NASK wyjaśnia, jak wykryć oszustwo phishingu i jak się przed nim bronić. Przestępcy wykorzystują przede wszystkim emocje, stąd podstawowym narzędziem obrony jest wiedza i zdrowy rozsądek.
Opracowanie: Michał Kowalski
Phishing to rodzaj cyberataku polegający na udawaniu znanych firm, organizacji lub instytucji publicznego zaufania. Cyberprzestępcy poprzez wiadomości e-mail, SMS lub rozmowy telefoniczne nawiązują kontakt, aby wyłudzić dane osobowe lub pieniądze. Nazwa tego typu cyberprzestępstwa odnosi się do łowienia ryb, ponieważ oszuści, mówiąc ogólnie, przygotowują przynętę, aby zrealizować swój cel.
NASK i CERT Polska alarmują, że w ostatnich miesiącach można było zaobserwować liczne przejawy ataków phishingowych. Przestępcy próbowali przejąć dane:
podszywając się pod banki (m.in. BNP Paribas, ING, Santander),
szantażując klientów czterech internetowych sexshopów (grożąc ujawnieniem ich zakupów),
próbując wyłudzić dane logowania do Profilu Zaufanego,
podszywając się pod serwis muzyczny Spotify, serwis Booking.com, usługi Apple, księgarnie internetowe czy firmy kurierskie (np. DPD),
organizując fałszywe zbiórki finansowe,
próbując przejąć konta użytkowników Facebooka, np. oferując im dostęp do „wstrząsających” informacji czy filmów,
podszywając się pod Policję, Europol, serwisy Biznes.gov.pl czy mObywatel,
publikując w mediach społecznościowych coraz więcej filmów typu deefake, w których prawdziwe osoby (znane, wiarygodne, cieszące się popularnością) udzielają spreparowanych przez oszustów (za pomocą technologii deepfake) wypowiedzi (m.in. zachęcając do inwestycji)
atakując osoby kupujące i sprzedające na serwisach aukcyjnych, takich jak Allegro, OLX czy Vinted.
Dobrą wiadomością jest to, że ochrona przed najpowszechniejszymi rodzajami cyberataków (phishingiem, który według raportu CERT stanowił ponad 50% wszystkich cyberataków w 2023 roku) nie wymaga specjalistycznej wiedzy informatycznej ani zaawansowanego sprzętu czy oprogramowania. Oszuści najpierw podszywają się pod konkretne osoby lub instytucje, a następnie na różne sposoby próbują nas zmanipulować. Najlepszą strategią obrony w takiej sytuacji jest stosowanie zdrowego rozsądku i zachowanie spokoju, chociaż może to być bardzo trudne, zwłaszcza gdy otrzymujemy takie wiadomości:
CERT podaje przykłady phishingu w postaci różnego rodzaju wiadomości e-mail i SMS:
„Przyszedł już zwrot podatkowy! Zaloguj się i podaj swoje dane, by odebrać pieniądze!”;
„Mamo, miałem wypadek. Jestem w szpitalu, rozbił mi się telefon, dlatego piszę z innego numeru. Pilnie potrzebuję pieniędzy”;
„Przyszła paczka, na którą czekałeś. Ze względu na przekroczenie wagi, musisz dopłacić 1,7 zł, aby ją odebrać”;
„Zostałeś wylosowany w konkursie na darmową kartę Warszawiaka, która zapewnia bezpłatne przejazdy! Wpisz dane swojej karty kredytowej, aby odebrać nagrodę”;
„Dzień dobry, dzwonię z banku. Nasz dział bezpieczeństwa wykrył, że przestępcy właśnie włamują się na pana konto, więc prosimy o jak najszybsze przelanie wszystkich pieniędzy na nowy, bezpieczny rachunek. Podaję jego numer”.
Przestępcy, podszywając się pod wiarygodną instytucję lub udając osobę, którą znamy, rozsyłają tego rodzaju wiadomości na dużą skalę. Jeżeli choć niewielka część odbiorców faktycznie oczekuje na przesyłkę, zwrot podatku, ma dziecko, które mogło mieć wypadek podczas spaceru, korzysta z bankowości online albo mieszka w Warszawie – w takich przypadkach oszustwo może być skuteczne. Szczególnie, że wiadomość zawsze wywołuje emocje (pozytywne bądź negatywne) i skłania do szybkiego działania. Jeśli jednak odbiorca zachowa spokój i zweryfikuje otrzymaną informację innym sposobem, to może zapobiec negatywnym skutkom ataku.
Przestępcy nieustannie zmieniają swoje sposoby działania i rozszerzają zakres aktywności. Jeśli trudno nadążyć za wiadomościami o tym, który bank, platforma aukcyjna, aplikacja czy sklep online padł ofiarą ataku, warto zapoznać się z typowymi scenariuszami ataków i stosowanymi metodami socjotechnicznymi.
Oszuści korzystają również z najnowszych technologii. Dlatego warto być świadomym, że głos słyszany w smartfonie (lub otrzymamy jako wiadomość głosową przez komunikator), może być jedynie doskonale podrobionym głosem dziecka, albo że film z prezydentem Polski zachęcającym do atrakcyjnej inwestycji finansowej został sfałszowany.
Jeśli jakaś wiadomość wywołuje silne emocje, takie jak strach, radość, obawy o bezpieczeństwo odbiorcy lub bliskich, nadzieję na znaczącą poprawę sytuacji finansowej czy na zdobycie nowej, dobrze płatnej pracy – należy koniecznie zweryfikować jej prawdziwość. Informacja z internetu bądź otrzymana za pośrednictwem SMS-a, komunikatora, e-maila lub podczas rozmowy telefonicznej może być oszustwem.
Dotyczy to zwłaszcza w przypadku, gdy wywierana jest presja na szybkie działanie, jak: „korzystaj z okazji, bo za chwilę zniknie” albo: „musisz natychmiast pomóc dziecku/matce i szybko przelać pieniądze”.
Należy zatem zwracać uwagę na emocjonalne informacje, dokładni sprawdzać adresy stron, z których pochodzą powiadomienia o konieczności podania hasła lub danych logowania (np. w związku z wygasaniem konta lub dostępem do ulubionego serwisu czy banku), unikać klikania w linki od nieznanych nadawców oraz poświęcać „pięciu minut dziennie na cyberbezpieczeństwo”. W praktyce oznacza to jak najszybsze instalowanie aktualizacji systemu komputera lub telefonu, które eliminują wykryte luki (potencjalne drzwi dla cyberprzestępców) oraz aktualizację wszystkich programów i sterowników.
Ważne jest także włączenie weryfikacji dwuetapowej w kluczowych serwisach (np. poczcie elektronicznej, kontach społecznościowych) oraz stosowanie dla każdej usługi lub serwisu unikalnego, długiego hasła (co najmniej 14 znaków), które może być zapisywane w menedżerze haseł. Przeczytaj także: Jak tworzyć bezpieczne hasła – rekomendacje CERT
Serwis NASK
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
