Eksperci alarmują: tysiące pułapek w sieci. Twój rachunek może zostać wyczyszczony w sekundę

Internet, który miał być oknem na świat, dla wielu Polaków staje się niebezpieczną pułapką finansową. Zgodnie z alarmującymi danymi zawartymi w najnowszym raporcie Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (CSIRT KNF), rok 2024 przyniósł bezprecedensowy wzrost cyberprzestępczości w Polsce. Skala problemu przekroczyła najczarniejsze scenariusze ekspertów, stawiając pod znakiem zapytania skuteczność dotychczasowych metod walki z internetowymi oszustami.

Fot. Obraz wygenerowany przez DALL·E 3

Liczby przedstawione w raporcie CSIRT KNF za rok 2024 są wręcz szokujące. W ciągu zaledwie dwunastu miesięcy analitycy zidentyfikowali i zgłosili do CERT Polska rekordową liczbę 51 241 niebezpiecznych domen internetowych. To dramatyczny wzrost o niemal 71 procent w porównaniu z rokiem 2023, kiedy wykryto 30 140 takich stron. Trend wzrostowy nabiera jeszcze bardziej złowieszczego charakteru, gdy spojrzymy na dane z dłuższej perspektywy – w 2021 roku zgłoszono zaledwie 11 468 oszukańczych domen. Oznacza to, iż w ciągu zaledwie trzech lat liczba cyfrowych pułapek wzrosła prawie pięciokrotnie, co jednoznacznie wskazuje na postępującą profesjonalizację i intensyfikację działań cyberprzestępców atakujących polskich internautów.

Na szczególną uwagę zasługuje fakt, iż domeny zgłoszone przez CSIRT KNF stanowiły dominującą część wszystkich niebezpiecznych stron wpisanych na listę ostrzeżeń CERT Polska w roku 2024. Na łączną liczbę 92 279 domen uznanych za szkodliwe, ponad 51 tysięcy miało na celu oszukanie Polaków i wyłudzenie od nich środków finansowych. Ta dysproporcja wyraźnie pokazuje, iż cyberprzestępcy coraz częściej kierują swoje wysiłki na atakowanie polskiego sektora finansowego i jego klientów, dostrzegając w nich szczególnie łatwy lub lukratywny cel.

Dogłębna analiza danych zebranych przez CSIRT KNF rzuca światło na główne metody działania cyberprzestępców w minionym roku. Bezapelacyjnie najpopularniejszym rodzajem oszustwa były fałszywe oferty inwestycyjne, stanowiące aż 89,4 procent wszystkich zgłoszonych przez CSIRT KNF domen. W liczbach bezwzględnych oznacza to 45 985 fałszywych witryn internetowych, które kusiły potencjalne ofiary obietnicami błyskawicznych i niewiarygodnie wysokich zysków. Oszuści najczęściej wykorzystywali do dystrybucji swoich ofert precyzyjnie targetowane reklamy w mediach społecznościowych, pozycjonowane wyniki wyszukiwania w popularnych wyszukiwarkach oraz banery reklamowe na różnorodnych portalach internetowych.

Druga kategoria oszustw pod względem popularności to fałszywe ankiety, których w 2024 roku wykryto 4030. Ta technika opiera się na obietnicy atrakcyjnej nagrody za wypełnienie krótkiego kwestionariusza, po czym następuje próba wyłudzenia danych osobowych, finansowych lub bezpośrednich płatności od nieświadomej ofiary. Na trzecim miejscu znalazły się strony podszywające się pod usługi kurierskie i pocztowe (521 domen) – metoda szczególnie skuteczna w dobie rosnącej popularności zakupów internetowych. Dalsze miejsca zajęły domeny imitujące portale społecznościowe (166) oraz fałszywe bramki płatności (125), które bezpośrednio przechwytują dane kart płatniczych i dane logowania do bankowości elektronicznej.

Raport CSIRT KNF ujawnia także szczegółowy obraz technik stosowanych przez cyberprzestępców w celu uwiarygodnienia swoich oszustw i zdobycia zaufania potencjalnych ofiar. Dominującą metodą jest bezprawne wykorzystywanie wizerunku znanych osób i szanowanych instytucji. Według danych, wizerunek polityków wykorzystano w aż 26 procentach przypadków, co czyni ich najczęściej „wypożyczanymi” twarzami w kampaniach oszustów. Na dalszych miejscach znaleźli się celebryci i osobistości ze świata rozrywki (14 procent) oraz Spółki Skarbu Państwa (11 procent), których reputacja i rozpoznawalność są cynicznie wykorzystywane do uwiarygodnienia fałszywych ofert.

Równie częstym, a zarazem wyjątkowo perfidnym zabiegiem stosowanym przez cyberprzestępców są obietnice pomocy w odzyskaniu środków utraconych we wcześniejszych oszustwach (11 procent przypadków). Ta metoda żeruje na desperacji osób, które już raz padły ofiarą internetowych złodziei i desperacko poszukują sposobu na odzyskanie straconych pieniędzy. Oszuści oferują swoje „usługi” w zakresie odzyskiwania utraconych środków, wyłudzając kolejne opłaty, najczęściej pod pretekstem kosztów administracyjnych, podatków czy opłat manipulacyjnych.

Technologiczny postęp, który przyniósł tyle korzyści współczesnemu społeczeństwu, staje się również potężnym narzędziem w rękach cyberprzestępców. Szczególnie alarmującym trendem zaobserwowanym przez ekspertów CSIRT KNF jest gwałtowny wzrost wykorzystania sztucznej inteligencji w tworzeniu coraz bardziej wyrafinowanych i trudnych do zdemaskowania materiałów oszukańczych. Zaawansowane algorytmy umożliwiają generowanie niezwykle realistycznych treści wizualnych i tekstowych, które mogą skutecznie zwieść choćby ostrożnych i doświadczonych internautów.

Współczesne narzędzia AI pozwalają na tworzenie deepfake’ów – sfabrykowanych nagrań wideo, w których znane osobistości wydają się promować fikcyjne projekty inwestycyjne czy usługi finansowe. Technologia ta umożliwia również generowanie fałszywych artykułów prasowych, które do złudzenia przypominają publikacje z renomowanych serwisów informacyjnych, a także personalizowanych wiadomości phishingowych, które są dostosowane do profilu konkretnej osoby na podstawie danych zebranych z mediów społecznościowych i innych źródeł online. To właśnie ta personalizacja stanowi szczególne zagrożenie, ponieważ tradycyjne metody rozpoznawania oszustw, jak błędy językowe czy generyczne treści, stają się coraz mniej skuteczne.

Praktyczny poradnik: Jak skutecznie bronić się przed internetowymi oszustwami

W obliczu tak gwałtownego wzrostu cyberzagrożeń, każdy internauta powinien znać podstawowe zasady bezpieczeństwa i metody obrony przed coraz bardziej wyrafinowanymi oszustwami. Oto kompleksowy przewodnik, który pomoże ci chronić swoje pieniądze i dane osobowe w cyfrowym świecie.

Po pierwsze, w przypadku inwestycji finansowych, które stanowią główny wektor ataków cyberprzestępców, zawsze kieruj się zasadą ograniczonego zaufania. Pamiętaj, iż żadna legalna inwestycja nie gwarantuje błyskawicznych i nadzwyczajnie wysokich zysków bez ryzyka. jeżeli ktoś oferuje ci podwojenie pieniędzy w kilka dni czy tygodni, to powinien zapalić się czerwony alarm. Przed zainwestowaniem jakichkolwiek środków zawsze weryfikuj legalność danej platformy inwestycyjnej – sprawdź, czy firma znajduje się w rejestrze podmiotów nadzorowanych przez KNF dostępnym na stronie knf.gov.pl. Legitymizujące dane, jak KRS czy NIP, również są warte zweryfikowania w oficjalnych rejestrach państwowych.

Nigdy nie podejmuj decyzji inwestycyjnych pod presją czasu. Oszuści często używają taktyki ograniczonej dostępności, twierdząc, iż oferta jest dostępna tylko „przez najbliższe 24 godziny” lub dla „pierwszych 100 osób”. To celowy zabieg psychologiczny, który ma skłonić cię do podjęcia pochopnej decyzji. Pamiętaj, iż każda poważna inwestycja wymaga dokładnego przemyślenia i zawsze daje czas na zastanowienie. Warto również poszukać niezależnych opinii o danej firmie czy platformie inwestycyjnej, wykraczając poza materiały marketingowe prezentowane przez samego oferenta.

W kwestii fałszywych ankiet i loterii, które zajmują drugie miejsce na liście najpopularniejszych oszustw, pamiętaj, iż legalne konkursy nigdy nie wymagają wnoszenia opłat za odbiór wygranej. jeżeli rzekomo wygrałeś nagrodę w konkursie, w którym nie brałeś udziału, prawdopodobnie jest to oszustwo. Szczególną ostrożność zachowaj wobec wiadomości informujących o wygranej w zagranicznej loterii – prawdopodobieństwo, iż faktycznie zostałeś wylosowany w loterii, w której nie kupowałeś losu, jest praktycznie zerowe.

Ochrona przed phishingiem, czyli próbami wyłudzenia danych, wymaga stałej czujności. Nigdy nie klikaj w linki otrzymane w podejrzanych wiadomościach e-mail, SMS-ach czy komunikatorach, choćby jeżeli wydają się pochodzić od zaufanych instytucji. Zamiast tego, otwórz nowe okno przeglądarki i manualnie wprowadź adres strony banku lub innej instytucji. Zwracaj uwagę na adres URL stron, na które trafiasz – oszuści często używają adresów łudząco podobnych do oryginalnych, różniących się jedną literą czy znakiem. Upewnij się, iż adres strony rozpoczyna się od „https://” (nie samo „http://”), co oznacza, iż połączenie jest szyfrowane.

Banki i urzędy nigdy nie proszą o podanie pełnych danych logowania, haseł czy kodów PIN poprzez e-mail czy telefon. jeżeli otrzymasz taką prośbę, choćby jeżeli wygląda na oficjalną, powinna natychmiast wzbudzić twoją czujność. W przypadku wątpliwości najlepiej skontaktować się bezpośrednio z instytucją, używając numeru telefonu czy adresu e-mail znalezionego na oficjalnej stronie, a nie tego podanego w otrzymanej wiadomości.

Szczególnie skomplikowanym wyzwaniem są deepfake’i i materiały generowane przez AI. Aby uchronić się przed tego typu oszustwami, zawsze weryfikuj informacje w wielu źródłach, szczególnie jeżeli dotyczą one inwestycji czy transakcji finansowych. jeżeli widzisz film, w którym znana osoba promuje jakąś platformę inwestycyjną, sprawdź oficjalne kanały komunikacji tej osoby, aby potwierdzić autentyczność takiego poparcia. Pamiętaj, iż większość celebrytów i uznanych osób publicznych nie angażuje się w promowanie niepewnych inwestycji finansowych.

W kontekście coraz popularniejszych oszustw związanych z pomocą w odzyskiwaniu utraconych środków, zachowaj szczególną ostrożność. jeżeli padłeś ofiarą oszustwa, zgłoś to bezpośrednio odpowiednim organom – policji, CSIRT KNF czy swojemu bankowi. Bądź niezwykle sceptyczny wobec firm czy osób oferujących pomoc w odzyskaniu utraconych pieniędzy, szczególnie jeżeli wymagają one przedpłaty za swoje usługi. Legitymizowane firmy zajmujące się odzyskiwaniem długów zwykle pobierają opłaty dopiero po skutecznym odzyskaniu środków.

Techniczne aspekty zabezpieczenia są równie istotne jak świadomość typowych metod oszustwa. Zadbaj o aktualność systemu – regularnie aktualizuj system operacyjny, przeglądarkę internetową i wszystkie używane aplikacje. Cyberprzestępcy często wykorzystują luki w przestarzałych wersjach systemu do przeprowadzania ataków. Korzystaj z systemu antywirusowego z aktualną bazą sygnatur i włączoną ochroną w czasie rzeczywistym, szczególnie podczas przeglądania stron związanych z finansami.

Silne, unikalne hasła to podstawa cyberbezpieczeństwa. dla wszystkich ważnego konta (bankowość elektroniczna, e-mail, media społecznościowe) używaj innego hasła składającego się z co najmniej 12 znaków, w tym dużych i małych liter, cyfr oraz znaków specjalnych. Pomocne może być korzystanie z menedżera haseł, który generuje i bezpiecznie przechowuje skomplikowane hasła. Wszędzie, gdzie to możliwe, włącz uwierzytelnianie dwuskładnikowe (2FA), które wymaga podania dodatkowego kodu oprócz hasła. Taki kod może być generowany przez dedykowaną aplikację na telefonie lub przesyłany SMS-em.

Twoje urządzenia również wymagają odpowiedniego zabezpieczenia. Ustaw automatyczne blokowanie ekranu po krótkim czasie bezczynności i wymagaj hasła, PIN-u lub danych biometrycznych do odblokowania. Unikaj korzystania z bankowości elektronicznej i przeprowadzania transakcji finansowych za pośrednictwem publicznych sieci Wi-Fi, które mogą być podatne na przechwytywanie danych. Zamiast tego korzystaj z własnego połączenia komórkowego lub zabezpieczonej sieci prywatnej. jeżeli musisz użyć publicznej sieci, rozważ zastosowanie wirtualnej sieci prywatnej (VPN), która szyfruje przesyłane dane.

Regularne monitorowanie swoich kont to skuteczny sposób na wczesne wykrycie nieautoryzowanych działań. Sprawdzaj historię transakcji na swoich kontach bankowych co najmniej raz w tygodniu, a najlepiej włącz powiadomienia o każdej transakcji. Dzięki temu gwałtownie zauważysz podejrzane aktywności i będziesz mógł natychmiast zareagować. Okresowo sprawdzaj również swoje raporty kredytowe, aby upewnić się, iż nikt nie wziął kredytu na twoje nazwisko.

W przypadku korzystania z mediów społecznościowych, zachowaj ostrożność w udostępnianiu informacji osobistych. Cyberprzestępcy mogą wykorzystywać dane z twoich profili do personalizowania ataków phishingowych lub tworzenia przekonujących scenariuszy oszustw. Ogranicz ilość udostępnianych danych osobowych, takich jak dokładna data urodzenia, miejsce zamieszkania czy informacje o planowanych podróżach. Regularnie sprawdzaj i aktualizuj ustawienia prywatności na swoich kontach w mediach społecznościowych, aby kontrolować, kto ma dostęp do twoich informacji.

W razie podejrzenia, iż padłeś ofiarą oszustwa, działaj szybko. Natychmiast skontaktuj się ze swoim bankiem, aby zablokować podejrzane transakcje i wydać nowe karty płatnicze. Zmień hasła do wszystkich kont, które mogły zostać skompromitowane. Zgłoś incydent na policję – oficjalne zgłoszenie jest często niezbędne do odzyskania utraconych środków. Poinformuj również CSIRT KNF poprzez formularz na stronie csirt.knf.gov.pl, co pomoże w identyfikacji nowych zagrożeń i ochronie innych użytkowników.

Stale aktualizuj swoją wiedzę o aktualnych zagrożeniach, śledząc oficjalne komunikaty instytucji odpowiedzialnych za cyberbezpieczeństwo, takich jak CSIRT KNF czy CERT Polska. Informacje o nowych metodach oszustw są regularnie publikowane na ich stronach internetowych i w mediach społecznościowych. Dziel się tą wiedzą z bliskimi, szczególnie z osobami starszymi, które mogą być bardziej podatne na cyberprzestępstwa.

Pamiętaj, iż w cyfrowym świecie, który nieustannie ewoluuje, bezpieczeństwo to proces, a nie jednorazowe działanie. Stałe doskonalenie swoich praktyk bezpieczeństwa i zachowanie czujności to najskuteczniejsze metody obrony przed cyberprzestępcami. choćby najprostsze środki ostrożności mogą uchronić cię przed poważnymi stratami finansowymi i problemami związanymi z kradzieżą tożsamości.

Alarmujące dane przedstawione w raporcie CSIRT KNF za rok 2024 jasno pokazują, iż pomimo rosnącej świadomości społecznej dotyczącej zagrożeń w sieci, cyberprzestępcy nieustannie doskonalą swoje metody i zwiększają skalę działań. Pięciokrotny wzrost liczby niebezpiecznych domen w ciągu zaledwie trzech lat stanowi wyraźny sygnał, iż wszyscy użytkownicy internetu muszą zachować wzmożoną czujność. W cyfrowym świecie, gdzie technologia rozwija się w zawrotnym tempie, bezpieczeństwo naszych danych i środków finansowych w dużej mierze zależy od naszej własnej ostrożności i świadomości zagrożeń.

Patrząc w przyszłość, należy spodziewać się, iż wraz z dalszym rozwojem technologii sztucznej inteligencji, cyberprzestępcy będą dysponować coraz bardziej zaawansowanymi narzędziami do przeprowadzania oszustw. Dlatego tak istotne jest ciągłe aktualizowanie wiedzy na temat aktualnych zagrożeń, śledzenie oficjalnych komunikatów instytucji odpowiedzialnych za cyberbezpieczeństwo oraz stosowanie proaktywnego podejścia do ochrony własnych danych i środków finansowych w przestrzeni cyfrowej. Tylko świadome i czujne społeczeństwo może skutecznie przeciwstawić się rosnącej fali cyberprzestępczości, która – jak pokazują statystyki – staje się jednym z największych wyzwań naszych czasów.