Koncerny technologiczne i start-upy ciągle wprowadzają innowacyjne rozwiązania, które mają na celu ułatwienie życia ludziom. Dzięki kilku kliknięciom w aplikacji możemy zamówić produkty z dowolnego miejsca na świecie i otrzymać je w ciągu kilku dni. Nasze smartfony z kolei stają się coraz bardziej zaawansowane, pełniąc rolę osobistych centrów dowodzenia, które pozwalają nam prowadzić biznes z dowolnego miejsca i w każdym momencie. Jednakże postęp technologiczny oraz stałe bycie online niosą ze sobą również niebezpieczeństwa, a wśród nich zagrożenie ze strony cyberprzestępców.

Cyberprzestępcy rozwijają coraz bardziej zaawansowane metody wyłudzania danych, które następnie wykorzystują do dokonywania przestępstw, przede wszystkim kradzieży pieniędzy. W Polsce w 2022 roku zanotowano aż 322 tys. przypadków naruszeń bezpieczeństwa w sieci, co stanowi wzrost o 178% w porównaniu do roku poprzedniego, kiedy to zarejestrowano 116 tys. przypadków[1].

Ostatnio cyberprzestępcy stosują dwie nowe metody oszustw – na fałszywe e-recepty oraz na rezerwowe rachunki bankowe. Mimo że metody te są nowe, cyberzłodzieje wciąż bazują na podstawowym braku dbania o bezpieczeństwo w sieci i straszeniu swoich ofiar. Jednakże istnieje wiele sposobów, aby walczyć z cyberprzestępcami oraz uniknąć padnięcia ofiarą ich oszustw.

Najważniejsze jest przestrzeganie podstawowych zasad bezpieczeństwa, takich jak unikanie podejrzanych stron internetowych, niepodawanie danych osobowych oraz haseł do kont bankowych, korzystanie z antywirusów oraz regularne aktualizowanie oprogramowania. W razie podejrzenia oszustwa należy niezwłocznie skontaktować się z bankiem lub odpowiednim organem państwowym, aby zgłosić incydent oraz podjąć odpowiednie kroki w celu zabezpieczenia swoich danych.

W dzisiejszych czasach coraz częściej korzystamy z e-recept, czyli internetowych wersji tradycyjnych recept. Niestety, ta praktyka stała się też nowym sposobem wyłudzania danych osobowych przez cyberprzestępców. Ministerstwo Zdrowia już ostrzega przed tym rodzajem oszustw, ponieważ wizerunek Ministerstwa jest wykorzystywany przez oszustów do przeprowadzania tzw. scamu. Jak to wygląda w praktyce?

Oszuści rozsyłają fałszywe wiadomości e-mail lub smsy, w których informują o wystawieniu e-recepty. W załączonym linku znajduje się jednak złośliwe oprogramowanie, które pozwala przestępcom na instalowanie wirusów czy aplikacji, umożliwiających śledzenie naszych działań w sieci lub przekierowywanie nas na fałszywe strony, gdzie mogą wyłudzić nasze dane. To poważny problem, który wymaga świadomości i ostrożności w korzystaniu z e-recept.

– W tym przypadku cyberprzestępcy wykorzystują to, że coraz więcej osób, dzięki nowym technologiom i nowoczesnym rozwiązaniom chce ułatwić sobie życie, zaoszczędzić czas. Przykładem są e-recepty. Jeżeli często z nich korzystamy, nasza czujność może zostać uśpiona – myślimy: „przecież tyle razy klikałam w te załączniki i nic złego się nie stało, dlaczego więc tym razem miało być coś pójść nie tak?”. To jednak błąd. Właśnie takie podejście liczą oszuści. Dlatego warto na co dzień stosować metodę ograniczanego zaufania. Dzięki temu nie staniemy się ofiarą cyberprzestępców i nie wpadniemy w problemy finansowe – radzi Jakub Baumgart, ekspert Intrum.

Dodatkowo, warto stosować kilka zasad ostrożności, które pomogą nam uniknąć oszustwa:

  1. SMS z 4-cyfrowym kodem – przesyłany przez lekarza; jako nadawca wiadomości będzie widnieć „e-zdrowie” – informacja jest generowana przez państwowy, ogólnopolski system, ale uwaga! – w takim smsie nigdy nie znajdziemy dodatkowych linków czy próśb o rejestrację do zewnętrznych stron internetowych!,
  2. e-mail z załączoną w PDF-ie informacją o e-recepcie – wysyłana przez rządowy system (w nadawcy powinna znaleźć się domena gov.pl); taką informację możemy otrzymać również bezpośrednio od lekarza czy jednostki, w której odbyła się wizyta lekarska, a która ma wprowadzony elektroniczny obieg dokumentami czy sposób kontaktu z pacjentami,
  3. powiadomienie/kod w aplikacji mojeIKP.

Informacje z e-receptą powinniśmy otrzymać w krótkim czasie po jej wystawieniu, oczywiście po odbytej wizycie lekarskiej. – Dlatego, jeżeli w ogóle nie oczekujemy na receptę, nie klikajmy w żadne wiadomości czy to sms, czy mailowe, które sugerują, że są e-receptą, bo prawdopodobnie będzie to próba wyłudzenia naszych pieniędzy – komentuje Jakub Baumgart, ekspert Intrum. 

Jeżeli korzystamy z aplikacji mojeIKP czy np. z aplikacji/portalu internetowego danego ośrodka zdrowia, to prawdopodobnie musieliśmy wcześniej wyrazić zgodę na otrzymywanie informacji, w tym e-recept (po stronie nadawcy także leży obowiązek dbania o dane osobowe „klientów”). Dlatego najlepiej przyjąć ogólną zasadę nieotwierania linków, których pochodzenie nie jest dla nas jasne.

Gdy nadal będziemy mieć wątpliwości dotyczące otrzymanej e-recepty, możemy sprawdzić te informacje na oficjalnej stronie Ministerstwa Zdrowia lub kontaktując się z Telefoniczną Informację Pacjenta, dzwoniąc pod numer 800 190 590.

Metoda na „konto rezerwowe”

Tak, metoda „na konto rezerwowe/zapasowe” to jedna z coraz bardziej popularnych taktyk stosowanych przez oszustów. Przestępcy dzwonią do klienta banku i przedstawiają się jako pracownik banku lub policjant, informując o próbie kradzieży z konta i grożąc, że wkrótce cały majątek zostanie z niego wykradziony. Następnie zachęcają klienta do przeniesienia pieniędzy na specjalne, bezpieczne konto „rezerwowe” lub „zapasowe” w innym banku, by uniknąć strat.

W rzeczywistości takie konto nie istnieje, a pieniądze trafiają bezpośrednio do rąk oszustów. Przestępcy często wykorzystują też nieznane numery telefonów, aby wyglądać bardziej wiarygodnie i nieść pozory autentyczności.

Aby uchronić się przed takimi oszustwami, należy pamiętać, że pracownicy banków nigdy nie proszą o przeniesienie pieniędzy na inne konta. W przypadku podejrzeń o próbę oszustwa, należy skontaktować się bezpośrednio z bankiem, korzystając z oficjalnego numeru telefonu lub wizytując oddział bankowy. Ważne jest również, aby nie ujawniać swoich danych osobowych, numerów kart bankowych ani haseł dostępu do konta w odpowiedzi na żądania e-mailowe czy telefoniczne, zwłaszcza gdy pochodzą z nieznanych źródeł.

Metoda „na konto rezerwowe/zapasowe” jest wyjątkowo skuteczna, ponieważ oszuści wykorzystują w niej techniki socjotechniczne, które mają na celu wywołanie u ofiary silnych emocji, takich jak strach lub niepokój, aby skłonić ją do podejmowania szybkich decyzji. Osoby podszywające się pod pracowników banku posługują się wiarygodnymi argumentami, takimi jak informacje o podejrzanych transakcjach lub zagrożeniu dla naszego konta, aby wywołać w nas poczucie nagłej potrzeby podjęcia działań. W ten sposób oszuści starają się przejąć kontrolę nad naszymi danymi osobowymi i finansowymi oraz przekonać nas do dokonania szybkich i nieprzemyślanych przelewów na swoje konta. Warto pamiętać, że pracownicy banków nigdy nie będą prosić nas o podanie hasła do konta lub przekazywanie informacji o naszych rachunkach czy kartach płatniczych przez telefon czy e-mail. W przypadku jakichkolwiek podejrzeń o oszustwo, należy skontaktować się z bankiem bezpośrednio lub skorzystać z dedykowanych numerów telefonów lub formularzy zgłoszeniowych dostępnych na stronie internetowej banku.

– Przestępcy wzbudzają nasze emocje, a one obiorą górę nad rozsądkiem. Bardzo często to wygląda tak, że osoba, która pada ofiarą przestępstwa, dostaje w pracy telefon niby z banku o zajściu przestępstwa – że ktoś włamał się na konto bankowe lub dokonał nieuprawnionej transakcji. W pierwszym momencie ofiara jest w szoku, ale potem wręcz cieszy się, że otrzymuje pomoc. Uważa, że założenie nowego konta, a przed tym podanie kluczowych, wrażliwych informacji rozwiąże problem. A to dopiero początek problemów – komentuje Jakub Baumgart, ekspert Intrum.

Czy w takim razie w ogóle da się uchronić, przez metodą „na konto rezerwowe”? Tak, ale jeśli będziemy przestrzegać kilku wskazówek.

– Po pierwsze, jeżeli korzystamy z bankowości elektronicznej, możemy samodzielnie zmienić login i hasło do naszego internetowego konta bankowego z poziomu platformy banku. O to w pierwszej kolejności prawdopodobnie poprosi „prawdziwy” pracownik banku, który będzie chciał nas poinformować o zajściu przestępstwa. Cały proces odbywa się bez ingerencji osoby z zewnątrz. Gdy otrzymujemy telefon o włamaniu się na nasze konto w portalu transakcyjnym banku, jeszcze lepszym pomysłem będzie pilne zablokowanie wszelkich dostępów, także transakcji kartą płatniczą, BLIKiem, itp. To też możemy wykonać samodzielnie. Warto następnie niezwłocznie udać się do placówki banku i wyjaśnić całą sytuację. Pracownik banku rozwieje wszelkie nasze wątpliwości – podpowiada Jakub Baumgart, ekspert Intrum.

Jeżeli bank zarejestruje sytuację, że na koncie danego klienta zaszły jakieś podejrzanie działania, może dokonać automatycznej blokady na koncie. To jedna z opcji zabezpieczeń stosowana przez banki. Jednak właśnie ze względów bezpieczeństwa nie mają one w swojej polityce proszenia klientów o zakładanie „zapasowych” rachunków, szczególnie zdalnie, przez telefon.

Istnieje także zestaw kilku podstawowych zasad, których warto przestrzegać na co dzień, by nie stać się ofiarą cyberprzestępców i zadbać o bezpieczeństwo swoich pieniędzy.

10 zasad bezpiecznego korzystania z sieci, które powinien znać każdy internauta.

  1. Nie otwieraj wiadomości e-mail i sms nieznanego pochodzenia oraz zawierających podejrzaną treść. Zwróć szczególną uwagę na wiadomości nakazujące zapłatę zaległych (w tym przypadku fikcyjnych) faktur lub podanie dostępu do konta bankowego albo danych z karty płatniczej.
  2. Zadbaj o bezpieczeństwo haseł dostępu. Hasła powinny składać się z różnych znaków (wielkie i małe litery, znaki specjalne i cyfry) oraz być odpowiednio długie (min. 8 znaków), wtedy będą trudniejsze do złamania. Co nie mniej ważne – nie posługuj się tym samym hasłem dostępu do wielu kont i pamiętaj, aby zmieniać je co jakiś czas.
  3. Nigdy nie podawaj haseł i loginów osobom trzecim.
  4. Sprawdzaj, czy bank lub sklep internetowy, z którego korzystasz, wykorzystuje szyfrowaną wersję protokołu http. Innymi słowy, sprawdź, czy adres strony poprzedza fraza „https” (np. https://www.abc.pl). Jeżeli nie, to takie połączenie nie jest szyfrowane, co znacząco obniża poziom zaufania do takiej witryny i warto rozważyć, czy istnieje potrzeba przekazywać tam swoje dane.
  5. Wybieraj tylko bezpieczne i sprawdzone sklepy internetowe, czyli takie, o których wiadomo, że przestrzegają zasad bezpieczeństwa i stosują odpowiednie zabezpieczenia, dzięki którym dane osobowe ich klientów nie staną się łatwym łupem dla oszustów.
  6. Wykonując przelew bankowy on-line, nigdy nie kopiuj numeru rachunku bankowego z zewnętrznych źródeł, tylko za każdym razem wpisuj go ręcznie.
  7. Dokonuj płatności internetowych tylko przy udziale certyfikowanych pośredników.
  8. Nie korzystaj z otwartych, niezabezpieczonych sieci Wi-Fi, czyli tzw. hotspotów, dostępnych w miejscach publicznych, takich jak restauracje, galerie handlowe czy lotniska, nawet jeżeli musisz skorzystać z aplikacji bankowej, aby wykonać szybki przelew. W celu zwiększenia ochrony naszych urządzeń, zasadne wydaje się rozważenie nabycia usługi VPN (z ang. Virtual Private Network), dzięki której przeglądanie Internetu, w tym także korzystanie z usług bankowych czy robienie zakupów, będzie odpowiednio zabezpieczone i niedostępne dla osób trzecich.
  9. Używaj sprawdzonych programów antywirusowych. Dzięki temu dodatkowemu zabezpieczeniu możesz mieć pewność, że zarówno Twoje dane, które udostępniasz w Internecie, jak i informacje, które przechowujesz lokalnie na komputerze lub w smartfonie, będą bezpieczne. Korzystaj tylko z oprogramowania pochodzącego z autoryzowanych, legalnych źródeł.
  10. Dokonuj regularnych aktualizacji oprogramowania na Twoim komputerze i smartfonie.
[1] Dane CERT Polska. Podmiot działający w strukturach NASK, jest jednym z trzech CSIRT-ów na poziomie krajowym,
który odpowiada za monitorowanie polskiej cyberprzestrzeni pod kątem cyberzagrożeń.
[2] Metoda oszustów działających w sieci, która polega na tym, że cyberprzestępca podszywa się pod inną osobę lub instytucję
w celu wyłudzenia poufnych informacji (np. danych osobowych) lub wykonania określonych działań, by zdobyć te informacje.