Resort cyfryzacji przestrzega przez phishingiem

Phishing polega na podszywaniu się pod znane firmy, organizacje oraz instytucje zaufania publicznego. Przestępcy za pośrednictwem np. wiadomości email, sms (tzw. smishing), czy rozmów telefonicznych (tzw. vishing) nawiązują kontakt w celu wyłudzenia od danych osobowych lub uzyskania pieniędzy. Nazwa tego rodzaju cyberprzestępstwa nawiązuje do łowienia ryb, ponieważ przestępcy, ogólnie rzecz ujmując, przygotowują przynętę, aby osiągnąć swój cel.

Popularną odmianą phishingu jest tzw. spear phishing. Jest to cyberatak nakierowany na konkretną osobę np. pracownika dużej firmy. Przestępcy zbierają informacje na temat takiej osoby, a następnie kierują do niej spersonalizowaną wiadomość. Ma to na celu np. uzyskanie dostępu do informacji poufnych tej firmy.

Przestępcy wysyłają informację np. :

• niezapłaconej fakturze lub zadłużeniu (również firmy),
• dopłacie do przesyłki,
• wygranej w konkursie.

Następnie proszą o przelew lub podanie kodu lub generują inne sytuacje, które nakłaniają ofiarę szybkich działań, takich jak wykonanie przelewu lub kliknięcie w link. Jeśli ofiara da się sprowokować, wówczas jest najczęściej przekierowywana do sfałszowanej strony swojego banku lub na sfałszowany portal społecznościowy. Wtedy po zalogowaniu następuje utrata dostępu do konta, a niejednokrotnie kradzież pieniędzy.

Poniżej prezentujemy wskazówki resortu cyfryzacji przydatne w walce z phishingiem.

1. Przede wszystkim zasada ograniczonego zaufania, nawet wobec swoich znajomych z serwisu społecznościowego – ich konto mogło zostać zhakowane. Zawsze weryfikuj, czy wiadomość, która otrzymałeś, jest prawdziwa.
2. Nie podejmuj działań pod presją czasu, zachowaj czujność i ostrożność, zwłaszcza gdy ktoś namawia cię lub naciska, byś podjął działania, do których nie masz przekonania.
3. Zwracaj uwagę na poprawność językową wiadomości, m.in literówki, gramatykę, błędy stylistyczne i interpunkcyjne.
4. Jeśli otrzymasz wiadomość, która wymaga „natychmiastowych działań” zweryfikuj, czy na pewno jest prawdziwa – skontaktuj się z firmą lub instytucją, od której ją otrzymałeś.
5. Aktualizuj swoje urządzenia i korzystaj z ochrony antywirusowej.
6. Uważaj na skrócone linki, jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.
7. Dbaj o bezpieczeństwo swoich haseł - Pamiętaj, że żadna firma, instytucja publiczna ani organizacja zaufania publicznego nie będą prosiły Cię o podanie haseł, kodów dostępu ani innych wrażliwych danych.
8. Korzystaj tylko z legalnego oprogramowania.
9. Jeśli się zdarzy, że klikniesz w link i cyberprzestępcy przejmą Twoje dane lub stracisz pieniądze – skontaktuj się z ze swoim bankiem, zgłoś sprawę na policję oraz na https://incydent.cert.pl