
Europejski Miesiąc Cyberbezpieczeństwa z OSE: quishing
W październiku po raz dziesiąty obchodzimy Europejski Miesiąc Cyberbezpieczeństwa (ECSM). To ogólnoeuropejska akcja, której celem jest przestrzeganie przed potencjalnymi cyberzagrożeniami oraz promowanie odpowiedzialnego korzystania z sieci. Z okazji ECSM startujemy z nowym cyklem aktualności – co tydzień będziemy przybliżać Wam różne wirtualne zagrożenia oraz podpowiadać, jak uniknąć pułapek zastawianych przez cyberprzestępców. W pierwszym artykule zajmiemy się quishingiem. Sprawdźcie, czym jest i jak się przed nim chronić.
Pułapka ukryta pod kodem QR
Cyberprzestępcy nie próżnują i wymyślają coraz nowsze sposoby na wyłudzenie naszych pieniędzy i ważnych danych. Nie tylko dorośli, ale też uczniowie codziennie mogą spotkać się z różnymi formami phishingu. W tej popularnej metodzie oszustwa przestępca podszywa się pod inną osobę albo zaufaną instytucję, aby wyłudzić od ofiary poufne informacje, nakłonić ją do określonych działań czy zainfekować jej sprzęt szkodliwym oprogramowaniem. Choć phishing kojarzy się wielu osobom głównie z niebezpiecznymi e-mailami, to cyberprzestępcy wykorzystują też w swoich atakach inne drogi komunikacji z potencjalną ofiarą – SMS-y (smishing) czy rozmowy telefoniczne (vishing). Po smishingu i vishingu przyszedł czas na… quishing.
Kiedy ostatnio skanowaliście jakiś kod QR (ang. Quick Response – szybka odpowiedź)? Ulotki wydarzeń kulturalnych, menu w restauracji czy aktywowanie biletu w komunikacji miejskiej – przyznacie, że znalezienie dookoła przykładów wykorzystania kodów QR nie jest trudne. Co mają wspólnego z quishingiem? To właśnie na nich opiera się ten rodzaj ataku. Quishing to oszustwo, w którym przestępca tworzy spreparowany kod QR (rzekomo prowadzący m.in. do e-płatności lub odbioru nagrody), którego zeskanowanie skutkuje przekierowaniem do fałszywej witryny (np. banku) lub pobieraniem na urządzenie ofiary złośliwego oprogramowania.
Z quishingiem często możemy spotkać się w e-mailach, gdzie – podobnie do ataku phishingowego – cyberprzestępca wysyła wiadomość z ukrytą pułapką. W tym przypadku nie jest to jednak link, a niebezpieczny kod QR. Gdzie jeszcze możemy zetknąć się z quishingiem? Np. na stronach internetowych, w postaci naklejek na przystankach autobusowych lub w restauracjach, w wiadomościach SMS, a także na… ubraniach. Co więc zrobić, by ustrzec się przed tym zagrożeniem?
Nie otwieraj bramki cyberprzestępcom
Choć kody QR często są pomocne, to te przygotowane przez oszustów mogą stać się dużym zagrożeniem. W ochronie przed quishingiem, podobnie jak w przypadku innych form phishingu, pomoże Wam kilka dobrych nawyków.
- Ograniczone zaufanie. Ta zasada pomaga ustrzec się nie tylko przed quishingiem, ale też wieloma innymi cyberzagrożeniami. Gdy po zeskanowaniu kodu cokolwiek wzbudzi Waszą wątpliwość, np. niepokojący adres strony ukryty pod kodem, to nie przechodźcie dalej. Jeśli już otworzyliście daną stronę, to pamiętajcie, by nie logować się na niej, nie podawać swoich danych osobowych ani nie dokonywać żadnych płatności. Zawsze też sprawdzajcie, czy adres strony, który pojawia się po przeskanowaniu kodu, jest na pewno poprawny.
- Weryfikacja adresata i treści wiadomości. Jeśli otrzymaliście kod QR w wiadomości e-mail, to koniecznie sprawdźcie, kto jest jej nadawcą. Waszą czujność szczególnie powinien wzbudzić nadawca twierdzący, że pochodzi z dużej organizacji, ale jego e-mail zawiera liczne błędy językowe lub jest wysłany z ogólnodostępnych adresów (np. @gmail.com, @hotmail.com) bądź jego adres wygląda na prawdziwy, ale zawiera drobną, z pozoru niezauważalną modyfikację. W przypadku gdy będziecie chcieli zeskanować kod na stronie internetowej – również upewnijcie się, że jest ona prawdziwa, a nie sfałszowana przez cyfrowego oszusta.
- Czujność na wyjątkowe oferty i zbyt kuszące promocje. Wystrzegajcie się też skanowania kodów QR z wiadomości e-mail, które obiecują wielką wygraną, bezpłatne prezenty (np. nowoczesne smartfony, bony do znanych sklepów), czy nakłaniają do skorzystania z wyjątkowej promocji dostępnej przez bardzo krótki czas – kilka godzin, tylko dziś.
- Unikanie skanowania nieznanych kodów. Ta zasada jest chyba najprostsza do zapamiętania i jednocześnie najskuteczniejsza w ochronie przed quishingiem. Wystarczy nie skanować kodów z nieznanych źródeł: stron internetowych, naklejek w miejscach publicznych, e-maili i SMS-ów od nieznanych nadawców. W końcu – przezorny zawsze ubezpieczony!
Powtórzcie sobie również wiadomości na temat ochrony przed phishingiem – wiedzy dostarczą Wam nasze aktualności: „Bezpieczni w sieci z OSE: phishing”, „ABC cyberbezpieczeństwa: P” oraz „Prima Aprilis: uwaga na phishing!”. Zajrzyjcie też do bezpłatnych e-kursów dostępnych na OSE IT Szkole: „Krasnoludki 2.0 – Phishing, czyli kłopoty to nasza specjalność”, „Owce w sieci – Papla” i „Miękkie aspekty bezpieczeństwa w internecie”.
Weźcie udział w Europejskim Miesiącu Cyberbezpieczeństwa
Obchodzony w październiku Europejski Miesiąc Cyberbezpieczeństwa (ECSM – European Cyber Security Month) to świetna okazja, by dowiedzieć się więcej o bezpieczeństwie w internecie. W tym roku obchodzimy dziesiątą, jubileuszową edycję kampanii, której tematem przewodnim będzie phishing i ransomware. ECSM to wyjątkowa akcja otwarta dla wszystkich – każdy może wziąć udział w bezpłatnych wydarzeniach lub zgłosić własną inicjatywę (zarówno online, jak i offline).
Jakie wydarzenie możecie zorganizować? Opcji jest wiele! Mogą to być np. webinary, szkolenia, kursy, wykłady, materiały informacyjne, różnego rodzaju akcje podnoszące świadomość czy edukacyjne zajęcia w szkołach.
Szukacie pomysłu na ECSM? Odwiedźcie naszą platformę OSE IT Szkoła, gdzie znajdziecie wiele inspiracji, m.in. scenariusze zajęć profilaktycznych o FOMO i patostreamach czy kursy e-learningowe, z którymi zorganizujecie uczniom ciekawe lekcje o cyberbezpieczeństwie. Koniecznie pamiętajcie, by zarejestrować swoją inicjatywę na stronie: bezpiecznymiesiac.pl.
Zapoznajcie się z instruktażem OSE IT Szkoły, który podpowie, jak wykorzystać wszystkie funkcjonalności naszej platformy:
Wydarzenie organizowane jest przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską. W Polsce koordynatorem kampanii jest Państwowy Instytut Badawczy NASK (NASK-PIB).
Więcej o Europejskim Miesiącu Cyberbezpieczeństwa i inicjatywach znajdziecie na stronie: bezpiecznymiesiac.pl oraz w naszej aktualności „Europejski Miesiąc Cyberbezpieczeństwa już po raz dziesiąty!”.

