Nie sposób nie dostrzec zmian, jakie za sprawą COVID-19 zaszły w wielu sferach naszej aktywności, głównie w przestrzeni cyfrowej. Jak wynika z badania „Postawy Polaków wobec cyberbezpieczeństwa 2021”, opublikowanego przez Warszawski Instytut Bankowości (WIB) oraz Związek Banków Polskich (ZBP), na przestrzeni ostatniego półtora roku znacznie podniósł się trend korzystania z różnego rodzaju usług w formie elektronicznej. Dziś, oprócz spraw bankowych i urzędowych (68%), Polacy zastępują wizyty w punktach stacjonarnych zakupami online, w tym odzieży (35%) i sprzętu elektronicznego (23%). Z Internetu korzystamy w poczuciu komfortu i zaufania, ale czy na pewno jest to bezpieczne? Cyberprzestępcy nie śpią! Na podstawie raportu Federalnej Komisja Handlu[1] oto ich najczęstsze taktyki:
Phishing
Nazwa phishing budzi dźwiękowe skojarzenia z fishingiem – czyli łowieniem ryb. Przestępcy, podobnie jak wędkarze, stosują bowiem odpowiednio przygotowaną „przynętę”. W tej roli wykorzystują najczęściej fałszywe e-maile, w których podszywają się pod powszechnie znane marki lub organizacje. Celem działania cyberprzestępców jest nakłonienie odbiorcy do ujawnienia danych osobowych, przechwycenie jego kont, kradzież haseł i danych kart kredytowych. Udane oszustwo może również doprowadzić do instalacji złośliwego oprogramowania na naszych urządzeniach umożliwiającego oszustowi uzyskanie do nich stałego dostępu. Cyberprzestępcy próbują nas oszukać przekonując do otwarcia fałszywej faktury, podszywając się pod dostawcę energii lub informując w imieniu znanej firmy kurierskiej o czekającej na nas przesyłce.
Fałszywa wiadomość e-mail może informować o problemie z kontem pocztowym lub bankowym i zawierać link pod którym mamy potwierdzić nasze dane celem rozwiązania problemu. Wiadomość może informować nawet o tym, że padliśmy ofiarą oszustwa i powinniśmy niezwłocznie podjąć sugerowane działanie. Fałszywe e-maile to jeden z najpopularniejszych i najprostszych sposobów w jaki cyberprzestępcy uzyskują nieautoryzowany dostęp do naszych danych w celu popełnienia oszustw bankowych i innych cyberprzestępstw.
Jak się bronić?
- Zwracaj uwagę na formę i treść wiadomości e-mail.
- Jeśli coś wygląda podejrzanie, najpierw skontaktuj się bezpośrednio z nadawcą wiadomości, aby to zweryfikować.
- Nie klikaj linków ani nie otwieraj załączników otrzymanych od nieznanych nadawców.
- Używaj aktualnego oprogramowania swoich urządzeniach, także zabezpieczającego.
- Zachowaj spokój i skonsultuj z kimś otrzymaną wiadomość, cyberprzestępcy przede wszystkim liczą na pośpiech i nieuwagę.
- Wszędzie tam gdzie to możliwe używaj uwierzytelniania dwuetapowego, czyli takiego, w którym do zalogowania oprócz loginu i hasła potrzebny jest np. kod sms wysłany na wcześniej zdefiniowany numer telefonu albo potwierdzenie logowania z użyciem oddzielnej aplikacji. Jeśli dojdzie do kradzieży loginu i hasła Twoje konto do serwisu internetowego będzie bezpieczne jeśli przestępca nie uzyska dostępu do telefonu, którym potwierdzasz logowanie.
Smishing
Smishing jest to rodzaj fałszywych powiadomień przesyłanych przez cyberprzestępców. To oszustwo podobne do phishingu, tylko wykorzystujące SMS. Urząd Komunikacji Elektronicznej ostrzega przed tego typu atakami. Jak wskazał UKE na swojej stronie internetowej, smishing to odmiana różnego rodzaju oszustw, w których przestępcy podszywają się pod inne osoby lub instytucje. Cel ataku może być różny, ale najpopularniejsze z nich to przede wszystkim zdobycie danych osobowych lub informacji o karcie kredytowej, a także zainfekowanie telefonu szkodliwym oprogramowaniem, które może zapewnić cyberprzestępcom zdalny dostęp do urządzenia.
Oszuści mogą informować nas o konieczności przejścia na kwarantannę, przypominać o rozliczeniu PIT, podszywać się pod kuriera, a także pod operatora prądu czy gazu, urzędy czy instytucję oraz pod organizacje charytatywne. Według UKE przestępcy, przygotowując ataki, świetnie potrafią dopasować się do aktualnej sytuacji w kraju i na świecie.
Jak się bronić?
- Obrona jest praktycznie taka sama jak w przypadku phishingu: najlepiej zachowajmy czujność.
- Jeśli masz jakiekolwiek wątpliwości, nie jesteś pewna/ien czy faktycznie nie powinniśmy czegoś dopłacić bądź uzupełnić danych to nigdy nie róbmy tego wchodząc przez link z SMS-a.
- Skontaktuj się bezpośrednio z firmą, która jest nadawcą wiadomości i potwierdź telefonicznie czy faktycznie ona czegoś od nas chce.
- Ważne jest także aby informować naszych bliskich o możliwych atakach, niech i oni będą mieli świadomość, że nie każda wiadomość jaką otrzymujemy musi być prawdziwa.
Oszustwa związane z pomocą techniczną
Innym popularnym oszustwem, które zbiera swoje żniwo jest oszustwo dotyczące wsparcia technicznego. Oszuści nakłaniają do kontaktu z nimi wyświetlając na stronach internetowych fałszywe komunikaty o błędach z numerem telefonu do pomocy technicznej, wysyłając wiadomości e-mail o podobnej treści lub dzwoniąc z informacją, że komputer został zainfekowany przez złośliwe oprogramowanie. Cyberprzestępcy mogą twierdzić, że są pracownikami znanych przedsiębiorstw informatycznych lub instytucji bankowych. W najlepszym przypadku spróbują uzyskać od ofiary zapłatę za „rozwiązanie” nieistniejącego problemu, a w najgorszym wykraść jej dane osobowe. Cyberprzestępcy będą próbowali nakłonić ofiarę do instalacji oprogramowania umożlwiającego zdalny dostęp do urządzenia, co może skończyć się zainstalowaniem złośliwego oprogramowania wymuszającego okup lub próbującego wykraść dane.
Jak się bronić?
- Zawsze aktualizuj oprogramowanie na swoim urządzeniu.
- Jeśli podczas używania komputera lub telefonu otrzymasz komunikat o błędzie zawierający numer telefonu, nie dzwoń pod ten numer. Poszukaj pomocy w świecie realnym. Nigdy nie instaluj oprogramowania pochodzącego z nieznanych źródeł.
- Nie udostępniaj zdalnego dostępu do swojego urządzania.
- Jeżeli nie jesteś absolutnie pewna/ien z kim rozmawiasz nie podawaj danych karty kredytowej przez telefon.
Fałszywe sklepy on-line
Black Friday, Cyber Monday i początek sezonu zakupów bożonarodzeniowych, to nie tylko świetne promocje, ale także doskonały czas dla cyberprzestępców. W wielu przypadkach spreparowane przez nich „sklepy internetowe” podszywają się pod witryny znanych marek. Znajdziesz tam „oferty w świetnej cenie”, które są tańsze nawet o 75 %, gdyż oszuści liczą na nasze emocje i pośpiech podczas zakupów. Jednak skorzystanie z usług za pośrednictwem podrobionej strony przestępców może skończyć się utratą pieniędzy, którymi zapłaciliśmy za nieistniejące towary lub kradzieżą danych karty kredytowej.
Jak się bronić?
- Sprawdź adres URL, aby upewnić się, że nadal znajdujesz się w witrynie danego sklepu. Cyberprzestępcy mogą przygotować swoją stronę w taki sposób, że jej adres nieznacznie różni się od adresu prawdziwego sklepu – na przykład dodają lub usuwają pojedynczą literę.
- Zweryfikuj tożsamości witryny, kliknij na kłódkę, który pojawia się po lewej stronie w pasku adresu podczas odwiedzania zabezpieczonej witryny. Pamiętaj, że zielona kłódka nie zawsze świadczy o tym, że możesz zaufać danej witrynie. Przede wszystkim sprawdź dla kogo został wydany certyfikat witryny.
- Jeśli oferta wydaje się zbyt piękna, aby była prawdziwa, istnieje spora szansa, że to oszustwo.
- Jeśli nie znasz sklepu, bądź ostrożna/y. Sprawdź najpierw w Internecie recenzje i powiadomienia o oszustwach.
- Uważnie czytaj treść wiadomości i powiadomień autoryzujących transakcję, które wysyła Twój bank.
- Nie loguj się do banku z użyciem linków wysyłanych w e-mailach, SMS-ach lub przez portale społecznościowe.
- Jeśli szukasz okazji lepiej korzystać z karty wirtualnej. To karta płatnicza, która nie ma fizycznej postaci. Występuje w postaci zapisu elektronicznego, ale podobnie do kart plastikowych karta wirtualna ma także swój numer, kod CVC2/CVV2 oraz datę ważności. Zapewnia większe bezpieczeństwo ze względu na możliwość zasilenia tylko konkretną kwotą potrzebną do realizacji płatności.
Do kogo i jak zgłaszać podejrzenie oszustwa internetowego?
Internetowy Serwis Rzeczypospolitej Polskiej zachęca, by zgłaszać do CSIRT NASK każdą podejrzaną stronę, a także wiadomości e-mail i SMSy, które mogą wyłudzać dane. Formularz znajduje się na stronie https://incydent.cert.pl. Wystarczy wypełnić krótki formularz online, dołączyć podejrzaną wiadomość i wysłać. Jeśli masz uzasadnione podejrzenie, że jesteś ofiarą oszustwa lub wykryłaś/eś podejrzenie oszustwa, zgłoś niezwłocznie ten fakt także Policji lub do prokuratury!
[1] Federal Trade Commission FY 2020 Report Emphasizing Consumer Protection in Areas of Data Privacy, Cybersecurity
Bibliografia:
- https://konsument.gov.pl/oszustwa-w-cyberprzestrzeni/
- https://www.gov.pl/web/baza-wiedzy/phishing–widzisz-zglaszaj
- https://www.uke.gov.pl/blog/jaonline-czyli-nie-daj-sie-zlowic,15.html?contrast=black-yellow
- https://uke.gov.pl/blog/strzez-sie-smishingu,21.html
- https://support.mozilla.org/pl/kb/jak-sprawdzic-polaczenie-ze-strona-internetowa-bezpieczne
- Badanie „Postawy Polaków wobec cyberbezpieczeństwa 2021”, Związek Banków Polskich i Warszawski Instytut Bankowości, sierpień 2021.