Przybywa oszustw w internecie. Jak nie dać się nabrać i nie stracić pieniędzy?

Jak podaje dziennik, podczas pandemii koronawirusa między lutym a majem 2020 roku liczba ataków cybernetycznych w instytucjach finansowych wzrosła o 238 proc.

– Z danych zbieranych przez CERT Polska wynika, że na ataki cybernetyczne narażona jest niemal co piąta osoba. Na drugim miejscu – z udziałem ponad 16-proc. są banki i to one były w ubiegłym roku ofiarą dwóch trzecich incydentów kwalifikowanych przez CERT jako poważne, czyli takie, które zakłócają świadczenie usługi kluczowej – czytamy.

Powiązany Artykuł

Fałszywe maile od Facebooka. CERT Polska ostrzega przed cyberatakiem

Oszustwom sprzyja praca zdalna i pandemia

Oszuści coraz częściej podszywają się pod firmy telekomunikacyjne lub energetyczne, podrabiają ich faktury i zamieszczają na nich swoje numery rachunków. Płacący, którzy nie mają zdefiniowanego przelewu danego usługodawcy, rzadko sprawdzają wszystkie dane w otrzymywanych dokumentach, a właśnie na to liczą oszuści. Według dziennika oszustwom w tym momencie dodatkowo sprzyja praca zdalna i pandemia.

– Wykryto wiele przypadków rozsyłania fałszywych e-maili z rzekomymi informacjami o Światowej Organizacji Zdrowia. Przykładem wykorzystywania pandemii był też e-mail od lekarza, który obiecywał szczegółowe informacje na temat środków bezpieczeństwa do ochrony przed globalną pandemią. Wystarczyło kliknąć w załączony link, aby zostało zainstalowane złośliwe oprogramowanie przejmujące dane w komputerze i umożliwiające dostęp do systemu sieciowego i kontaktów odbiorcy wiadomości – piszą autorzy tekstu.

Jeden z najpopularniejszych typów ataków

Zespół reagowania na incydenty cyberbezpieczeństwa – CSIRT NASK – zarejestrował w 2019 roku 6484 incydentów, wśród których 4100 było atakami typu "fraud", czyli oszustw internetowych. Do oszustw w cyberprzestrzeni wykorzystywane są przede wszystkim ataki typu phishing.

Phishing to jeden z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS. Wykorzystuje inżynierię społeczną, czyli technikę polegającą na tym, że przestępcy internetowi próbują oszukać odbiorcę wiadomości i spowodować, aby podjął działanie zgodnie z ich zamierzeniami. Cyberprzestępcy, podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet znajomych, starają się wyłudzić dane do logowania, na przykład do kont bankowych lub kont społecznościowych, czy systemów biznesowych. Oszukańcze wiadomości mogą też zawierać link do strony internetowej rozprzestrzeniającej szkodliwe oprogramowanie lub mieć zainfekowany załącznik.

Jak radzić sobie z fałszywymi wiadomościami?

Dopóki nie ma pewności, że nadawca jest prawdziwy, nie powinno się klikać w żadne linki ani na nie odpowiadać. Jak rozpoznać e-mail wyłudzający informacje?

    • Wiele wiadomości phishingowych ma niepoprawną gramatykę, interpunkcję, pisownię, czy też brak jest polskich znaków diakrytycznych, np. nie używa się „ą”, „ę” itd.
    • Sprawdź, czy mail pochodzi z organizacji, na którą powołuje się nadawca. Często adres mailowy nadawcy jest zupełnie niewiarygodny, czy też nie jest tożsamy np. z podpisem pod treścią maila.
    • Oceń, czy wygląd i ogólna jakość e-maila może pochodzić z organizacji lub firmy, od której powinna pochodzić taka wiadomość – użyte logotypy, stopki z danymi nadawcy itd.
    • Sprawdź, czy e-mail jest adresowany do Ciebie z imienia i nazwiska, czy odnosi się do „cenionego klienta”, „przyjaciela” lub „współpracownika”? Może to oznaczać, że nadawca tak naprawdę cię nie zna i że jest to część oszustwa typu phishing. 
    • Sprawdź, czy e-mail zawiera ukryte zagrożenie, które wymaga natychmiastowego działania? Bądź podejrzliwy w stosunku do słów typu "wyślij te dane w ciągu 24 godzin" lub "padłeś ofiarą przestępstwa, kliknij tutaj natychmiast". 
    • Spójrz na nazwę nadawcy, czy wygląda na prawdziwą, czy może tylko naśladuje kogoś, kogo znasz.  
    • Jeśli wiadomość brzmi zbyt dobrze, aby mogła być prawdziwa, prawdopodobnie nie jest ona prawdziwa. Jest mało prawdopodobne, aby ktoś chciał Ci dać pieniądze lub dostęp do tajnej części Internetu. 
    • Twój bank lub jakakolwiek inna instytucja nigdy nie powinna prosić Cię o podanie w wiadomości e-mail danych osobowych.  
    • Urzędy administracji publicznej nigdy nie proszą Cię przy pomocy SMS, czy maili o dopłatę do szczepionki, czy uregulowanie należności podatkowych.
    • Sprawdź wszelkie polecenia lub pytania w wiadomości e-mail, na przykład dzwoniąc do banku z pytaniem, czy rzeczywiście wysłana została do Ciebie taka wiadomość lub wyszukaj w wyszukiwarce wybrane słowa użyte w wiadomości e-mail. 
    • Zwracaj uwagę na linki przekazywane również między znajomymi, sprawdź, czy link faktycznie prowadzi do właściwej strony. Coraz częściej przestępcy, uzyskując w nielegalny sposób kontrolę nad naszymi kontami społecznościowymi, podszywają się pod naszych znajomych i rodzinę.  
    • Uważaj na skrócone linki, jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.

Do kogo i jak zgłaszać podejrzenie phishingu?

Zgłaszanie phishingu jest niezwykle proste i intuicyjne. Jedną z najskuteczniejszych metod jest wejście na stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska – incydent.cert.pl – i wypełnienie krótkiego formularza online. Należy dołączyć także podejrzaną wiadomość. Jeśli jednak pojawiają się uzasadnione podejrzenia, że jesteś ofiarą oszustwa lub masz uzasadnione podejrzenie oszustwa, zgłoś niezwłocznie ten fakt także Policji lub do prokuratury.

PolskieRadio24.pl/IAR/PAP/gov.pl/DoS, md