
Świąteczno-noworoczna kartka: uwaga na phishing!
Zapewne w okresie świąteczno-noworocznym wielu z nas otrzyma wiadomości e-mail lub SMS z życzeniami. Na przesłanie cyfrowej kartki coraz częściej decydują się nie tylko bliscy, ale też banki, sklepy czy firmy, które dostarczają nam różne usługi. Niestety również w tym wyjątkowym czasie cyberprzestępcy szukają sposobów na atak. Wysyłają nam treści, w których kryje się haczyk. Jeśli go połkniemy, możemy stracić dane lub pieniądze. Podpowiadamy więc, co zrobić, by nie paść ofiarą internetowych oszustów.
Phishing – nie daj się złowić w sieć
Phishing to określenie na popularne oszustwo interntowe. Nazwa ta słusznie kojarzy się nam z angielskim słowem „fishing”, czyli łowieniem ryb. Przestępcy, podobnie jak wędkarze, przygotowują odpowiednią przynętę, na którą próbują złapać potencjalne ofiary.
W przypadku phishingu jest to specjalnie skonstruowana wiadomość e-mail lub SMS, w której kryje się wiele pułapek. Jeśli w nie wpadniemy, cyberprzestępcy uzyskają ważne informacje, takie jak loginy i hasła, numery kart kredytowych, a tym samym dostęp do naszego konta bankowego, skrzynki pocztowej czy profilu w mediach społecznościowych.
Oszuści zmierzają też do zainfekowania komputera ofiary szkodliwym oprogramowaniem, by przejąć kontrolę nad cyfrowymi zasobami. Jak działają? Przede wszystkim próbują wzbudzić zaufanie, podszywając się pod znane instytucje: firmy kurierskie, urzędy, sklepy, portale aukcyjne. Następnie w specjalnie przygotowanej wiadomości chcą nas skłonić do działania, np. kliknięcia w przesłany link i zalogowania się w oknie fałszywej strony. Podążanie za instrukcją przestępców najczęściej kończy się utratą cennych danych, a nawet środków na koncie.
Jak nie stracić głowy, danych i pieniędzy?
W natłoku przedświątecznych zadań łatwo stracić czujność. Cyfrowa kartka z życzeniami lub wiadomość na temat nieopłaconego rachunku czy konieczności dopłaty do przesyłki może sprawić, że bez namysłu podejmiemy działanie zagrażające naszemu bezpieczeństwu. Przypominamy więc, jakie sygnały powinny nas zaniepokoić.
- Zwróćmy uwagę na adresata wiadomości. Zwroty typu „Cześć”, „Witaj”, „Drogi Kliencie” mogą świadczyć o próbie dotarcia do jak największej liczby odbiorców, a taki właśnie cel przyświeca cyberprzestępcom.
- Oszuści próbują podszyć się pod osobę ze znanej instytucji, ale wiadomość wysłana jest z ogólnodostępnego adresu. Oceńmy też, czy użyte logotypy, stopki pochodzą od wiarygodnego odbiorcy.
- Fałszywe wiadomości zawierają liczne błędy językowe i interpunkcyjne, często też nie używa się w nich znaków diakrytycznych „ę”, „ą”.
- Sprawdźmy, czy e-mail nie zawiera zwrotów typu „zaloguj się natychmiast”, „podaj dane w ciągu 24 godzin”, „odzyskaj utracone hasło, kliknij tutaj”, „opłać zaległość już teraz”. Przestępcy najczęściej straszą nas, że wydarzy się coś złego, jeśli natychmiast nie podejmiemy żadnego działania.
- Oszuści zazwyczaj proszą nas o podanie danych osobowych, numeru karty płatniczej czy hasła dostępu do bankowości internetowej.
- Uważajmy na przesyłane linki. Sprawdzajmy, czy faktycznie prowadzą nas do właściwej strony. Link może mieć też skróconą wersję. Jeśli nie wiemy, dokąd nas poprowadzi, wystarczy najechać na niego kursorem (nie klikać!) i przeczytać pełen adres linku.
- Jeżeli nie mamy pewności, czy wiadomość została przesłana przez znajomego lub jakąś instytucję, zweryfikujmy to telefonicznie.
Zgłoś to!
Strony internetowe, na które przekierowują nas przestępcy, by wyłudzić dane osobowe i uwierzytelniające, można zgłosić do działającego w strukturach NASK Zespołu CERT Polska, który zajmuje się reagowaniem na tego typu incydenty. W tym celu należy wypełnić formularz internetowy.
Do CSIRT NASK warto też przesyłać otrzymane SMS-y, które wydają się nam być podejrzane. Mogą one zawierać prośbę o pilną „dopłatę do paczki” czy informację o „wysokiej wygranej”. Wystarczy, że otrzymaną wiadomość wyślemy na numer 799 448 084, używając funkcji „przekaż” albo „udostępnij”. Każde zgłoszenie jest dokumentowane i weryfikowane przez analityków CSIRT NASK, którzy decydują o dopisaniu podejrzanej domeny do listy ostrzeżeń.
Więcej informacji dotyczących phishingu znajdziemy na stronie KPRM Cyfryzacja, w poradniku „Jak chronić się przed cyberatakami?” oraz w publikacji „Bezpieczeństwo online w szkołach Ogólnopolskiej Sieci Edukacyjnej – cz. 1”.

