Oszustwo na Netflixa wciąż zbiera swoje żniwo. To jedna z metod, za pomocą której złodzieje wyłudzają od ludzi dane osobowe, w tym na przykład numery kart płatniczych. Taki przypadek trafił się również w mojej rodzinie i kosztował ją utratę dobrych kilku tysięcy złotych. Niestety to, jak w tej sprawie reaguje policja, woła o pomstę do nieba.
Oszustwo na Netflixa
Opisywany przeze mnie przypadek to klasyka phishingowego gatunku. Na adres mailowy przychodzi wiadomość od nadawcy podpisanego jako „Netflix”, mówiąca iż „nie udało nam się autoryzować płatności za kolejny cykl rozliczeniowy abonamentu, dlatego zawiesiliśmy Twoje członkowstwo”. I dalej instrukcja, by kliknąć w przycisk „ZRESTARTOWAĆ CZŁONKOWSTWO”, by zaktualizować dane i kontynuować oglądanie. Kolejny krok to podanie numeru karty płatniczej… i złodziej może już spokojnie czyścić konto oszukanej osoby. Nie minęło parę dni i ktoś na Półwyspie Iberyjskim zaczął z radością wydawać parę tysięcy złotych zarobionych na oszustwie.
Oszukani członkowie mojej rodziny oczywiście zgłosili sprawę na policję. Na komendzie przyjęto zgłoszenie i poinformowano ich, że „to już któreś w ciągu paru dni”. I na tym sprawa się zakończyła. Policjant nie czuł potrzeby zobaczenia o jaki mail chodzi, z jakiego adresu IP został wysłany i skąd były dokonane operacje na koncie bankowym w trakcie opróżniania go z pieniędzy. Jedynie ogólnikowe „zajmiemy się sprawą” i po wszystkim. Oczywiście – wiara w odzyskanie pieniędzy od początku była u moich bliskich praktycznie zerowa, ale po wizycie na komendzie okazało się, że nie ma szans nawet na iluzoryczną nadzieję. Jedyne co pozostaje, to samodzielna ochrona przed phishingiem.
Zalegalizowana bezkarność
Niestety złodzieje wykorzystujący tę metodę mają obecnie żniwa. A wszystko choćby za sprawą tego, że platforma próbuje wyegzekwować zakaz współdzielenia konta na Netflix. A wiąże się to z weryfikacją konta na Netflix, za pomocą SMS-a bądź maila. W związku z tym wiele osób może stracić czujność, widząc że przychodzi wiadomość od platformy, wyglądająca dość wiarygodnie (choć w opisywanym przeze mnie przypadku na dole wiadomości autor stracił umiejętność pisania po polsku, pisząc na przykład „ten adres została wysłana”), choć odnosząca się do zupełnie innej kwestii, czyli sfery płatności za użytkowanie. Sam nie wiem jak bym zareagował widząc taką wiadomość. Niestety coraz częściej reagujemy na takie sygnały automatycznie, nie zastanawiając się czy nie jest to czasem phishing. Po przypadku w mojej rodzinie na pewno zastanowię się podwójnie.
Tym bardziej, że w tej kwestii absolutnie nie można liczyć na państwowe służby. Policja już tak bardzo nie chce stwarzać nawet pozorów pracy nad tego typu oszustami, że ostentacyjnie ignoruje potrzebę zebrania chociaż materiału dowodowego. A przecież phishingowy mail takim materiałem właśnie jest. Zdaję sobie oczywiście sprawę, że internetowi oszuści potrafią zatrzeć po sobie ślady tak, że ich wykrycie będzie graniczyło z cudem. Nie mówiąc już o jakiejkolwiek szansie na odzyskanie pieniędzy. Ale nie może być tak, że policja kapituluje już przyjmując zgłoszenie o takiej sprawie. W końcu już ponad połowa Polaków zetknęła się z tego typu przestępstwem. Skoro więc jest tak powszechne i często potrafi doprowadzić całe rodziny do ruiny, to czy ich wykrywanie nie powinno być jednak priorytetem?
To, co popularne, chętnie jest wykorzystywane przez cyberprzestępców. W tym przypadku wykorzystana została popularność Netflixa, wcześniej były np. masowe kampanie phishingowe o zmianach wynikających z RODO. Na dokładnie tych samych zasadach atakowane są firmy – infekcja złośliwym oprogramowaniem lub wyłudzenie poświadczeń domenowych stanowi bardzo często inicjalny krok w procesie ataku na daną organizację. Mimo że chętnie korzystamy z nowych technologii, wciąż nie jesteśmy świadomi zagrożeń, jakie za sobą niosą. Dlatego szczególnie ważne jest minimalizowanie ryzyka np. poprzez wdrażanie dodatkowych mechanizmów bezpieczeństwa, procedur lub transferu ryzyka na firmę ubezpieczeniową – z odpowiedniej polisy mogą być pokryte kary za wyciek danych osobowych czy inne konsekwencje indywidualnych błędów pracowników – Daniel Świątek, specjalista ds. ryzyk cybernetycznych w Biurze Hestia Corporate Solutions w ERGO Hestii
