Oszustwa e-mailowe z wymuszeniami stają się coraz popularniejsze

Action Fraud – krajowe centrum zgłaszania oszustw i cyberprzestępczości w Wielkiej Brytanii, ostrzega społeczeństwo przed oszustwami typu phishing mającymi na celu wymuszenie pieniędzy. Według usługi Suspicious Email Reporting Service (SERS) prowadzonej przez Narodowe Centrum Cyberbezpieczeństwa (NCSC), użytkownicy Internetu zgłosili ponad 2924 wiadomości e-mail z próbami wymuszenia okupu w marcu 2025 r., w porównaniu ze 133 w lutym, co skłoniło agencję do wydania natychmiastowego publicznego ostrzeżenia.

Jak wyglądają oszustwa e-mailowe z wymuszeniem?

Choć tematy i sformułowania wiadomości e-mail mogą się różnić, zazwyczaj mają one spójny motyw. Oszuści:

• Twierdzą, że zainstalowali złośliwe oprogramowanie na Twoim komputerze.
• Twierdzą, że nagrali intymne chwile za pomocą Twojej kamery internetowej.
• Żądają zapłaty w kryptowalucie, zazwyczaj kwoty od kilkuset do tysięcy dolarów.
• Grożą, że jeśli nie zastosujesz się do nakazu, wyślą rzekome nagranie Twoim znajomym.

Aby zwiększyć wiarygodność i wzbudzić strach, oszuści często podają takie dane osobowe, jak:

• Stare lub aktualne hasło.
• Twój adres domowy.
• Twój adres e-mail lub numer telefonu.

Dane te pochodzą zazwyczaj z historycznych naruszeń bezpieczeństwa danych, a nie z faktycznych naruszeń bezpieczeństwa urządzeń.

„Przestępcy zrobią wszystko, aby tego typu oszustwa wymuszenia były bardziej przekonujące, na przykład wykorzystają w e-mailu phishingowym ujawnione hasło lub adres domowy, aby cała wiadomość wyglądała na autentyczną” — powiedziała główna inspektor Hayley King, szefowa wydziału prewencji w NFIB.

Podkreśliła także, jak ważne jest zgłaszanie takich wiadomości e-mail i nigdy nie kontaktowanie się z oszustami.

Przypadek ze świata rzeczywistego

W 2024 roku mężczyzna po trzydziestce otrzymał e-maile zawierające próby wymuszenia lub e-maile z żądaniem okupu, w których powoływano się na hasło używane przez niego na koncie internetowym. Odrzucił e-maile jako oszustwa, ale wkrótce potem odkrył, że jego konta w mediach społecznościowych i bankowe zostały zhakowane — wszystkie powiązane ze starym hasłem.

Przypadek ten pokazuje, że nawet ofiary, które zignorują e-maile i nie zapłacą oszustom, mogą być narażone na ryzyko, jeśli zignorują prawdziwe zagrożenie cybernetyczne stojące za fałszywymi twierdzeniami — mianowicie przejęte dane logowania.

Nie są to odosobnione przypadki, lecz element stale stosowanej metody lub stały schemat działania oszustów w arsenale oszustów, często wykorzystywane w celu wykorzystania nowych obaw lub bieżących wydarzeń.

Oto kilka wariantów częstych oszustw e-mailowych

„Zapłać mi albo będę kaszleć” – oszustwo wymuszeniowe związane z COVID-19

Jak podaje Bitdefender, oszuści kiedyś wykorzystywali panikę związaną z pandemią, wysyłając e-maile z groźbami zarażenia odbiorców lub ich rodzin COVID-19, jeśli nie zapłacą okupu. To emocjonalnie manipulacyjne oszustwo ilustruje, w jaki sposób wymuszenia ewoluują w odpowiedzi na bieżące wydarzenia, aby pozostać istotnymi.

Nie, oni nie mają tego filmu

Innym powtarzającym się oszustwem, które odzwierciedla jeden z najpopularniejszych oszustw e-mailowych, są cyberprzestępcy wysyłają wiadomości z twierdzeniem, że mają kompromitujące nagrania z kamery internetowej. Ofiary są zmuszane do płacenia, aby uniknąć publicznego wstydu. Często te e-maile zawierają wyciekłe hasła, aby zwiększyć wiarygodność — nawet jeśli nie doszło do żadnego włamania.

Fałszywi policjanci i urzędnicy rządowi

FBI ostrzegało również przed cyberprzestępcami polegającymi na wymuszeniu, w których oszuści podszywają się pod organy ścigania lub agencje rządowe. Ofiarom mówi się, że są pod dochodzeniem i muszą zapłacić, aby uniknąć aresztowania. Ta taktyka wykorzystuje zaufanie do władzy i strach przed konsekwencjami prawnymi.

Co zrobić, jeśli otrzymasz jedną z tych wiadomości e-mail?

• Nie wchodź w interakcję z oszustem. Nie odpowiadaj, nie klikaj żadnych linków ani nie wysyłaj pieniędzy.
• Zgłoś wiadomość e-mail phishingową. Prześlij ją do CERT Polska. Następnie usuń wiadomość e-mail ze skrzynki odbiorczej i kosza.
• Natychmiast zmień zagrożone hasła. Jeśli w wiadomości e-mail jest hasło, którego nadal używasz, zmień je natychmiast. Możesz użyć menadżera haseł, czyli narzędzia do generowania i przechowywania silnych haseł.
• Nie płać okupu. Zapłacenie okupu nie sprawi, że „problem” zniknie. W rzeczywistości sprawi, że staniesz się celem przyszłych oszustw.
• Jeśli padniesz ofiarą wymuszenia, zadzwoń na lokalną policję, jeśli obawiasz się, że ktoś ma lub grozi udostępnieniem intymnych zdjęć z Tobą, dostępne jest wsparcie i ochrona prawna.
• Jeśli straciłeś pieniądze lub udostępniłeś dane finansowe. Skontaktuj się natychmiast ze swoim bankiem i zgłoś to agencjom ochrony konsumentów i organom ścigania.

„Warto zabezpieczyć się za pomocą skutecznego systemu antywirusowego, który posiada moduł antyphishingowy. Dzięki temu zminimalizujemy ryzyko zostawienia swoich danych logowania na niebezpiecznej stronie internetowej i uchronimy się przed następstwami kampanii phishingowych” – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.