Bezpieczeństwo na wakacjach. Jak nie dać się złowić cyberprzestępcom?

Urlop to czas, gdy człowiek chciałby odpocząć od wszelkich trosk i zmartwień. Niestety są też ludzie, którzy tylko czyhają na osoby wybierające się na wakacje i przebywające poza domem, którym mogą narobić problemów. Co zrobić, aby zminimalizować ryzyko kradzieży tożsamości i pieniędzy podczas wczasów?

Z racji tego, że wakacje właśnie się rozpoczęły, porozmawiałem z Michałem Rosiakiem, ekspertem ds. bezpieczeństwa w Orange Polska o pułapkach, na jakie powinni uważać wczasowicze. W jednym miejscu zebrałem też kilka rad, do których warto się stosować zarówno przed urlopem, jak i w jego trakcie.

Na start spytałem mojego rozmówcę, jakie są obecnie popularne „sezonowe” próby oszustwa, na jakie trzeba uważać. Okazuje się, że cyberprzestępcy mają już oko na osoby wybierające się na urlop jeszcze przed podjęciem decyzji o wyjeździe. Pojawiła się nowa metoda wyłudzania pieniędzy „na Ryanaira”.

Ktoś miał sprytny plan, by poinformować w social media o tym, że „Ryanair oferuje kartę podarunkową z nieograniczonymi lotami przez sześć miesięcy - za jedyne 9 zł”. Rzekomo związane jest to „z ostatnimi odwołaniami masowych lotów”, aby „odzyskać zaufanie klientów”.

Cyberprzestępcy informują, że aby otrzymać „flypass”, trzeba jedynie odpowiedzieć na kilka pytań. Dodatkowo wedle ogłoszenia liczba takich kart ze zniżką jest, a jakże, ograniczona, co jest standardowym zabiegiem: chodzi o to, aby namówić do klikania w pośpiechu i zminimalizować ryzyko wykrycia scamu.

Na taką ofertę mogłyby się skusić zarówno te osoby, które już i tak planują urlop, jak i takie, które o nim wcześniej nie myślały - w końcu wygląda to jak nie lada gratka! Niestety w praktyce jeśli coś wydaje się zbyt dobre, żeby było prawdziwe, to zwykle właśnie takie jest. Oszuści czyhają na każdym kroku.

Czytaj też: Diety zagraniczne - kiedy przysługują i jak je rozliczyć?

Przede wszystkim w każdym przypadku, gdy widzimy atrakcyjną ofertę, należy zachować wzmożoną czujność i zweryfikować informację oficjalnymi kanałami, czyli poprzez np. telefon na infolinię. Co przy tym istotne, numer należy znaleźć na własną rękę na stronie firmy i upewnić się, że to oficjalna witryna.

Co przy tym ciekawe, wspomniane oszustwo „na Ryanaira” pojawia się wyłącznie na smartfonach - zapewne dlatego, że przeglądarki mobilne często ukrywają pasek adresu, po którym można się zorientować, że to nie jest oficjalna strona linii lotniczej. Po wejściu z komputera wyświetlane są zupełnie inne komunikaty.

Michał Rosiak z Orange, który zwrócił uwagę na ten konkretny scam, jak na razie nie natknął się na inny wymierzony konkretnie w tegorocznych wczasowiczów. Oczywiście to wcale nie oznacza, że z czasem nie pojawią się oszustwa tego typu, w których atakujący będzie nęcił np. atrakcyjną ceną noclegu.

Lokum warto zresztą rezerwować poprzez renomowanego pośrednika. Przy kontakcie bezpośrednim z właścicielem należy uważać na wszelkie podejrzane prośby o np. podanie kodu z wiadomości SMS w celu „weryfikacji”, podanie kodu BLIK, numeru PESEL, danych karty, danych osobowych takich jak np. panieńskie nazwisko matki itp.

Istnieje ryzyko, że kartę zgubimy lub ktoś ją ukradnie bądź sklonuje, co może narobić sporych problemów w przyszłości. Michał Rosiak uważa, że warto włączyć na wszystkich swoich kartach płatniczych zabezpieczenie 3D Secure, jeśli takowe nie jest jeszcze aktywne. Utrudni to kradzież środków.

Nigdy nie powinno się też lekceważyć wiadomości SMS z informacją, że ktoś np. zleca właśnie przelew w naszym imieniu. W przypadku, gdy coś zaczyna się dziać, należy zachować jednak zimną krew i nie klikać w żaden link ani nie wybierać numeru podanego w SMS-ie. Taką wiadomość mógł spreparować cyberprzestępca!

Usługi takie jak np. Revolut pozwalają z kolei wygenerować karty przedpłacone, które trzeba doładować, aby ich używać; nikt oszczędności z nich nie ukradnie, a karty płatnicze można wtedy zostawić w domu lub hotelowym sejfie. W banku można mieć wiele subkont i oszczędności trzymać na tym, które nie ma podpiętej karty.

A co ekspert z Orange ma do powiedzenia nt. usług takich jak Apple Pay? Określa je jako bezpieczniejsze niż karty. Wynika to z faktu, że przy transakcji generowany jest token i nie da się sklonować wirtualnej karty do płatności NFC z telefonu metodami, które służą do klonowania klasycznych kart płatniczych.

Używanie banknotów i bilonu na wakacjach eliminuje ryzyko związane z kartami płatniczymi. Gotówkę można jednak zgubić, a ktoś może nam ją również ukraść, więc lepiej nie nosić jej za wiele przy sobie. Do tego czasem nie da się bez niej obejść, bo np. nie ma możliwości zapłacenia w danym miejscu kartą. Wtedy trzeba skorzystać z bankomatu.

Po podejściu do maszyny (najlepiej w uczęszczanym miejscu!) warto nieco nią potrząść, aby sprawdzić, czy ktoś nie przytwierdził nakładki skanującej kartę i przechwytującej PIN. Warto też zasłonić klawiaturę podczas wpisywania kodu. Dobrym pomysłem jest wypłacanie gotówki z użyciem jednorazowego kodu BLIK.

Co do zasady, jeśli nie musimy korzystać z cudzego Wi-Fi, to lepiej tego nie robić, zwłaszcza jeśli to sieć bez hasła. Zawsze istnieje ryzyko, że ktoś będzie próbował dobrać się do danych lub postawi swój router udający ten w np. knajpie. Warto zadbać o to, żeby mieć na wczasach cały czas internet mobilny.

W kraju możemy korzystać z podstawowego lub promocyjnego pakietu, a operatorzy zwykle dorzucają paczkę danych do wykorzystania na terenie Unii Europejskiej (roam like at home). Schody zaczynają się przy podróżach poza teren Wspólnoty, gdzie internet poza pakietem bywa bardzo drogi.

Sam korzystam z Orange Flex i często kupuję pakiety roamingowe przed podróżami za granicę - zarówno tymi prywatnymi, jak i służbowymi. Można skorzystać również z usług takich jak Gigsky i Airalo, które pozwalają wygenerować kartę eSIM z transferem danych lub kupić na miejscu starter prepaid lokalnej sieci.

Mimo to Michał Rosiak przekonuje, że podczas zwykłego przeglądania internetu i np. sprawdzania wskazówek dojazdu na lotniskowym Wi-Fi nie powinno się stać nic złego, jednak na czas takich operacji jak zlecanie przelewów i w chwili logowania się lepiej przełączyć się na LTE albo 5G. Tak dla świętego spokoju.

Istnieje możliwość, że po drugiej stronie kabla do ładowania w miejscu publicznym pojawi się zmodyfikowana ładowarka służąca do wykradania danych. Jak się przed tym chronić? Przydatny będzie powerbank, który można naładować zamiast telefonu (no i czasem całkiem eliminuje on konieczność ładowania z gniazdka).

Dobrym trickiem podczas używania publicznej ładowarki jest podłączenie do gniazda USB kabla bez opcji transferu danych. Jeśli ktoś go nie ma lub korzysta z cudzego kabla, przed potencjalnym atakiem może ochronić go system operacyjny. Lepiej nie klikaj w takiej sytuacji przycisków typu „zaufaj temu urządzeniu”!

Często jesteśmy zachęcani do skanowania kodów QR, aby zobaczyć aktualny rozkład jazdy, menu w restauracji itd. Warto jednak uważać, gdyż tego typu kody oszuści mogą łatwo zastąpić swoimi za pomocą naklejki i wykorzystać do ataku. O zeskanowanie takowego kodu może też poprosić ktoś, kto udaje np. wolontariusza.

Podsunięty przez oszusta kod może służyć do… parowania aplikacji Wiadomości w telefonie z Androidem z aplikacją na komputerze. Cyberprzestępca może potem przechwycić np. kody SMS służące do dwuetapowej weryfikacji, a tym samym ukraść profile w mediach społecznościowych i pieniądze z banku.

Zdjęcia też można wrzucić równie dobrze po powrocie! Jeśli ktoś powiąże informacje o urlopie z miejscem zamieszkania dostaje na tacy informację o tym, że mieszkanie stoi puste i nikt go nie pilnuje. Co prawda w Polsce włamywacze na szeroką skalę z tego nie korzystają, ale lepiej im nie ułatwiać „roboty”.

Jeśli jednak koniecznie chcesz się podzielić informacją o wyjeździe, to sprawdź dobrze swoje ustawienia prywatności w mediach społecznościowych. Pamiętaj przy tym jednak, że cyberprzestępca może przejąć konto znajomego, a tym samym uzyska dostęp do twoich prywatnych zdjęć.

Istnieje ryzyko, że podczas urlopu telefon się zgubi lub zniszczy albo ktoś go ukradnie. No i tak jak sporo danych zgromadzonych na nim da się odzyskać po zakupie nowego (aplikacje, muzykę itp.), tak zdjęcia z wyjazdu są bezcenne. Na szczęście z pomocą przychodzi tutaj chmura.

Przed wyjazdem warto włączyć opcję tworzenia kopii zapasowej zdjęć, najlepiej z użyciem sieci komórkowej. Dzięki temu wykonywane fotografie będą z czasem wysyłane na serwer, co pozwoli przynajmniej część z nich odzyskać po stracie lub zniszczeniu telefonu, którym je wykonano.

Próby wyłudzenia pieniędzy po przejęciu konta w serwisie społecznościowym nie są niczym nowym. Wiadomości z prośbą o pożyczkę powinno się z automatu traktować podejrzliwie. Czasem jednak może się zdarzyć, że znajdziemy się w kryzysowej sytuacji i potrzebujemy szybko pieniędzy. Jak udowodnić, że my to my?

Warto się uwiarygodnić poprzez powiedzenie rozmówcy o czymś, o czym osoba przejmująca konto nie miałaby prawa wiedzieć. No i nigdy nie proś nikogo w takiej sytuacji o kod BLIK lub przelew na numer telefonu! Już lepszy będzie np. przelew na konto, które znajomy zna lub może odszukać w historii przelewów.

Michał Rosiak uważa przy tym, że skuteczną (na dziś…) metodą weryfikacji jest wykonanie połączenia, najlepiej wideo lub przynajmniej telefonicznego. Niestety rozwój technologii deep fake może tutaj sporo namieszać. Warto już dziś umówić się z bliskimi na jakieś słowo-klucz, którym potwierdzimy tożsamość!