificare în mai mulți pași pentru accesul la internet/mobile banking.

Nu efectuați transferuri și nu procesați operațiuni doar în baza unui e-mail sau a unei solicitări telefonice urgente.

Ce trebuie să faceți dacă suspectați că ați fost victima unei fraude

Dacă suspectați că ați fost victima unei fraude online, trebuie să contactați banca emitentă a cardului în cel mai scurt timp posibil (inclusiv telefonic) și să solicitați blocarea și re-emiterea cardului cu alte date de securitate;

De asemenea, organele penale trebuie sesizate cu privire la incident.

De pe un dispozitiv diferit (telefon, PC) trebuie schimbate parolele pentru aplicațiile de internet/mobile banking dacă acestea au fost furnizate pe un website clonat.

Contactați DNSC pentru notificare și pentru a contribui la diseminarea informației, astfel încât astfel de fraude să nu li se întâmple și altora. Totodată, la DNSC puteți vorbi cu un specialist în atacuri cibernetice.

DNSC vă invită să participați la un quiz online pentru a testa, în mod gratuit, cât de bine vă pricepeți la evitarea fraudelor online sau telefonice.