
Bezpieczni w sieci z OSE na wakacje: letni phishing
Cieszycie się na letnie podróże, wyprzedaże, konkursy, festiwale i inne wydarzenia? Oszuści też! Wakacyjny luz i beztroska to dla nich idealny moment na przeprowadzenie ataku. Na wszelkie sposoby próbują więc wyłudzić od nas pieniądze lub ważne dane. W tym celu najczęściej stosują phishing. Poznajcie jego letnią odsłonę.
Czym jest phishing?
Zacznijmy od wyjaśnienia, na czym polega phishing. To typ ataku, podczas którego oszuści w specjalnie przygotowanych wiadomościach – najczęściej SMS, przesyłanych w komunikatorach lub e-mailach – próbują wprowadzić nas w błąd i nakłonić do określonego działania: otwarcia zainfekowanego załącznika, kliknięcia w złośliwy link lub zalogowania się w oknie fałszywej strony, np. bramki do płatności elektronicznych. Jeśli wykonamy te czynności, narazimy się na stratę pieniędzy lub istotnych informacji.
Czy łatwo paść ofiarą takiego działania? Niestety tak. Według danych z raportu CERT Polska w 2023 r. zarejestrowano 41 423 przypadki phishingu, co stanowiło blisko 52% wszystkich incydentów (CERT Polska, 2024). Warto pamiętać, że oszuści stosują specjalne sztuczki socjotechniczne, żebyśmy zrobili dokładnie to, na czym im zależy.
Jeśli otrzymacie podejrzaną wiadomość, której się nie spodziewaliście, nie działajcie pod wpływem emocji! Przeanalizujcie na chłodno całą sytuację. Oto kilka sygnałów, które powinny Was zaniepokoić:
- Wiadomość wywołuje w Was potrzebę natychmiastowego działania, w przeciwnym razie ominie Was prawdziwa okazja lub wydarzy się coś złego, np. stracicie pieniądze, dostęp do Waszych kont, zostaniecie bez prądu lub nie dotrze do Was paczka.
- Atakujący próbuje Was nakłonić do zignorowania wszelkich zasad bezpieczeństwa w sieci, np. wymaga od Was podania danych uwierzytelniających (loginów i haseł), kodów autoryzacyjnych, numerów kart płatniczych lub żąda instalacji dodatkowego oprogramowania.
- Adresat wiadomości to zazwyczaj odbiorca ogólny, o czym świadczą zwroty typu „Szanowny Kliencie”, „Witaj!”.
- Oszust twierdzi, że jest ze znanej organizacji, ale jego e-mail zawiera błędy językowe lub jest wysłany z ogólnodostępnych adresów, np.: @gmail.com, @wp.pl lub @hotmail.com.
- Nadawca wiadomości pyta o informacje, które potencjalnie powinien już znać.
- Wydaje się Wam, że otrzymana wiadomość pochodzi od znajomego, ale ton wypowiedzi i zastosowane zwroty temu przeczą. Zadzwońcie do tej osoby i zweryfikujcie, czy rzeczywiście kontaktowała się z Wami (por. OUCH, 2018).
Pamiętajcie, że oszuści, aby uwiarygodnić swoje działania, podszywają się np. pod znane instytucje, urzędy, banki, sklepy, firmy kurierskie, telekomunikacyjne, energetyczne, policję, ale też znajomych czy członków rodziny. Zawsze weryfikujcie więc otrzymane treści. Bądźcie powściągliwi w działaniach, nawet jeśli przedstawione w wiadomościach historie wydają się wiarygodne.
Jeśli myślicie, że latem oszuści udają się na odpoczynek, jesteście w błędzie! Przeczytajcie, jakie pułapki zastawiają.
Wakacyjne oszustwa
W wakacje, kiedy dzieci wyjeżdżają na kolonie, obozy, wycieczki przestępcy często próbują przeprowadzić oszustwo „na bliskiego”. Jak informuje CERT Polska, rok temu popularne było podszywanie się pod dziecko rzekomo potrzebujące pomocy finansowej swoich rodziców.
Zazwyczaj zaczynało się od takiej wiadomości z nieznanego numeru: „Mamo, czy możesz wysłać mi wiadomość WhatsApp na mój nowy numer?”. Potem następowała krótka wymiana zdań, podczas której rodzic dowiadywał się, że jego dziecko straciło telefon. Następnie złodzieje wyłudzali pieniądze lub dane karty płatniczej, a jeśli to się nie udało – namawiali na zakup nowego smartfona.
Również w wakacje oszuści podszywali się pod znane firmy, np. PKP Intercity. Wysyłali ankietę, a w zamian za jej wypełnienie obiecywali nagrodę pieniężną. Warunek był jeden – należało podać dane swojej karty płatniczej na fałszywej stronie.
Przestępcy wykorzystywali też w kampaniach phishingowych wizerunki znanych serwisów, zarówno sprzedażowych, jak i społecznościowych. W wakacje uważajcie więc na atrakcyjne oferty i reklamy wyjazdów „last minute” do ciepłych krajów, również e-maile rzekomo wysyłane przez serwisy rezerwacyjne lub biura podróży. Zwracajcie szczególną uwagę, czy przypadkiem nie zostaliście przekierowani na fałszywą stronę, która łudząco przypomina witrynę znanego serwisu. Zanim wykonacie jakąś akcję – zarezerwujecie hotel, wpisując swoje dane w formularzu, przelejecie zaliczkę za pokój lub letni domek – dokładnie przyjrzyjcie się stronie i jej adresowi www. Nawet najmniejszy błąd może świadczyć o próbie oszustwa.
Co jeszcze możemy zrobić?
Choć w wakacje staramy się nie myśleć o trudnych sytuacjach, w tym okresie również powinniśmy pamiętać o zasadach bezpieczeństwa w sieci. Latem zachowajcie ostrożność i włączcie racjonalne myślenie!
- Nie klikajcie w linki i nie otwierajcie załączników z nieznanych źródeł.
- Nikomu nie podawajcie numerów kart płatniczych, wrażliwych danych, haseł logowania i innych kodów autoryzacyjnych.
- Nie przelewajcie pieniędzy pod presją czasu i pod wpływem emocji.
- Jeśli dostaniecie podejrzaną wiadomość od znajomego lub kogoś z rodziny, skontaktujcie się z nim np. telefonicznie i ustalcie, czy rzeczywiście jest jej nadawcą.
- Zabezpieczcie swoje urządzenia, dbajcie o regularne aktualizacje.
- Jeśli Wasze smartfony umożliwiają włączenie blokady spamu, czyli podejrzanych SMS-ów bądź połączeń – aktywujcie taką funkcję.
- Stosujcie silne hasła, a wszędzie gdzie to możliwe, włączcie uwierzytelnianie dwuskładnikowe.
- Śledźcie ostrzeżenia o aktualnych zagrożeniach publikowane przez CERT Polska, np. w zakładce „Aktualności”.
- Jeśli natkniecie się na fałszywą stronę, zgłoście ją do CERT Polska, wypełniając formularz dostępny na PL – zgłoś incydent.
- Do CERT Polska wysyłajcie też wiadomości SMS zawierające potencjalnie groźne linki. Skorzystajcie z bezpłatnego numeru 8080i funkcji „przekaż” albo „udostępnij” lub skontaktujcie się przez WhatsApp: 780 907 000.
Chcecie wiedzieć więcej o phishingu? Sięgnijcie do naszej aktualności „Bezpieczni w sieci z OSE: phishing” oraz biuletynu „OUCH! – Powstrzymać phishing”.
Źródła:
CERT, (2024), „Krajobraz bezpieczeństwa polskiego internetu. Raport roczny z działalności CERT Polska 2023”, Warszawa: Państwowy Instytut Badawczy NASK [online, dostęp dn. 9.07.2024].
Dudley T., (2018), „Powstrzymać phishing”, „OUCH! Biuletyn Bezpieczeństwa Komputerowego”, nr 4 [online, dostęp dn. 9.07.2024].

