
Bezpieczni w sieci z OSE: świąteczny phishing
W grudniowej odsłonie naszej popularnej serii „Bezpieczni w sieci z OSE” podpowiemy Wam, jak uchronić się przed cyfrowymi pułapkami, w które mogą wpaść przed świętami użytkownicy nowych technologii. Ten wyjątkowy czas to niestety prawdziwe żniwa dla cyberprzestępców, którzy tylko czyhają na chwile naszej nieuwagi i możliwość wykradzenia ważnych danych lub środków z konta. Dziś weźmiemy na tapet świąteczny phishing ukryty w fałszywych SMS-ach z dopłatą do paczki czy cyfrowych kartkach świąteczno-noworocznych.
W grudniu zwykle skupiamy się na przygotowaniach do Gwiazdki i sylwestra, czasem zapominając jednak o zachowaniu dobrych nawyków cyfrowych. O czym warto pamiętać, by ten wyjątkowy czas był dla nas związany jedynie z radością, a nie cyfrowymi kłopotami? Zaglądajcie na nasz fanpage OSE – Ogólnopolska Sieć Edukacyjna na Facebooku, gdzie codziennie do 14 grudnia znajdziecie jedną poradę świąteczną, która pomoże Wam zaplanować cyberbezpieczne święta. To nie koniec gwiazdkowych niespodzianek, więc bądźcie czujni!
Cyfrowa kartka z „niespodzianką”
Na pewno dobrze już wiecie, że cyberprzestępcy nie próżnują i co chwile wymyślają nowe sposoby na wyłudzenie od nas pieniędzy i danych. W osiągnięciu ich celów pomaga im m.in. phishing, czyli popularne oszustwo internetowe, w którym złodziej kontaktuje się z potencjalną ofiarą w wiadomościach e-mail, oraz smishing – czyli forma phishingu, w której wykorzystywane są niebezpieczne SMS-y. Podczas tych wirtualnych ataków oszuści starają się wprowadzić nas w błąd i przekonać do wykonania określonych czynności. Może to być kliknięcie w złośliwy link, otwarcie zainfekowanego załącznika czy zalogowanie się w oknie fałszywej strony (np. bramki do płatności elektronicznych, logowania do mediów społecznościowych lub poczty e-mail).
Niestety łatwo się domyślić, że konsekwencje podążania za instrukcją przestępcy mogą nas dużo kosztować. Np. utratę środków z naszego konta bankowego, ważnych danych, plików czy informacji.
Zastanawiacie się, co wspólnego może mieć phishing ze świętami? Już śpieszmy z odpowiedzią. W okresie świąteczno-noworocznym otrzymujemy od znajomych, przyjaciół, sklepów internetowych i różnych firm elektroniczne kartki z życzeniami. Ten miły gest sprawia nam wiele radości, jednak czasem może zdarzyć się tak, że nadawcą świątecznej kartki wcale nie jest nikt nam znany, a polujący na nasze dane cyberprzestępca, który tylko czeka, aż klikniemy w niebezpieczny link lub pobierzemy na urządzenie zainfekowany załącznik.
Podejrzane dopłaty do przesyłki
Cyfrowe kartki z życzeniami to jednak niejedyne pułapki, które zastawiają na nas przestępcy. Im bliżej do Gwiazdki, tym chętniej kupujemy w sieci. Porównujemy ceny w sklepach online, decydując się na najbardziej atrakcyjne oferty – oczywiście z dostawą do domu. Fakt ten wykorzystują oszuści, którzy ruszają ze swoimi kampaniami phishingowymi, wysyłając wiadomości na temat nieopłaconego rachunku czy konieczności dopłaty do naszej przesyłki. Świąteczna gorączka, natłok obowiązków i przygotowań może niestety sprawić, że bez namysłu podejmiemy działanie zagrażające naszemu bezpieczeństwu i zareagujemy na wysłaną nam przez oszusta wiadomość. Co ważne, przestępcy zwykle podają się za znane firmy (np. kurierskie), z których usług często korzystamy w okresie przedświątecznym, dlatego tym łatwiej jest im nas zmanipulować.
Pamiętajcie jednak, że otrzymanie i odczytanie podejrzanej wiadomości e-mail lub SMS nie oznacza od razu, że daliście się złapać w sieć cyberprzestępców. Problemy zaczną się w momencie, gdy podążycie za instrukcją oszustów i wykonacie określone działanie: kliknięcie zarażonego linku czy zalogowanie się w oknie fałszywej strony.
Co zrobić, gdy otrzymamy podejrzaną wiadomość? Przede wszystkim nie wchodzić w żadne linki i nie dokonywać płatności, a także zgłosić taki fakt do Zespołu CERT Polska. Można to szybko zrobić, wypełniając formularz dostępny na CERT.PL – zgłoś incydent. W przypadku otrzymania podejrzanego SMS-a (np. z prośbą o dopłatę do paczki) wystarczy przesłać taką wiadomość na numer 799 448 084, używając funkcji „przekaż” albo „udostępnij”. Każde zgłoszenie jest dokumentowane i weryfikowane przez analityków CSIRT NASK, którzy decydują o dopisaniu podejrzanej domeny do listy ostrzeżeń – dzięki temu pomożecie także innym internautom uniknąć cyfrowych pułapek.
Nie daj się złowić w sieć oszusta!
W ochronie przed phishingiem – nie tylko w grudniu – pomoże czujność i niepodejmowanie decyzji pod wpływem emocji. Sprawdźcie, na co warto zwrócić uwagę, by uniknąć wpadnięcia w sieć wirtualnych oszustów.
- Adresat wiadomości. W przypadku phishingu zwykle możemy spotkać się z ogólnym odbiorcą – komunikat będzie rozpoczynał się od „Szanowny Kliencie”, „Witaj”, „Cześć”. Ogólne zwroty mogą świadczyć o próbie dotarcia z wiadomością do jak największej liczby odbiorców, a taki cel przyświeca właśnie cyberprzestępcom. Zanim otworzycie elektroniczną kartkę od Waszego znajomego, upewnijcie się, że na pewno on ją wysłał i nie otrzymał/pobrał z jakiegoś podejrzanego źródła. Uważajcie też na wiadomości, które wydają się pochodzić od znajomego, ale ton wypowiedzi i zastosowane zwroty temu przeczą – w takiej sytuacji także zawsze warto zweryfikować, czy rzeczywiście to on się z Wami kontaktował.
- Ostrzeżenia i próby manipulacji. Przestępca ostrzega Was, że wydarzy się coś złego, jeśli natychmiast nie zrobicie tego, o co prosi, nie wykonacie jego polecenia. Używa też zwrotów, które mają przymusić Was do nieprzemyślanego działania, np. „podaj dane w ciągu 24 godzin”, „opłać zaległość już teraz”.
- Adres e-mail i błędy językowe. Oszust twierdzi, że jest z dużej organizacji, ale jego e-mail zawiera błędy językowe lub jest wysłany z ogólnodostępnych adresów, np.: @gmail.com, @hotmail.com. Podchodźcie też z rezerwą do wiadomości od różnych firm i instytucji, które zawierają liczne błędy językowe i interpunkcyjne.
- Niepokojące prośby. Nadawca wiadomości pyta o informacje, które potencjalnie powinien już znać, lub prosi o podanie danych wrażliwych, np. numeru Waszej karty płatniczej. Uważajcie też na SMS-y zawierające polecenia typu: „Sprawdź status przesyłki”, „Znajdź adres tutaj”. Linki umieszczone w takich wiadomościach mogą przekierować Was stron nakłaniających do instalowania złośliwych aplikacji.
Chcecie dowiedzieć się więcej o phishingu i ochronie przed tym atakiem? Zajrzyjcie do naszych publikacji „ABC cyberbezpieczeństwa” i „Bezpieczeństwo online w szkołach Ogólnopolskiej Sieci Edukacyjnej – cz. 1”, biuletynu „OUCH! – Ataki phishingowe” oraz aktualności „Prima Aprilis: uwaga na phishing!”, „Bezpieczni w sieci z OSE: phishing”.
To już wszystko, co dziś przygotowaliśmy – nie zapomnijcie zaglądać na naszego Facebooka, gdzie znajdziecie garść świątecznych podpowiedzi, jak bezpiecznie poruszać się po sieci!
Widzieliście już nasze Q&A z ambasadorem kampanii OSE? Jeśli nie, to koniecznie je nadróbcie.

