Quishing, wiadomości głosowe AI i telefony z „banku”: co szykują oszuści cyfrowi w 2024?

Jedną z konsekwencji tego, że dużo pisze się na temat oszustw, jest to, że coraz więcej osób zdaje sobie sprawę z zagrożeń i staje się coraz bardziej krytyczne wobec napotkanych treści. Jednak automatyzacja i coraz nowsze narzędzia pozwalają oszustom działać szybciej i docierać do większej liczby potencjalnych ofiar. Eksperci zajmujący się bezpieczeństwem w sieci przygotowali listę metod, które w 2024 prawdopodobnie będą najpowszechniej wykorzystywane przez przestępców.

Coraz częściej stosowane są oszustwa SMS-owe. Z ankiety przeprowadzonej przez Norstat na zlecenie Frende Forsikring wynika, że w ten sposób cyberprzestępcy kontaktowali się z 91 proc. z 1007 respondentów z Norwegii.

Firma Tenerity, która pomaga klientom ubezpieczeniowym narażonym na oszustwa cyfrowe, wskazuje, że naciągacze wykorzystują stałe aspekty codziennego życia, aby wyłudzić dane. Na przykład w okresie, w których pracownicy są powiadamiani o podatku, mogą otrzymać SMS o treści: „Zaloguj się tutaj przy użyciu swojego identyfikatora bankowego, aby sprawdzić, ile zwrotu otrzymasz”. Przed świętami zaś popularne są wiadomości typu „zaloguj się tutaj za pomocą swojego BankID, aby umówić się na wizytę w celu uzyskania nowego paszportu”.

Choć sztuczna inteligencja nie jest jeszcze idealnym narzędziem i wciąż daleko jej, aby w doskonały sposób „udawać” człowieka, to jednak coraz lepiej jej to wychodzi. Złodzieje mogą na przykład wysłać wiadomość głosową rzekomo od osoby, która brzmi dokładnie tak, jak członek rodziny adresata.

– Głos może powiedzieć coś w stylu: „Zgubiłem telefon komórkowy i potrzebuję pieniędzy na taksówkę. Czy możesz przelać 500 koron na ten numer? Użyłam pożyczonej komórki”. Jest to kopia stworzona przez sztuczną inteligencję. Ta metoda nie jest jeszcze zbyt rozpowszechniona w Norwegii, ale lepiej zachować czujność, kiedy zacznie się otrzymywać wiadomości głosowe z pytaniami dotyczącymi pieniędzy – mówi Tina Jerstad z Tenerity.

Kolejnym pomocnikiem, z którego skorzystają oszuści w 2024 r., będzie tzw. sztuczna inteligencja generatywna.

– ChatGPT to taka aplikacja, która pisze doskonałe teksty w dwie sekundy. Literówki, które w przeciwnym razie uruchomiłyby dzwonek alarmowy, zniknęły – uprzedza Tron Ingebrigtsen, menedżer ds. bezpieczeństwa IT we Frende Forsikring.

Co można zrobić, aby nie dać się zwieść AI? Na przykład uważnie oglądać zdjęcia i filmy. Mogą one zawierać dziwne elementy, jak, w przypadku ludzi, zniekształcone twarze czy za dużo palców, albo niepasujące obiekty w tle. Warto uruchomić zawartość za pośrednictwem usługi, która może wykryć, czy jest ona wygenerowana przez sztuczną inteligencję (np. aiornot.com). Mimo coraz większej poprawności czatów, lepiej poszukać w tekście wyrażeń i sformułowań, które nie mają sensu. Podejrzany może być sam wygląd adresu URL.

Facebook to kolejne miejsce, na które trzeba uważać, a Messenger to kanał, który uwielbiają wyłudzacze danych. Potrafią zhakować konta użytkowników i wówczas wyglądają wiarygodnie, wysyłając wiadomości do znajomych ofiary.

Firma telekomunikacyjna Telenor wśród trendów wskazuje także tzw. quishing: fałszywe kody QR, które można łatwo umieścić w świecie fizycznym. Pozwalają uniknąć filtrów spamu w usługach e-mail. Kody QR stopniowo stały się powszechnym widokiem na całym świecie. Można je znaleźć na plakatach, latarniach, w sklepach i restauracjach.

Kody te są bardzo łatwe do utworzenia i każdy może je umieścić w miejscach, w których wydają się wiarygodne. Jednak skanując kod QR telefonem komórkowym, nie ma się możliwości sprawdzenia, dokąd on zaprowadzi. Dlatego nie jest wykluczone, że trafi się na fałszywą stronę internetową stworzoną przez oszustów.

Tenerity twierdzi, że liczba przypadków, w których ofiary oddały swój BankID, wzrosła dziesięciokrotnie w ciągu kilku lat. Oszukani łatwo wpadają w pułapkę, gdy telefon pokaże, że dzwoni np. policja. Kiedy rzekomy bank wysyła wiadomość i informuje, że chce powstrzymać próbę oszustwa przeciwko klientowi, wiele osób postępuje zgodnie z zaleceniami, a później zauważa, że ma wyczyszczone konto. Takie instytucje jednak nie proszą w ten sposób o BankID. Należy wówczas poprosić o więcej czasu i ewentualnie sprawdzić na własną rękę, czy dane osoby rzeczywiście się kontaktowały, albo zupełnie zignorować sprawę i zgłosić intruza.

Większość ludzi wierzy, że jest w stanie zabezpieczyć się przed zagrożeniami cyfrowymi, jednak z przeprowadzonego jesienią ubiegłego roku przez Norweskie Centrum Bezpieczeństwa Informacji (NorSIS) i SpareBank 1 badania kultury bezpieczeństwa w sieci wynika, że ponad jedna czwarta respondentów została oszukana w Internecie na pieniądze. Największy odsetek to młodzi ludzie poniżej 30. roku życia.

Oszustw internetowych doświadczyło więcej mężczyzn niż kobiet, najczęściej w grupie wiekowej 20-29 lat.

– Z badania wynika, że ​​młodsi ludzie świadomie podejmują w Internecie większe ryzyko niż osoby starsze, a jednocześnie uważają, że środki bezpieczeństwa, takie jak dwuetapowe logowanie i bezpieczne hasła, są dla nich mniej istotne. Może to przyczynić się do zwiększenia ich bezbronności w kontaktach z oszustami – mówi Eivind Reiner-Holm, dyrektor generalny NorSIS.

Najczęstszą formą oszustwa jest sytuacja, w której ofiara płaci za produkt lub usługę, której nigdy nie otrzyma (11 proc.). Około 5 proc. doświadczyło utraty środków pieniężnych w wyniku podania danych bankowych fałszywej witrynie internetowej, dokonania inwestycji, która okazała się oszustwem (4,5 proc.) lub spotkania w sieci osoby, która nakłoniła ich do przesłania pieniędzy (4,2 proc.).

Cechą wspólną tych oszustw jest to, że wszystkie ofiary były narażone na manipulację społeczną. Oszust wykorzystuje zaufanie, pokusę i strach, aby oszukani uwierzyli, że są w poważnym sklepie internetowym, że mają kontakt z potencjalnym kochankiem lub mają do czynienia z całkiem zwyczajnym sprzedawcą na rynku cyfrowym.

Rada Sparebank1 brzmi: zachowaj czujność, jeśli skontaktują się z tobą nieznajomi. Jeśli coś wydaje się zbyt piękne, aby mogło być prawdziwe, zazwyczaj tak jest (np. fałszywe wiadomości o odbiorze towarów lub oferty pracy z możliwością zarobienia dobrych pieniędzy przy niewielkim wysiłku). Ważne jest również, aby nigdy nie podawać informacji o koncie, kodów BankID ani haseł, niezależnie od tego, kto o to poprosi – bank, policja, rodzina, przyjaciele lub inne osoby.

227 milionów potencjalnie szkodliwych stron internetowych zostało zablokowanych przez filtry Nettvern na potrzeby operatora GSM Telenor. Około trzy z czterech blokad – tj. 166 milionów – zapobiegło przekierowaniu uzytkowników na znane strony, za pośrednictwem których można stracić pieniądze.

– Coraz ważniejsze staje się bycie na bieżąco z najnowszymi trendami. Kiedy udaje nam się zamknąć jedne drzwi, nie trzeba długo czekać, zanim oszuści otworzą nowe. Dlatego wskazane jest posiadanie nieco bardziej szczegółowej wiedzy na temat obecnych metod oszustw. Na przykład zła gramatyka nie musi już być sygnałem ostrzegawczym wynikającym z rozwoju technologicznego – mówi Thorbjørn Busch z Telenor.

Źródła: NTB, NorSis, Frende Forskring, Tenerity, Telenor, Mojanorwegia.pl