Jak nie paść ofiarą oszustów w sieci. Ekspert CERT o kulisach ochrony m.in. naszych kont bankowych w sieci

Rozmowa z Iwoną Prószyńską, ekspertką CERT Polska w NASK.

Jedną z praktyk przestępców jest rozsyłanie przez nich wiadomości pocztą elektroniczną. CERT Polska nieustannie edukuje Polaków w zakresie zachowania bezpieczeństwa w sieci. Czy potrafimy już rozpoznawać maile wyłudzające informacje?

- Przestępcy sięgają po nisko wiszące owoce. Starają się stosować metody, które będą kosztowały ich najmniej wysiłku, wpisują się w to masowe kampanie SMS-owe. Podobnie proste jest prowadzenie masowej kampanii mailowej, która w jednym czasie dotrze do bardzo wielu osób. Liczą, że jakaś część odbiorców okaże się podatna na socjotechnikę i poda swoje dane na stronie podstawionej przez oszustów.

Scenariusz działania cyberprzestępców jest zawsze taki sam - wykorzystują rozpoznawalny podmiot publiczny, ale to może być też znana firma prywatna, taka jak chociażby Spotify, by poprzez socjotechnikę skłonić nas do określonego działania i np. zdobyć nasze newralgiczne dane.

Socjotechnika, czyli np. presja czasu, to stały element scenariusza phishingowego. Jesteśmy alarmowani informacjami o niezapłaconym rachunku i groźbą, że jak go nie uregulujemy, to stracimy możliwość korzystania np. z danego serwisu. Najczęściej dotyczy to niewielkiej kwoty, np. 1,20 zł, co ma uśpić naszą czujność. Dlatego jeżeli dostajemy takiego maila, to zwróćmy uwagę na elementy socjotechniczne - presję czasu, groźbę czy inne próby manipulowania naszymi emocjami. Jeżeli będą one w podejrzanym mailu czy SMS-ie, to powinna nam się zapalić "czerwona lampka". Jeżeli dodatkowo adres nadawcy nie jest powiązany z podmiotem, który rzekomo do nas pisze, i jesteśmy przekierowywani na jakąś zewnętrzną stronę, to "czerwona lampka" powinna zacząć naprawdę bardzo intensywnie mrugać.

Jeżeli znajdziemy się na takiej stronie, to sprawdźmy, jaki jest jej adres, ponieważ wizualnie może wyglądać jak oryginalna. To pasek adresu zdradzi, że jest fałszywa.
W kampanii wykorzystującej wizerunek Spotify widać to dokładnie na załączonych do naszego ostrzeżenia próbkach wiadomości wysłanych przez oszustów. Uwagę zwraca zarówno adres nadawcy wiadomości, jak i pasek adresu strony, na którą oszuści nas przekierowują.

Jeśli chodzi o oszustów wykorzystujących wizerunek Spotify, czy dużo osób dało się oszukać ich socjotechnikom?

- Nie możemy odpowiedzieć na to pytanie, dlatego że nasze ostrzeżenia budujemy na podstawie zgłoszeń osób, które niekoniecznie padły ofiarą przestępstwa, ale właśnie rozpoznały, że mają do czynienia z podejrzaną wiadomością, która prowadzi do strony phishingowej wyłudzającej dane. Często te osoby mają świadomość, że przesyłając nam informację, pomagają chronić innych użytkowników sieci. Nasi analitycy weryfikują, czy przesłany link faktycznie prowadzi do strony wyłudzającej dane. Jeżeli potwierdzą zgłoszenie, taka strona trafia na Listę Ostrzeżeń, co oznacza, że dostęp do takiej strony będzie zablokowany dla innych użytkowników sieci.
Warto o tym mówić, bo nasze proaktywne działanie - przesyłanie zgłoszeń do CERT Polska - może uchronić innych użytkowników sieci, którzy czasami za szybko czytają maila i dają się nabrać na socjotechniki.

Jak wygląda dziś świadomość społeczna, jeśli chodzi o zachowanie wobec przestępstw w sieci? Czy jest coraz większa?

- Tak, nasza świadomość cały czas rośnie. Zdecydowanie. Od wielu lat obserwujemy coraz większą liczbę zgłoszeń do CERT Polska. To może budzić niepokój, ale też oznacza, że coraz więcej osób rozpoznaje oszustwa i wie, że zgłoszenie ich do nas może uchronić innych użytkowników przed konsekwencjami oszustwa.

W 2021 roku mieliśmy około 116 tys. zgłoszeń, w 2022 już ponad 320 tys., a w 2023 już blisko 400 tys. zgłoszeń. To jest też efekt naszej intensywnej pracy nad tym, żeby ułatwić informowanie CERT Polska o zagrożeniach w sieci. Uruchomiliśmy m.in. bezpłatny numer 8080, na który można bez żadnego dodatkowego wypełniania dokumentacji przesłać podejrzanego SMS-a.
Prowadzimy działania edukacyjne i promocyjne, opowiadamy o cyberzagrożeniach, ale też uczulamy, jak ważne jest zgłoszenie do CERT Polska. Pozwala m.in. lepiej widzieć, co się dzieje w polskiej cyberprzestrzeni, ale też skuteczniej edukować i bronić jej użytkowników.

A co z państwa punktu widzenia, z perspektywy zgłaszanych spraw, jest dzisiaj takim największym problemem, jeśli chodzi o przestępstwa internetowe w sieci?

- Tak naprawdę dominuje metoda znana jako phishing, wykorzystana także w scenariuszu ze Spotify. Oszuści podszywają się pod znany podmiot, używają socjotechniki po to, żeby osiągnąć określony cel.

W ubiegłym roku pojawiały się oszustwa związane z podszywaniem się pod Urząd Skarbowy i podejrzewam, że pojawią się też w tym roku. Cyberoszuści działają sezonowo. Wciąż bardzo często wykorzystywany jest też wizerunek firm kurierskich oraz Poczty Polskiej. Warto te wiadomości potwierdzić w danej instytucji i weryfikować adres strony.

Jakie podjąć czynności, jeśli padliśmy ofiarą cyberprzestępstwa?

- Kluczowe jest zgłoszenie przestępstwa w najbliższym komisariacie policji. Powinniśmy też niezwłocznie poinformować nasz bank. Jeżeli jednak podamy nasze dane logowania do bankowości elektronicznej na stronie przygotowanej przez oszustów, to musimy się liczyć z tym, że otworzyliśmy przestępcom drogę do swojego konta, a tym samym do wszystkich zgromadzonych tam pieniędzy.

Dziękuję za rozmowę.

• Bezpieczeństwo w sieci. Ekspert wskazuje, na jakie sztuczki przestępców należy uważać
• Oszustwo na Allegro zbiera żniwo. Jedno kliknięcie i oddasz dane do logowania

Rosyjska wojna informacyjna wymierzona w Polskę. Wiceminister cyfryzacji: nikt nie jest bezpieczny

kg/mpkor