
Europejski Miesiąc Cyberbezpieczeństwa z OSE: phishing
Europejski Miesiąc Cyberbezpieczeństwa (ECSM – European Cybersecurity Month) to inicjatywa organizowana przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską. To 31 dni warsztatów, konferencji, kampanii i inicjatyw, które mają podnieść świadomość bezpieczeństwa w internecie. W Ogólnopolskiej Sieci Edukacyjnej (OSE) po raz kolejny włączamy się do tej kampanii – śledźcie nasze aktualności z serii „Europejski Miesiąc Cyberbezpieczeństwa z OSE”, z których dowiecie się wszystkiego na temat różnych odmian phishingu!
Październik miesiącem cyberbezpieczeństwa
Nadrzędnym celem ECSM jest wzmocnienie odporności systemów i usług w Unii Europejskiej (UE) dzięki wyposażeniu obywateli w umiejętności, które pozwolą im stawić czoła zagrożeniom w dziedzinie cyberbezpieczeństwa. Tegoroczna edycja Europejskiego Miesiąca Cyberbezpieczeństwa skupia się na zagadnieniach związanych z inżynierią społeczną (socjotechniką), czyli wykorzystywaniem przez oszustów różnych technik manipulacji w kampaniach phishingowych, wymierzonych w użytkowników internetu.
Przez cały październik we wszystkich europejskich krajach prowadzonych będzie wiele różnych działań. ENISA oraz państwa członkowskie Unii Europejskiej zorganizują m.in. konferencje, warsztaty, sesje szkoleniowe, webinaria i quizy. Wykaz działań prowadzonych w ramach kampanii, w których każdy może wziąć udział, jest dostępny na stronie internetowej Europejskiego Miesiąca Cyberbezpieczeństwa. Zajrzyjcie tam koniecznie!
Możecie też zgłaszać swoje inicjatywy – wypełnijcie formularz na stronie bezpiecznymiesiac.pl.
Obejrzyjcie krótki teledysk dotyczący wiodącego tematu tegorocznego ECSM, a więc zagrożeń związanych z socjotechnikami stosowanymi przez cyberprzestępców:
Europejski Miesiąc Cyberbezpieczeństwa z OSE
Jak wiecie, cyberbezpieczeństwo jest sercem działań w ramach OSE, dlatego my także zachęcamy Was do poszerzania wiedzy na temat zagrożeń w sieci. Przez cały październik w naszych aktualnościach znajdziecie nowe artykuły, które będą Wam przybliżać różne oblicza ataków socjotechnicznych, wykorzystujących rozliczne metody wywierania wpływu, np. przy użyciu perswazji, manipulacji, zastraszania czy szantażu.
W naszej serii napiszemy o phishingu, smishingu, vishingu i ich odmianach (whalingu, spear phishingu, clone phishingu, pharmingu). Przed Wami pierwsza pigułka wiedzy!
Co złodziej ma wspólnego… z wędkarzem?
Nazwa phishing budzi słuszne dźwiękowe skojarzenie z angielskim słowem „fishing”, czyli łowieniem ryb. Przestępcy, zupełnie jak wędkarze, przygotowują odpowiednią przynętę, na którą próbują złapać potencjalne ofiary.
Podczas wirtualnego ataku oszust stara się wprowadzić nas w błąd i przekonać do wykonania określonej czynności: otwarcia zainfekowanego załącznika, kliknięcia w złośliwy link lub zalogowania się w oknie fałszywej strony (np. bramki do płatności elektronicznych). Aby osiągnąć swój cel, może:
- wysyłać sfabrykowane e-maile lub ponaglające SMS-y (np. z prośbą o dopłatę do paczki);
- podszywać się pod pracowników instytucji zaufania publicznego (np. banków), urządzenie lub innego użytkownika (np. nr telefonu, adres e-mail);
- próbować kontaktować się poprzez wiadomości na komunikatorach i portalach społecznościowych.
Jeśli spełnimy takie żądanie, możemy spodziewać się dotkliwych konsekwencji: być może oszust przechwyci i wykorzysta nasze dane osobowe, loginy i hasła, włamie się na konto bankowe lub skłoni nas do zainstalowania złośliwego oprogramowania na smartfonie czy laptopie.
Przestępcy, którzy stoją za atakami phishingowymi, wykorzystują naszą nieuwagę, roztargnienie, ale też ciekawość i strach; grają na naszych emocjach. Liczą na to, że zareagujemy w pośpiechu, nie przyglądając się treści wiadomości i nie próbując jej zweryfikować.
Jak nie dać się złapać na haczyk?
Naszą najważniejszą linią obrony przed phishingiem jest… ostrożność i rozsądne podejście do otrzymywanych wiadomości. Zachowajcie zimną krew i pamiętajcie o kilku poradach:
- Akcja phishingowa kierowana jest do jak największej liczby odbiorców. Zwracajcie uwagę na adresata wiadomości. Zazwyczaj jest to odbiorca ogólny, np. „Szanowny Kliencie”, lub wiadomość zwiera zwrot typu „Witaj!”.
- Przestępca w swojej wiadomości grozi, że wydarzy się coś złego, jeśli natychmiast nie spełnicie jego żądania. Nie wykonujcie bezrefleksyjnie jego poleceń!
- Waszą czujność powinno wzbudzić pytanie o informacje, które nadawca potencjalnie powinien już znać. Pamiętajcie, że nikt nie ma prawa prosić Was o podanie danych wrażliwych, np. numeru karty płatniczej czy hasła.
- Przyjrzyjcie się temu, jak napisana jest wiadomość, którą otrzymaliście. Jeśli e-mail zawiera błędy językowe lub wygląda na nieudolnie przetłumaczony – najprawdopodobniej macie do czynienia z oszustem.
- Sprawdzajcie, czy podejrzany e-mail nie został wysłany z ogólnodostępnych adresów, np.: @gmail.com, @wp.pl lub @hotmail.com.
- Szczególnie niebezpieczne mogą być wiadomości, które na pierwszy rzut oka zostały wysłane przez naszych znajomych. Jeśli mamy jakiekolwiek wątpliwości, zawsze dzwońmy do znajomego i sprawdźmy, czy faktycznie próbował się z nami skontaktować.
- Zawsze weryfikujcie adres strony internetowej, na której się znajdujecie. Jeśli w jakikolwiek sposób różni się od adresu, z którego korzystacie zazwyczaj (np. literówka, znak specjalny, inna domena (np. zamiast .pl pojawia się .com), wyłączcie się.
- Z ostrożnością traktujcie niespodziewane wiadomości, które zawierają linki i załączniki, a Wy nie macie pewności, skąd pochodzą lub co mogą zawierać.
Jeśli dostaliście podejrzaną wiadomość SMS lub trafiliście na stronę banku lub sklepu, która łudząco przypomina tę oryginalną – natychmiast zgłoście to do CERT Polska. W tym celu wypełnijcie formularz internetowy dostępny na stronie cert.pl lub prześlijcie otrzymany SMS na numer 799 448 084, używając funkcji „przekaż” albo „udostępnij”. Zgłaszając incydent, chronicie nie tylko siebie, ale też innych użytkowników sieci!
Więcej informacji na temat phishingu znajdziecie w materiałach dostępnych na stronie bezpiecznymiesiac.pl, w poradniku „ABC cyberbezpieczeństwa”, biuletynie „OUCH! – Powstrzymać phishing” oraz naszej aktualności „Bezpieczni w sieci z OSE: phishing”.

