Poliţia Română, împreună cu Europol şi Federaţia Europeană a Băncilor lansează o campanie de prevenire a celor mai întâlnite 7 tipuri de fraude în mediul online.
Timp de o săptămână, Poliţia Română împreună cu Centrul European Cybercrime din cadrul EUROPOL, agenţiile de aplicare a legii din Statele Membre ale Uniunii Europene, cărora li se alătură alte 5 state non-membre, 24 de asociaţii bancare naţionale şi alţi actori implicaţi în lupta împotriva criminalităţii informatice vor acţiona pentru creşterea gradului de conştientizare cu privire la acest fenomen infracţional.
Campania se desfăşoară, în perioada 17-23 octombrie a.c., în cadrul European Cyber Security Month – Luna Europeană a Securităţii Cibernetice, serie de manifestări care se derulează anual în luna octombrie, având la bază o campanie de comunicare derulată pe reţelele sociale.
Internetul a devenit foarte atractiv pentru infractorii cibernetici. Autorii folosesc metode ingenioase şi promisiuni, cu scopul de a obţine bani sau informaţii financiare valoroase de la potenţialele victime. „Scrisorile nigeriene” nu mai sunt de mult timp singurele tipuri de fraude în mediul online. Tacticile folosite de infractorii informatici sunt din ce în ce mai inovative şi greu de detectat. Începând cu însuşirea nelegală a calităţii de manager al unei companii, până la punerea în scenă a unor false relaţii de dragoste, autorii de astăzi fac tot ce pot să obţină ceea ce vor – banii şi/sau datele dumneavoastră.
Aşa cum a fost menţionat în Raportul EUROPOL- Internet Organised Crime Threat Assessment (IOCTA) 2018, acţiunile de tip social-engineering continuă să se dezvolte, devenind motorul principal al criminalităţii pe internet, iar phishing-ul este cea mai frecventă formă.
Infractorii utilizează tehnicile de social-engineering pentru a atinge mai multe scopuri: obţinerea datelor personale, piratarea conturilor, furtul identităţii, iniţierea unor plăţi ilicite în numele victimelor, ori să convingă victima să facă orice tip de activităţi împotriva propriului interes, precum transfer de bani ori divulgare de date. Un singur click, în astfel de situaţii, poate compromite o întreagă organizaţie.
Conform recomandărilor unui raport elaborat de EUROPOL, cea mai eficientă metodă de apărare împotriva ameninţărilor de tip social-engineering este reprezentată de educaţia potenţialelor victime, care, în cazul de faţă, pot fi reprezentate de toţi cei care accesează internetul.
Creşterea gradului de informare şi conştientizare a publicului general cu privire la modalităţile de identificare a comportamentelor şi tehnicilor deluzorii va conduce la o siguranţă ridicată în mediul online, atât pentru beneficiari, cât şi pentru patrimoniul acestora.
Materialele de promovare, elaborate pentru această campanie, includ informaţii şi recomandări cu privire la cele mai întâlnite 7 tipuri de fraude în mediul online şi cum pot fi acestea evitate:
o Frauda Mesaj de la şef - CEO fraud vizează angajaţii autorizaţi să efectueze plăţi. Autorul sună sau trimite un e-mail, pretinzând că este unul dintre managerii companiei şi îi determină să plătească o factură falsă ori să efectueze un transfer din contul firmei.
Recomandări
a) pentru angajatori:
- fiţi conştienţi de riscuri şi asiguraţi-vă că angajaţii sunt informaţi şi conştienţi;
- încurajaţi-vă angajaţii să proceseze cererile de plată cu prudenţă;
- implementaţi protocoale interne privind plăţile;
- puneţi în aplicare o procedură pentru a verifica legitimitatea cererilor de plată primite prin e-mail;
• actualizaţi securitatea tehnică.
b) pentru angajaţi:
• aplicaţi în mod strict procedurile de securitate pentru plăţi şi achiziţii publice. Nu trebuie omisă nicio etapă!
- verificaţi întotdeauna cu atenţie adresele de e-mail atunci când gestionaţi informaţii sensibile/transferuri de bani. Fraudatorii folosesc adesea e-mailuri de tip copycat, unde un singur caracter diferă de original;
- dacă aveţi îndoieli cu privire la un ordin de transfer, e de preferat să consultaţi un coleg competent, chiar dacă vi s-a solicitat discreţia;
- nu deschideţi niciodată link-uri sau ataşamente suspecte primite prin e-mail. Trebuie acordată o atenţie deosebită când se verifică email-urile personale pe computerele companiei;
- restricţionaţi informaţiile şi acţionaţi cu prudenţă în ceea ce priveşte mediile sociale;
•
- dacă primiţi un email sau un apel suspect, trebuie întotdeauna să informaţi departamentul IT.
o Frauda cu facturi - Invoice fraud are loc atunci când o firmă este contactată de cineva care pretinde că este reprezentantul legitim al unui furnizor de bunuri şi/sau servicii. Angajaţii care au atribuţii de efectuare a plăţilor sunt determinaţi să plătească, pe viitor, facturi false în conturile autorilor.
o
a. pentru angajatori:
- asiguraţi-vă că angajaţii sunt informaţi şi conştienţi de acest tip de fraudă şi de modul de evitare a acestuia;
•
- instruiţi personalul responsabil cu plata facturilor, pentru a le verifica întotdeauna pentru orice nereguli;
- revizuiţi informaţiile publicate pe site-ul companiei, în special contracte şi furnizori. Acordaţi, cu stricteţe, asistenţă personalului pentru a limita ceea ce împărtăşesc despre companie şi despre locul de muncă pe conturile personale de social- media;
- întotdeauna contactaţi poliţia în cazul încercărilor de fraudă, chiar dacă nu aţi căzut victimă înşelătoriei!
b. pentru angajaţi:
- verificaţi toate cererile care se pretind a fi de la creditorii dumneavoastră, mai ales dacă vă cer să modificaţi detaliile bancare pentru facturile ulterioare;
- nu utilizaţi detaliile de contact din scrisoarea/faxul/e-mailul care solicită modificarea sau verificarea. Utilizaţi-le, în schimb, pe acelea din corespondenţa anterioară;
- creaţi puncte de contact unice desemnate cu companii cărora le efectuaţi plăţi regulate;
- pentru plăţile care depăşesc un anumit prag, instituiţi un sistem dedicat pentru a confirma contul bancar şi destinatarul corect (de exemplu o întâlnire cu compania);
- când se plăteşte o factură, trimiteţi un e-mail pentru a informa destinatarul. Includeţi numele băncii beneficiare şi ultimele patru cifre ale contului, pentru a vă asigura securitatea;
- restricţionaţi informaţiile pe care le împărtăşiţi despre angajator pe mediile sociale;
- raportaţi încercările de fraudă adresate conducerii sau departamentului.
o Phishing/Smishing/Vishing. Acest tip de fraudă are loc atunci când autorii apelează telefonic victima, îi trimit un mesaj text (SMS) ori un e-mail prin care o induc în eroare, astfel încât aceasta să divulge date personale, financiare ori de securitate.
Recomandări în cazul unui phishing:
- actualizaţi software-ul, inclusiv browserul, antivirusul şi sistemul de operare;
- orice e-mail trebuie verificat cu atenţie, îndeosebi în ceea ce priveşte neconcordanţele şi orice nu are sens;
- pot exista mici diferenţe în adresa expeditorului: un zero ar putea să arate ca litera „o”;
•
- nu răspundeţi la un e-mail suspect, sau trimiteţi-l la bancă, introducând din nou adresa;
- nu daţi click pe link şi nu descărcaţi fişierul ataşat! Recomandabil ar fi să fie tastată adresa din browser.
Recomandări în cazul unui vishing:
• evitaţi apelurile telefonice nesolicitate;
- pentru a vă valida identitatea, căutaţi numărul de telefon al organizaţiei (pe site-ul web sau efectuând o căutare online) şi contactaţi-i direct.
- nu validaţi apelantul utilizând numărul de telefon deja comunicat (acesta ar putea fi un număr fals sau falsificat).
- fraudatorii pot găsi informaţii de bază online despre dumneavostră sau despre afacerea dumneavoastră (de exemplu, profiluri social-media). Nu presupuneţi că un apelant este autentic doar pentru că are astfel de detalii;
- nu permiteţi partajarea numărului PIN al cardului de credit sau de debit sau a parolei bancare online. Instituţia bancară nu va cere niciodată astfel de detalii;
- Nu trebuie transferaţi bani în alt cont, la solicitarea acestora. Banca nu va cere niciodată să faceţi acest lucru.
Recomandări în cazul unui smishing:
- nu daţi click pe link-uri, ataşamente sau imagini primite în mesaje text nesolicitate, fără a verifica mai întâi expeditorul. Acest lucru poate fi făcut căutând numărul online, sau comparându-l cu numărul oficial al expeditorului de la care pretinde că provine;
- nu răspundeţi niciodată la un mesaj text care solicită codul PIN/ parola bancară online sau orice alte acreditări de securitate;
- dacă, totuşi, aţi răspuns la un text tip smishing, prin furnizarea detaliilor bancare, contactaţi imediat banca.
o Website-uri bancare contrafăcute - Spoofed bank website fraud.
În acest caz, autorii folosesc mesaje de tip phishing, cu link-uri către site-uri bancare false. Odată ce este accesat link-ul, prin metode diverse, se colectează ilegal datele personale şi/sau bancare. Site-ul contrafăcut va arăta precum cel legitim pe care îl imită, cu foarte mici diferenţe, deseori greu sesizabile.
Recomandări:
- nu daţi click pe link-urile incluse în e-mailurile care duc la site-ul băncii;
- introduceţi întotdeauna, manual, linkul sau utilizaţi o legătură existentă din lista „preferate”;
- utilizaţi un browser care permite blocarea ferestrele de tip pop-up.
o Iubire prefăcută - Romance scam. Aceasta este situaţia în care autorii pretind că sunt îndrăgostiţi şi îşi doresc o relaţie cu potenţiala victimă. Deşi debutează pe site-uri de întâlniri, sunt folosite conturi false de e-mail sau de pe reţelele sociale, pentru menţinerea contactului, câştigarea şi exploatarea încrederii.
o
- atenţie la cât de multe informaţii personale împărtăşiţi pe site-urile de socializare şi matrimoniale!
- întotdeauna luaţi în considerare riscurile. Escrocii sunt prezenţi pe cele mai renumite site-uri;
- verificaţi fotografia şi profilul persoanei, utilizând căutări online, pentru a vedea dacă materialul a fost utilizat în altă parte;
- fiţi atenţi la greşelile de ortografie şi gramatică, la inconsecvenţe în poveştile şi scuzele lor, cum ar fi faptul că webcam-ul lor nu funcţionează niciodată;
- nu trebuie împărtăşite fotografii personale, videoclipuri sau materiale compromiţătoare, pe care escrocii le-ar putea folosi, ulterior, sub forma unui şantaj;
- atenţie la solicitările unor sume de bani! Nu trebuie să trimiteţi niciodată bani sau să oferiţi detalii despre cartea de credit, contul online sau copii ale documentelor personale importante!
- nu transferaţi bani altcuiva: spălarea banilor este o infracţiune!
Dacă totuşi sunteţi victima unei ,,romance scam” :
- nu vă simţiţi jenat, această înşelătorie se întâmplă mai des decât vă puteţi imagina;
- opriţi imediat orice contact cu persoana în cauză;
- dacă este posibil, păstraţi toate comunicările (cum ar fi mesajele de tip chat) şi orice dovezi care ar putea ajuta la identificarea făptuitorului;
- raportaţi de îndată site-ului în care scammerul v-a abordat mai întâi;
- dacă detaliile contului au fost furnizate unui scammer, trebuie contactată imediat banca sau instituţia financiară.
o Furtul de date personale - Personal data theft: autorii colectează nelegitim datele personale de pe reţele de socializare (ex: Facebook, Twitter, Linkedin). Datele victimei pot fi vândute altor infractori sau folosite pentru accesarea conturilor bancare, contractarea împrumuturilor ori pentru derularea unor afaceri ilegale în numele victimei.
Recomandări:
- puteţi verifica informaţiile despre un cont social-media prin accesarea directă a site-ului, nu accesând un link care susţine că vă va duce direct acolo;
- atenţie la cantitatea de informaţii şi imagini partajate pe site-urile de social-media. Autorii le pot folosi pentru a crea o identitate falsă, sau pentru a vă face ţinta unei fraude;
- trebuie examinate setările de confidenţialitate şi securitate pe fiecare cont social-media;
- efectuaţi cercetările online. Căutaţi numele produsului sau oferta de locuri de muncă, pentru a vedea ce spun ceilalţi. Puteţi să o combinaţi cu cuvinte precum "recenzie", "plângere" sau "înşelătorie";
- profilurile suspectate a fi înşelătorii trebuie raportate platformei social-medi;
- periodic, trebuie monitorizate extrasurile de cont de card de credit/debit. Dacă sunteţi taxat pentru ceva ce nu aţi comandat, contactaţi banca şi furnizorul cardului.
o Fraude cu investiţii şi cumpărături online - Investment and online shopping scams: Autorii oferă ,,oportunitaţi speciale” de investiţii, cu profituri rapide, sau prezintă ,,oferte-bombă” în mediul online.
o
- verificaţi recenziile înainte de a cumpăra un produs;
- folosiţi carduri de credit - aveţi mai multe şanse de a vi se returna banii;
- plătiţi numai prin utilizarea unui serviciu de plată sigur;
- plătiţi numai atunci când sunteţi conectat la o conexiune securizată la internet - evitaţi utilizarea reţelelor Wi-Fi publice gratuite sau deschise;
- plătiţi numai de pe un dispozitiv sigur. Păstraţi actualizarea sistemului de operare şi a software-ului de securitate;
- feriţi-vă de anunţurile care au oferte prea bune pentru a fi adevărate!
- vă apare un anunţ de tip pop-up care atestă că aţi câştigat un premiu? Gândiţi-vă de două ori, aţi putea ,,câştiga” un malware;
- dacă nu primiţi produsul, contactaţi vânzătorul. Dacă nu există un răspuns, contactaţi banca!
Întotdeauna sesizaţi autorităţilor fraudele sau tentativele de fraudă!
Luna Europeană a Securităţii Cibernetice - The European Cyber Security Month (ECMS) este o campanie de conştientizare a Uniunii Europene care promovează securitatea în mediul online în rândul beneficiarilor persoane fizice şi companii, evidenţiind câteva măsuri simple pe care fiecare persoană le poate lua pentru a-şi proteja datele personale, financiare şi profesionale.
Mai multe informaţii despre cum vă puteţi proteja găsiţi pe pagina web:
https://www.europol.europa.eu/report-a-crime/report-cybercrime-online