Prezydent Polski, znany dziennikarz lub ceniony pisarz namawia w internecie na inwestycję w akcje koncernu paliwowego i gwarantuje potężny zwrot z niewielkiej inwestycji? Nie daj się nabrać, to scam czyli nowy rodzaj oszustwa rozpowszechniony w sieci. Scam – co to jest i jak się przed nim bronić? Najważniejsze informacje znajdziesz w tym tekście.

Co to jest scam w Internecie?

Scam to mówiąc najprościej internetowe oszustwo z wykorzystaniem poczty email, mediów społecznościowych i innych narzędzi cyfrowych (np. oprogramowania komputerowego).

Według Cambridge English Dictionary, scam to “nielegalny plan zarabiania pieniędzy , zwłaszcza taki, który polega na oszukiwaniu ludzi” oraz “oszukanie kogoś, aby dał ci pieniądze, zwykle w nielegalny sposób”.

Jak w klasycznym oszustwie, scamerzy wprowadzają w błąd ofiary, żeby na tym zarobić. Choć nie zawsze chodzi o pieniądze. Scam może służyć również do wyłudzania danych osobistych (np. haseł do kont bankowych czy też serwisów online).

Przestępcy chętnie podszywają się pod celebrytów, ważnych urzędników czy też instytucje publiczne żeby wykorzystać ich autorytet. Stosują też presję, groźby lub wysuwają bezpodstawne żądania.

Scam bardzo często służy do phishingu czyli ataków polegających na wyłudzaniu poufnych danych np. hasła do e-bankowości, mediów społecznościowych, poczty elektronicznej, platform gamingowych, numeru PESEL.

Scam – co to jest?

Scam ma różne oblicza. Najłatwiej zrozumieć na czym polega scam patrząc na przykłady oszustw z jego użyciem. Przynosi je niemal każdy tydzień.

Nieustaleni sprawcy podszywali się pod policjantów i rozsyłali we wrześniu 2022 roku maile, w którym oskarżyli odbiorców o przeglądanie stron z pornografią dziecięcą. Autorem maila miał być gen. Jarosław Szymczyk, Komendant Główny Policji. Oczywiście nie miał nic wspólnego z oszustami.

Oszustwo dość łatwo było zdemaskować ze względu na błędy językowe w mailu. Mail zawierał załącznik, prawdopodobnie ze złośliwym oprogramowaniem.

Inny przykład. Przestępcy od listopada 2021 roku posłużyli się wizerunkiem m.in. prezydenta i premiera RP oraz prezesa Orlenu, pisarza Mariusza Szczygła, dziennikarki Magdaleny Ogórek i prezentera Huberta Urbańskiego. W rozesłanych mailach namawiali do inwestycji w biznes energetyczny.

Cyberprzestępcy kusili wypłatą 4-11 tys. zł po zainwestowaniu zaledwie 1 tys. zł. Biznes miał być gwarantowany przez polski rząd. Prezydent Andrzej Duda “obiecywał” 5 800 zł dla każdego. To klasyczny przykład jak oszuści wykorzystują wizerunek znanych osób.

Akcja powiodła się – 51-letni mężczyzna “zainwestował” w Orlen ponad 500 tys. zł.

Mężczyzna najpierw założył konto na aplikacji (podał email i numer telefonu), a potem zadzwonił do niego oszust. Po rozmowie przesłał link do AnyDesk, programu służącego do zdalnej obsługi pulpitu komputera i polecił ofierze zalogować się do swojego konta bankowego i wykonać przelew. Pieniądze trafiły na konto przestępców.

Jak rozpoznać scammera?

Scammer działa jak rasowy oszust. Oto zestaw popularnych narzędzi, których używa, żeby Cię naciągnąć:

• wykorzystuje emocje, przede wszystkim strach i chciwość,
• nalega na szybkie działanie (np. jeżeli czegoś nie zrobisz to zostaniesz aresztowany lub Twoje konto bankowe zostanie skasowane),
• zachęca do konkretnego działania: pobrania oprogramowania (zainfekowanego wirusem komputerowym lub robakiem internetowy), wpłaty pieniędzy, kliknięcia w załącznik do maila (zawirusowanego), podania loginu i hasła do konta na internetowym serwisie,
• wykorzystuje do scamu serwisy randkowe (tzw. catfish) – grając na emocjach ofiary prosi o wsparcie finansowe (świetnym przykładem znajdziesz w dokumencie “Oszust z Tindera”),
• straszy zamknięciem konta na wybranym serwisie, ofiara może tego uniknąć podając jeszcze raz identyfikator i hasło (przejmą je oszuści),
• nalega na aktualizację oprogramowania – w rzeczywistości chodzi o namówienie ofiarę na pobranie destrukcyjnego programu,
• wie, że wielu z nas odruchowo klika w linki prowadzące do bulwersujących materiałów (trik często wykorzystywany na Facebooku – np. żeby zobaczyć film o 30 osobach, które ponoć zmarły po szczepieniu przez zakrzep krwi trzeba podać dane do logowania w celu weryfikacji wieku, oczywiście scamerzy wyłudzają w ten sposób hasła do kont żeby później użyć np. do oszustwa na BLIK),
• sprzedających na OLX i innych giełdach online namawia do zakończenia transakcji poza systemem lub podstawiając fałszywe strony do odbioru pieniędzy za produkt,
• kusi nieprawdopodobnie wysokimi rabatami na drogie produkty, oferuje niezwykle korzystne karty podarunkowe lub nagrody w zamian za “drobną” wpłatę lub zarejestrowanie się na podejrzanym serwisie (malvertising czyli złośliwe reklamy),
• podszywa się pod firmy kurierskie, np. żąda dopłaty do przesyłki lub wysyła SMS-em linki do odbioru paczki po pobraniu aplikacji,
• korzysta z prawdziwego numeru np. biura obsługi klienta banku (służą do tego specjalne serwisy internetowe)
• wykorzystuje popularność kryptowalut – zwabia ofiary na podrobione strony www, namawia do instalacji aplikacji, które służą do wyłudzania prywatnych danych.

Jak się bronić przed naciągaczem stosującym socjotechniki? Najlepszą tarczą jest zdrowy rozsądek i stosowanie zasady ograniczonego zaufania.

Scammerzy – jak wszyscy oszuści – wykorzystują naiwność swoich ofiar grając jednocześnie na emocjach. Często oferują bardzo dobre okazje i nalegają na szybkie działanie. Wystarczy uważnie przyjrzeć się ich propozycji, żeby wykryć scam:

1. To nieprawdopodobne, żeby głowa państwa uczestniczyła w kampanii reklamującej komercyjne przedsięwzięcie.
2. Nie zdarza się, żeby po zainwestowaniu niewielkich pieniędzy otrzymać bardzo szybko, bardzo duży zwrot (scamerzy wykorzystują szum wokół kryptowalut, które dla wielu niezorientowanych osób wydają się magicznym sposobem na błyskawiczny zarobek).
3. Każda prośba telefoniczna lub przez email o podanie poufnych informacji (np. hasła do konta bankowego) jest podejrzana.
4. Pracownicy banków i instytucji publicznych nigdy nie żądają wrażliwych danych i nie nakłaniają do instalacji oprogramowania – jeżeli słyszysz pytanie o hasło do bankowości elektronicznej lub prośbę o pobranie i zainstalowanie aplikacji, rozłącz się i sam zadzwoń na oficjalny numer żeby potwierdzić wiarygodność wcześniejszego telefonu.
5. Przedstawiciele banków i innych instytucji nie będą nalegali żebyś szybko wykonał ich polecenie strasząc jednocześnie konsekwencjami lub sugerując, że stracisz atrakcyjną okazję.
6. Przed podaniem jakichkolwiek danych, zainstalowaniem programu, a tym bardziej przelaniem pieniędzy sprawdź:
   • adres domeny – oszuści często używają adresów do złudzenia podobnych do tych prawdziwych, np. www.pakao24.pl/logowanie zamiast www.pekao24.pl/logowanie,
   • czy w pasku adresowym jest zamknięta kłódka, kliknij na nią i przeczytaj na kogo został wystawiony certyfikat i czy jest on ważny,
   • w razie jakichkolwiek wątpliwości zadzwoń do banku lub urzędu używając oficjalnego numeru telefonu.

Na koniec ważna uwaga. Możesz rozpoznać, że scamerzy wzięli Cię na celownik. Jeżeli dostałeś e-maila, który z pewnością pochodzi od naciągaczy, to nie odpowiadaj na niego.

Scam wysyłany jest bardzo często masowo do tysięcy osób. Przestępcy dysponują wykradzionymi lub kupionymi w darknecie bazami adresowymi. Nie wiedzą czy wszystkie e-maile są prawdziwe. Zyskają pewność jeżeli odpowiesz na ich scamerską wiadomość.

Scam co to jest – pytania i odpowiedzi (Q&A)

Co to scammer po polsku?

Scammer to oszust lub naciągacz, który używa w swoim procederze nowych technologii (mediów społecznościowych, poczty elektronicznej, aplikacji).

Co to znaczy “ale scam”?

Popularny zwrot używany przez młodych ludzi oznaczający wprowadzenie kogoś w błąd, kłamstwo, oszustwo.

Gdzie zgłaszać scam?

Scam i inne zdarzenia związane z cyberbezpieczeństwem należy zgłaszać do CERT Polska, np. mailowo na adres [email protected], poprzez formularz na stronie incydent.cert.pl lub telefonicznie +48 22 380 82 74. Jeżeli padłeś ofiarą scamu niezwłocznie zgłoś to na policję.

Co to znaczy reklamować scam?

Reklamować scam oznacza zachęcać do skorzystania z wątpliwej jakości produktów lub usług. Reklamowaniem scamu zajmują się np. influencerzy, którzy na YouTubie zachwalają kosmetyki, urządzenia lub sklepy online kusząc swoich fanów bardzo atrakcyjnymi rabatami. Bywa, że w rzeczywistości nabywca dostaje towar niepełnowartościowy, inny niż zamówiony lub jego pieniądze przepadają.  Dobrym przykładem była niedawna afera z podrobionymi słuchawkami AirPods reklamowanymi przez wielu popularnych w Polsce influencerów. “Tańsza alternatywa” drogich słuchawek okazała się marnymi urządzeniami z Chin, a fani naciągnięci przez swoich idoli nie mogli złożyć reklamacji, bo internetowy sklep HypePods zniknął.

Co to jest scam steam?

Steam scam to oszustwo na popularnej platformie gamingowej Steam. Scammerzy podają się za pracowników serwisu (np. pomoc techniczną), grożą nałożeniem kar lub obiecują nagrodę. Oszuści proponują również atrakcyjne wymiany przedmiotów/prezentów na tzw. rynku społeczności lub poza nim. Zdarza się również, że po zdobyciu danych do logowania przejmują kontrolę nad kontem i żądają pieniędzy za zwrot dostępu. Steam podkreśla, że użytkownik zawsze może odzyskać konto przez pomoc techniczną serwisu – nawet po tym, jak agresor zmieni hasło czy też numer telefonu kontaktowego.

Scam alert co to jest?

Scam alert to wiadomość przesyłana SMS-em przez przestępców, a służąca do wyłudzenia poufnych danych ofiary (phishing). Popularne są scam alerty podszywające się pod firmy kurierskie (np. InPost) oraz instytucje (np. PGE). Odbiorca dostaje informację, że jedzie do niego przesyłka i może ją śledzić po kliknięciu w link. Łącze prowadzi go na stronę, która wyłudza informacje. Na smartfona możesz również otrzymać “nakaz” dopłaty do rachunku. Link wiedzie do podrobionej bramki płatności.