Prowadzisz lub chcesz prowadzić sklep internetowy? Te proste zasady pomogą Ci zabezpieczyć dane i finanse przed oszustami

Mówiąc o oszustwach internetowych w e-commerce, najczęściej na myśl przychodzą zagrożenia czekające na kupujących. Wielu użytkowników sieci spotkało się z próbami wyłudzenia danych lub pieniędzy poprzez fałszywe transakcje – jest to temat często podejmowany przez media. Ale czy świadomość zagrożeń dotyczących sprzedawców jest równie wysoka?

Ataki na sprzedających są trudne do zweryfikowania i zatrzymania. Platformy sprzedażowe, analitycy cyberbezpieczeństwa i organy ścigania często polegają na zgłoszeniach samych poszkodowanych, co sprawia, że skala tego zjawiska może być większa, niż się wydaje. Tymczasem coraz częściej to właśnie sprzedawcy stają się celem oszustów. Dlaczego? Według Cisco Talos na ten stan rzeczy wpływają 3 istotne czynniki:

• Sprzedawcy często dysponują znacznymi środkami na koncie – regularnie otrzymują wpłaty za sprzedawane produkty, co czyni ich atrakcyjnym celem.
• Oszust może śledzić publiczne ogłoszenia – obserwuje, gdy sprzedający oferują drogie przedmioty i śledzi moment ich zakupu, co pozwala mu przewidzieć wpływ większej sumy na konto sprzedawcy.
• Sprzedawcy są przyzwyczajeni do „oficjalnych” komunikatów o weryfikacji konta – wiele platform wysyła powiadomienia o konieczności potwierdzenia tożsamości. Oszuści mogą to wykorzystać, podszywając się pod platformę i wyłudzić dane dostępowe.

Nowy atak ransomware Interlock – celem duże firmy i ich dane

Jak nie dać się oszukać?

Eksperci ds. cyberbezpieczeństwa z Cisco Talos przeanalizowali najnowsze metody stosowane przez oszustów i podpowiadają, jak skutecznie się przed nimi chronić. Oto najczęściej spotykane zagrożenia, które czyhają na sprzedawców w Internecie:

Oszustwo przez wiadomości prywatne

Wygląda jak zwykłe zapytanie o produkt, ale to pułapka. Oszust może podszywać się pod zainteresowanego kupującego, a w rzeczywistości próbować wyłudzić dane bankowe lub informacje o karcie kredytowej. Jak się zabezpieczyć?

Nigdy nie należy podawać wrażliwych danych w wiadomościach prywatnych. Jeśli coś wydaje się podejrzane – warto zgłosić użytkownika do administratora platformy.

Przejęcie konta sprzedawcy

Posługując się skradzionymi lub pozyskanymi na drodze phishingu danymi logowania oszuści mogą przejąć konto sprzedawcy i manipulować ofertami czy zmieniać ustawienia wypłat, a nawet kontaktować się z klientami. Jak się zabezpieczyć?

Eksperci Cisco Talos nieprzerwanie przypominają o konieczności implementacji uwierzytelniania wieloskładnikowego (MFA). Posiadając to zabezpieczenie, nawet w sytuacji utraty hasła, oszust nie będzie w stanie zalogować się bez dodatkowego kodu weryfikacyjnego.

Fałszywa weryfikacja konta

„Twoje konto wymaga natychmiastowej weryfikacji” – po otrzymaniu wiadomości o tej treści należy zachować wzmożoną czujność. Oszuści często podszywają się pod działy obsługi klienta platform sprzedażowych i wysyłają fałszywe linki do rzekomej „weryfikacji”. W rzeczywistości przekierowują na stronę kontrolowaną przez przestępców, gdzie dane logowania i informacje finansowe mogą ulec kompromitacji. Jak się zabezpieczyć?

Zawsze należy weryfikować takie wiadomości, kontaktując się bezpośrednio z oficjalnym działem wsparcia platformy inną metodą niż informacja jaką otrzymaliśmy. Dane kontaktowe są dostępne zawsze na oficjalnej stronie danej platformy.

Oszustwo na zmianę adresu dostawy

Zdarza się, że po finalizacji sprzedaży klient prosi o zmianę adresu dostawy. Choć taka sytuacja nie jest niczym niezwykłym, bywa również wykorzystywana przez oszustów. Liczą oni na to, że sprzedawca prześle towar na ich adres zamiast do rzeczywistego nabywcy. Jak się zabezpieczyć?

Zmiany adresu dostawy powinniśmy dokonywać wyłącznie przez oficjalną platformę sprzedażową. Można również skontaktować się z obsługą, by potwierdzić, czy wszystko jest w porządku.

Omijanie platformy płatniczej

Portale społecznościowe, takie jak Reddit czy Facebook Marketplace, stały się popularnym miejscem sprzedaży. W niektórych krajach oszuści często próbują nakłonić kupujących do skorzystania z opcji płatności „przyjaciele i rodzina” w systemach takich jak PayPal, Zelle czy Venmo. Tego typu przelew traktowany jest jak darowizna – nie obejmuje ochrony kupujących. Jeśli sprzedawca okaże się oszustem, pieniądze przepadną, bez możliwości odzyskania ich przez platformę płatniczą. Jak się zabezpieczyć?

Choć w Polsce opcja płatności „przyjaciele i rodzina” nie jest jeszcze powszechnie dostępna warto pamiętać, że tylko portale z pełną ochroną transakcji są bezpieczne dla obu stron. Wszelkie próby omijania tradycyjnego procesu sprzedaży powinny być dla nas alarmujące.

Sprzedaż online może być bezpieczna, jeśli wiemy, na co zwrócić szczególną uwagę. Choć internetowe transakcje oferują ogromne możliwości, to niestety również stanowią pole do działania oszustów, którzy potrafią skutecznie manipulować sprzedawcami. Aby uniknąć nieprzyjemnych sytuacji – warto stosować tych kilka zasad, aby chronić swoje dane i finanse.

Wyciek danych po ataku cybernetycznym na EuroCert – Ministerstwo Cyfryzacji ma zalecenia

Cisco Talos ostrzega przed nową kampanią cyberprzestępczą wymierzoną w polskich użytkowników

Badacze z Cisco Talos odkryli nową kampanię cyberprzestępczą, aktywną od lipca 2024 roku na terenie Polski oraz Niemiec. Cyberprzestępcy podszywają się pod zaufane instytucje i firmy, które działają w sektorach finansowym, produkcyjnym i logistycznym, wykorzystując phishingowe wiadomości e-mail, które wyglądają jak autentyczne potwierdzenia zamówień lub przelewów finansowych. Te pozornie nieszkodliwe wiadomości skrywają jednak złośliwe załączniki, prowadzące do infekcji urządzeń.

Diagram przedstawiający schemat ataku. Źródło: Cisco Talos

Analiza przeprowadzona przez Cisco Talos wykazuje, że główną motywacją stojącą za działaniami atakujących są korzyści finansowe. Istnieje prawdopodobieństwo, że ataki zostały starannie zaplanowane, a ich skala może wykraczać poza pierwotnie zaatakowane regiony, co sugerują również odnotowane przypadki wiadomości w języku angielskim.

Pierwszym krokiem w ataku jest wysyłka phishingowych wiadomości e-mail, które wzbudzają zaufanie ofiar dzięki dopracowanemu wyglądowi i treści. Wiadomości te są pisane w języku polskim oraz niemieckim, co wyraźnie wskazuje na geograficzny cel kampanii. W załącznikach tych wiadomości znajdowały się pliki o rozszerzeniu „.tgz”, będące skompresowanymi archiwami TAR, które ukrywają złośliwe oprogramowanie. Kompresja przy użyciu GZIP ma na celu ominięcie systemów bezpieczeństwa stosowanych w poczcie e-mail.

Gdy odbiorca otwiera załącznik, uruchamiany jest plik wykonywalny .NET, pełniący rolę tzw. „loadera”. Ten niewielki program, po uruchomieniu, łączy się z serwerem kontrolowanym przez atakujących, skąd pobiera właściwe złośliwe oprogramowanie – w tym przypadku jest to PureCrypter. Cechą charakterystyczną tego złośliwego narzędzia jest fakt, że działa wyłącznie w pamięci operacyjnej urządzenia ofiary, co znacząco utrudnia jego wykrycie przez tradycyjne programy antywirusowe.

PureCrypter odgrywa kluczową rolę w tym ataku, ponieważ odpowiada za uruchamianie kolejnego etapu złośliwego kodu, którym jest zaawansowany backdoor nazwany przez Cisco Talos – TorNet. TorNet umożliwia cyberprzestępcom pełną kontrolę nad zainfekowanym urządzeniem, pozwalając im na przesyłanie, uruchamianie i modyfikowanie kolejnych plików. Dodatkowo, TorNet integruje się z anonimową siecią TOR, co utrudnia jego wykrycie i śledzenie działań przestępców.

Przykład wiadomości e-mail – pułapki. Źródło: Cisco Talos

Złośliwe oprogramowanie PureCrypter zostało zaprojektowane tak, aby działało w ukryciu. Po uruchomieniu na komputerze ofiary, wykorzystuje różnorodne techniki utrudniające wykrywanie i analizę. Oprogramowanie to przeprowadza m.in. testy sprawdzające obecność środowisk sandboxowych czy oprogramowania do analizy złośliwego kodu. W przypadku wykrycia takich mechanizmów, PureCrypter może zmodyfikować swoje działanie lub całkowicie zakończyć proces, aby uniknąć zidentyfikowania.

Po przejściu testów unikania wykrycia, PureCrypter uruchamia złośliwy kod, który zrzuca do pamięci urządzenia ofiary. Następnie kod ten instaluje backdoor TorNet, który otwiera szerokie możliwości dalszych działań przestępców. Dzięki wbudowanym funkcjom, TorNet pozwala na dynamiczne uruchamianie dodatkowego złośliwego kodu oraz kontrolowanie zainfekowanego systemu w czasie rzeczywistym.

Aby zwiększyć trwałość infekcji, PureCrypter modyfikuje kluczowe ustawienia systemowe, takie jak rejestr Windows, i tworzy zadania w Harmonogramie Zadań, które regularnie uruchamiają złośliwy loader. Zastosowano również technikę uruchamiania zaplanowanego zadania w systemie Windows, nawet przy niskim poziomie naładowania baterii w urządzeniu ofiary, aby zapewnić nieprzerwaną infekcję.

Atak, który zespół Cisco Talos odkrył, jest kolejnym dowodem na coraz bardziej zaawansowane metody działania cyberprzestępców. Kampania ta pokazuje, jak ważne jest zachowanie ostrożności w kontaktach e-mailowych, szczególnie w przypadku wiadomości dotyczących finansów. Warto pamiętać, aby nigdy nie otwierać podejrzanych załączników i zawsze dokładnie weryfikować nadawcę wiadomości. Działania takie mogą pomóc w uniknięciu poważnych konsekwencji związanych z atakiem tego typu.

Cisco Talos apeluje o zwiększenie czujności, aby ograniczyć skutki tej kampanii oraz przeciwdziałać kolejnym próbom ataków. Regularne aktualizacje systemów oraz korzystanie z zaawansowanych narzędzi ochrony mogą znacząco podnieść poziom bezpieczeństwa w sieci.