"To, co jest ważne w atakach, to żeby za każdym razem uzmysłowić sobie, że jeśli dochodzi do płatności w internecie, my mamy za coś zapłacić, bo taka dopłata do paczki kiedyś być może się zdarzyć, to musimy pamiętać o tym, aby sprawdzić, czy logujemy się do naszego banku na stronie naszego banku. To jest ta jedna rzecz, o której wszyscy zapominają" - tłumaczył w Porannej rozmowie w RMF FM Piotr Konieczny. "Przekręt polega na tym, że Polacy kupują dużo w internecie i czekają na przesyłki. Jak do 5 minut po złożeniu zamówienia przyjdzie do nich SMS to on staje się wiarygodny. Jak ta osoba kliknie w link, to jeszcze nic złego się nie zdarzy, ale potem jeśli wypełni formularze mówiące o tym, że "to jest twój bank, możesz się zalogować, żeby zrobić tę wypłatę", to niestety straci pieniądze" – dodał ekspert ds. bezpieczeństwa z portalu Niebezpiecznik.pl.

REKLAMA

Twoja przeglądarka nie obsługuje standardu HTML5 dla video

Ekspert z portalu Niebezpiecznik.pl: Jest jedna rzecz, o której wszyscy zapominają

Twoja przeglądarka nie obsługuje standardu HTML5 dla audio

Ekspert z portalu Niebezpiecznik.pl: Jest jedna rzecz, o której wszyscy zapominają

Niestety nowe technologie mają to do siebie, że są nowe i nie dla wszystkich znane, a to oznacza, że nie każdy potrafi się tym posługiwać. Ja powiem szczerze na tych technologiach się znam, ale wiem, że wiele osób się nie zna. Natomiast ja nie znam się na samochodach. Myślę, że jakbym pojechał do warsztatu samochodowego i ktoś mi powiedział że naprawy wymaga nakrętki C50 pod korkiem jakimś tam to bym powiedział "dobrze a ile to będzie kosztowało" i bym zapłacił. I to jest właśnie ten mechanizm który wykorzystują różnego rodzaju oszuści - powiedział w Porannej rozmowie w RMF FM Piotr Konieczny, ekspert ds. bezpieczeństwa z Niebezpiecznik.pl.

Twoja przeglądarka nie obsługuje standardu HTML5 dla video

„Jeśli już kupujemy coś w internecie to sprawdźmy czy logujemy się do naszego banku na stronie naszego banku”

Najprościej zalecić każdemu korzystanie z aplikacji mobilnej swojego banku. Zainstalować taką aplikację, jeśli jeszcze jej nie mamy. Jeśli mamy zrobić przelew, to róbmy to z tej aplikacji. To jest wbrew pozorom bezpieczniejsze i prostsze dla wielu osób, niż wpisywanie z palca adresu na komputerze czy ewentualnie, za każdym razem, weryfikowanie tego czy jesteśmy na dobrej stronie, bo tego ludzie nie będą robić, chociaż będą wiedzieli, że muszą. Po prostu jesteśmy zbyt leniwi - powiedział Piotr Konieczny.

Płatność kartą to jest najbezpieczniejsza forma płatności paradoksalnie. Bo nam się wydaje, że nie jest. A dlaczego? Dlatego, że transakcje kartowe są dodatkowo ubezpieczone tzw. "chargeback". Czyli zapamiętajcie państwo, jeśli kiedyś dojdzie do wyłudzenia pieniędzy z karty albo nawet jeśli kupimy pokój w hotelu, który miał mieć widok na morze, a ma widok na śmietnik, czyli usługa nie jest tą za którą zapłaciliśmy, ale kartą, to możemy reklamować taką transakcję. Trzeba zadzwonić do banku i poprosić o formularz "chargeback". Wtedy mamy więcej praw jako konsument. To nie jest standardowa reklamacja, to jest reklamacja która wpływa do wydawców.
Piotr Konieczny, Niebezpiecznik.pl

"Nie korzystajcie z jednego hasła w więcej niż jednym miejscu w internecie"

Drodzy wszyscy, chciałbym do was zaapelować jako do narodu, abyście zwrócili uwagę na to, czy przypadkiem nie korzystacie z jednego hasła w więcej niż jednym miejscu. To przestępcom bardzo ułatwia życie, wasze dane wyciekną, albo już wyciekły i każdy może poznać to jedno, wasze hasło. A później tym jednym, waszym hasłem dostać się do innych waszych kont, bo je złączyliście.
apelował w internetowej części Porannej rozmowy w RMF FM Piotr Konieczny, ekspert ds. bezpieczeństwa z Niebezpiecznik.pl.

Robert Mazurek pytał swojego gościa czy niebezpieczne jest używanie jednego hasła, nawet wtedy, gdy jest ono bardzo skomplikowane. Zdaniem Koniecznego "nie ma to znaczenia".

Nawet jeśli to jest trudne hasło, bo to nie jest nasza wina, nie od nas ono wyciekło. Ono wyciekło wprost z usługi, w której mieliśmy konto, gdzie to hasło podaliśmy. Także korzystamy z różnych haseł w różnych miejscach - mówił Konieczny.

Twoja przeglądarka nie obsługuje standardu HTML5 dla video

„Korzystamy z różnych haseł w różnych miejscach”

A co jak zadzwoni do nas, ktoś z instytucji, której teoretycznie powinniśmy ufać i poprosi nas o podanie swoich danych?

Zachęcam wszystkich, żeby się od razu rozłączyć. Dzwoni do nas ktoś z banku, policji, BIK-u rozłączmy się - mówił Konieczny. I teraz uwaga, ważne rzecz. Sami zadzwońmy do instytucji, która do nas dzwoniła i zapytajmy się: "miałem połączenie z banku, czy rzeczywiście jest jakiś problem z moim rachunkiem, o co chodzi?" Teraz mamy pewność gdzie dzwonimy - dodał ekspert od bezpieczeństwa w sieci.

Twoja przeglądarka nie obsługuje standardu HTML5 dla video

„Jeśli dzwoni ktoś z banku, policji rozłączmy się i sami zadzwońmy do tej instytucji”

Przeczytaj całą rozmowę Roberta Mazurka z Piotrem Koniecznym

Robert Mazurek, RMF FM: Dzień dobry państwu, kłaniam się nisko. Moim gościem jest Piotr Konieczny z serwisu Niebezpiecznik.pl ekspert od cyberbezpieczeństwa, czyli od bezpieczeństwa w sieci.

Piotr Konieczny: To ja, dzień dobry.

1,99 zł zabrakło mi do paczki. Właśnie dostałem SMS-a. Poratuje pan kierowniku?

To dużo, bo zazwyczaj te SMS-y mają 1,23 zł.

Ale wiedzieli, że ja jestem bogaty, dlatego złoty dziewięćdziesiąt.

Najwyraźniej takie samo zdanie mają też o reszcie Polaków, bo te SMS-y są rozsyłane masowo. Dostaje je chyba każdy, albo jeśli jeszcze nie dostał każdy z naszych słuchaczy, to za chwilę dostanie.

I tam jest taki link, jak się palec omsknie to człowiek w to kliknie.

Jak kliknie to jeszcze nic złego się nie zdarzy, ale potem, jeśli uzupełni formularze mówiące o tym, że "to jest twój bank musisz się zalogować, żeby zrobić dopłatę" to niestety straci pieniądze.

Uff, czyli kamień z serca. Jeżeli ktoś przez przypadek albo po pijaku kliknął w to, to spokojnie jeszcze nie musi emigrować.

Nie chciałbym, żeby to wybrzmiało tak, że należy klikać w takie linki.

Broń Boże, nie klikamy. W ogóle nie klikamy w nic, co wydaje nam się podejrzane.

A co jest podejrzane?

Na przykład mail albo SMS o treści "masz maila".

SMS-em o mailu. No tak to byłoby podejrzane.

A ja dostawałem ostatnio takie, że mam dziwnego maila i jest link do tego rzekomego maila. Nie wiem, co tam jest w środku. Nie sprawdzałem.

To co jest bardzo ważne w tego typu atakach to to, żeby za każdym razem uzmysłowić sobie, że jeśli dochodzi do płatności w internecie, my mamy za to zapłacić, bo taka dopłata do paczki kiedyś być może faktycznie się zdarzy, to musimy pamiętać o tym, aby sprawdzić czy logujemy się do naszego banku na stronie naszego banku. To jest ta jedna rzecz, o której niestety wszyscy zapominają.

Czyli co tutaj jest najbardziej niebezpieczne? Na czym tu polega przekręt?

Przekręt polega na tym, że my Polacy kupujemy dużo w internecie.

My ludzie...

My ludzie, tak. Jak kupujemy dużo w internecie to czekamy na przesyłki. I pewnie teraz ci, którzy nas słuchają, też czekają na jakąś przesyłka i jak do nich pięć minut po złożeniu zamówienia przyjdzie taki SMS to on staje się wiarygodny, bo oni zakładają że dotyczy to tej przesyłki.

Pan podobno kiedyś kupował bilety lotnicze w podobny sposób.

Tak, kupowałem i przez chwilę myślałem, że mail, który do mnie przyszedł, a który był fałszywy i dotyczył zwrotu za rzekomo odwołane lot to jest mail związany z moim połączeniem, a nie był. Nie dałem się nabrać, ale w ostatniej chwili.

No właśnie, co jeśli ktoś się da nabrać, jeśli ktoś kliknie? Albo np. mamy te telefony z dziwnych miejsc dzwonią do nas z Fidżi i dzwonią do nas z bardzo egzotycznych miejsc. Czasami nawet nie słyszeliśmy, że istnieją.

To już jest trochę inny przekręt, jak to nazywamy. Bardziej chodzi o to, że oni nie tyle dzwonią, co próbują dzwonić, bo oni się od razu rozłączają po to, żebyśmy właśnie mieli połączenie.

A gdybyśmy, nie daj Boże, zdążyli odebrać to jeszcze nic się nie stanie?

Nic się nie stanie. Prawdopodobnie niczego nie usłyszymy, tylko jakieś miłe albo niemiłe pikanie. Natomiast chodzi o to, żebyśmy od dzwonili, wtedy nas to kosztuje 7 czasem 19 złotych z czego pewien procent ma ten oszust, który wykonuje połączenia.

Czyli na wszelki wypadek nie oddzwaniamy pod te dziwne numery z jakiegoś końca świata.

W ogóle zapomnijmy o telefonach, co to za technologia w ogóle dzisiaj - telefony.

A to przepraszam bardzo, ja jestem w takim razie z poprzedniego stulecia. Myśmy się bardzo ucieszyli w XX wieku, że są telefony.

No tak, ale dzisiaj już jesteśmy zinformatyzowani.

Jesteście zinformatyzowani. Macie inne przestępstwa. U nas, proszę pana, jak były telefony stacjonarne to nikt nie wydzwaniał i nie mówił, że jest z policji, i że trzeba na konto natychmiast wejść. A teraz słyszę, że nie tylko emeryci biedni padają ofiarą przez metody na policjanta, ale również znani aktorzy. Tylko, że oni wpadli dlatego, że też pewna aktorka podobno pół miliona przysłała, więc to poważne pieniądze, proszę państwa. Dlatego, że ktoś im mówił, że w trakcie rozmowy mogą się uwiarygodnić i rzekomo wybrać numer policji.

No niestety nowe technologie mają to do siebie, że są nowe i nie dla wszystkich znane, a to oznacza, że nie każdy potrafi się tym posługiwać. Ja powiem szczerze na tych technologiach się znam, ale wiem, że wiele osób się nie zna. Natomiast ja nie znam się na samochodach. Myślę, że jakbym pojechał do warsztatu samochodowego i ktoś mi powiedział, że naprawy wymaga nakrętka C50 pod korkiem jakimś tam to bym powiedział "dobrze a ile to będzie kosztowało" i bym zapłacił. I to jest właśnie ten mechanizm, który wykorzystują różnego rodzaju oszuści.

Panie Piotrze, to mamy bankowość internetową. Każdy prawie ma już bankowość internetową w telefonie, w komputerze, gdzieś, to co zrobić, by tutaj się nie dać nabrać, by nas nie okradli?

Myślę, że najprościej zalecić każdemu korzystanie z aplikacji mobilnej swojego banku. Zainstalować taką aplikację, jeśli jeszcze nie mamy. Jeśli mamy zrobić przelew, róbmy to z tej aplikacji. To jest wbrew pozorom bezpieczniejsze i prostsze dla wielu osób, niż wpisywanie z palca adresu na komputerze czy ewentualnie za każdym razem weryfikowania tego czy jesteśmy na dobrej stronie, bo tego ludzie nie będą robić, chociaż będą wiedzieli że muszą to robić. Po prostu jesteśmy zbyt leniwi.

No dobrze, czyli musimy na swojej stronie, naszego banku, wiedzieć, że po pierwsze to jest nasz bank. Jeśli mam pieniądze tam w Pekao S.A. to idę do Pekao SA, jak mam Santandera itd. Tak? Czyli muszę wejść na aplikację najlepiej, albo z tej strony i dokładnie tam, a nie jakieś takie co mnie przekierowują, tak?

Lepiej nie, bo nigdy nie mam pewności czy pisze do nas bank. Zwłaszcza, że musimy sobie uświadomić i to jest super istotne, że maila można wysłać jako bank i on będzie bardzo wiarygodny, będzie idealny. Zadzwonić do nas można z numeru telefonu banku, dokładnie tego samego.

Właśnie, pan mi zaproponował, że pan zaraz do mnie zadzwoni z numeru dowolnego w sieci. Trochę mnie pan przeraził. Jest pan hakerem po prostu.

Nie, nie jestem hakerem, ale wiem o tym, że można tego typu połączenia podrabiać i tak naprawdę każdy może to robić, trzeba tylko skorzystać z odpowiednich narzędzi. To jest pewna niedogodność czy niedojrzałość technologii z których korzystamy.

Mówi pan, że bardzo wielu z nas robi zakupy przez internet. Rzeczywiście, robimy zakupy przez internet. No i niektórzy np. kupują w takich miejscach, jak Allegro czy na Amazonie czy gdzieś tam. W każdym razie mają jakiś stały sklep i zostawiają tam dane swojej karty, żeby było prościej, żeby za każdym razem nie wstukiwać tych długich rzędów cyfr, imienia, nazwiska i adresu. Czy to jest bezpieczne?

To jest najbezpieczniejsza forma płatności, płatność kartą, paradoksalnie. Bo nam się wydaje, że nie jest. A dlaczego? Dlatego, że transakcje kartowe są dodatkowo ubezpieczone tzw. "chargeback". Czyli zapamiętajcie państwo, jeśli kiedyś dojdzie do wyłudzenia pieniędzy z karty albo nawet jeśli kupimy pokój w hotelu, który miał mieć widok na morze, a ma widok na śmietnik, czyli usługa nie jest tą za którą zapłaciliśmy, ale kartą, to możemy reklamować taką transakcję. Trzeba zadzwonić do banku i poprosić o formularz "chargeback". Wtedy mamy więcej praw jako konsument. To nie jest standardowa reklamacja, to jest reklamacja która wpływa do wydawców.

Jak to się jeszcze raz nazywa?

Chargeback.

Od angielskiego, "charge" czyli zczardżować kogoś.

Ale "back", czyli oddaj mi to moje zczardżowanie.

No, dobrze czyli kartą jest bezpieczniej niż na przykład BLIK-iem?

Tak. Właśnie dlatego, że pod kątem ochrony konsumenta jest tu ta dodatkowa wartość związana z tym, że część transakcji, które będą fałszywe, oszukańcze, my jesteśmy w stanie niejako odwrócić czy odzyskać za pieniądze. W przypadku BLIK-a, super wygodnej, prostej płatności i szybkiej płatności, no niestety, takiej możliwości nie mamy.