Liczba ataków phishingowych nieustannie rośnie. Cyberprzestępcy prześcigają się w pomysłach na wyłudzenie haseł dostępu do naszych kont i poufnych informacji. Jak się przed nimi bronić?

Po hasło jak w masło

Nie używają łomów, wytrychów ani ładunków wybuchowych, a mimo to dokonują skutecznych włamań. Nie napadają z bronią w ręku, ale i tak budzą trwogę. Nie noszą kominiarek ani pończoch, a jednak są nierozpoznawalni i w większości przypadków nieuchwytni dla wymiaru sprawiedliwości. Ukryci za ekranami swoich komputerów, obmyślają kolejne ścieżki dostępu do poufnych danych (haseł, kodów PIN itp.), podszywając się pod inne osoby lub instytucje i żerując na lukach w zabezpieczeniach systemowych oraz na naszej niefrasobliwości... Przestępcy sieciowi wykorzystują techniki phishingu (z ang. password harvesting fishing – łowienie haseł) w celach zarobkowych i są w tych działaniach coraz bardziej zuchwali. Wystarczy wymienić kilka przykładów z ostatniego okresu, aby unaocznić skalę ich sprytu i zasięg manipulacji.

QR kody bez niczyjej zgody

W grudniu ub. r. policja, Bankowe Centrum Bezpieczeństwa Związku Banków Polskich oraz Polska Izba Informatyki i Telekomunikacji przestrzegały użytkowników smartfonów przed skanowaniem kodów QR bezprawnie umieszczanych na bankomatach. Uczynienie tego mogło uruchomić aplikację wysyłającą SMS Premium bez ich wiedzy, za to za ich pieniądze. Ponadto, za pośrednictwem matackich platform kody mogły zostać wykorzystane do wyłudzenia loginów i haseł do serwisów pocztowych, mediów społecznościowych, bankowości elektronicznej, usług publicznych i do zainfekowania smartfonów szkodliwym oprogramowaniem.

Uwaga na złośliwe SMS-y!

Również w grudniu 2018 roku jeden z największych banków w Polsce ostrzegał swoich klientów przed SMS-ami rozsyłanymi przez cyberprzestępców podszywających się pod ich instytucję (nadawcą wiadomości był rzekomo bank), których celem było pozyskanie danych logowania do systemu bankowości. Odbiorca był w nich informowany o nieautoryzowanym dostępie do jego konta i konieczności potwierdzenia swojej tożsamości pod wskazanym odnośnikiem. Zresztą ten sam bank niejednokrotnie informował w ubiegłym roku # różnych innych zagrożeniach ze strony oszustów, jak choćby fałszywe maile czy podejrzane transakcje na portalach aukcyjnych i grupach społecznościowych.

Zarzucanie sieci na kupujących w sieci

No właśnie, portale aukcyjne to kolejne ogromne pole do popisu dla przestępców sieciowych. Liczba uczestników i przeprowadzanych na nich transakcji przyciąga ich jak magnes, a prawdopodobieństwo trafienia jelenia jest niewspółmiernie wysokie do poniesionego ryzyka. Na pewno wielu z Was korzystających z usług zakupów przez internet, płacących przelewami za przesyłkę, spotkało się z próbami wyłudzeń pieniędzy i/lub poufnych informacji. Metody działania oszustów są różne i coraz bardziej wyrafinowane. Raz podszywają się pod firmy kurierskie, jak choćby InPost, i wysyłają SMS-y nakłaniające do zainstalowania na smartfonie złośliwej aplikacji. Innym razem preparują wiadomość przekierowująca na fałszywy panel DotPay z żądaniem dopłaty 1 zł (słownie: jednej złotówki) pod groźbą anulowania zamówienia. Co ciekawe, poruszają się na tym gruncie na tzw. pałę. Nie wiedzą, czy ktoś akurat coś zamówił i opłacił. Zakładają, i jak się okazuje całkiem słusznie, że wśród odbiorców SMS-ów znajdzie się sporo osób, które jeśli nie przed chwilą zakończyły zakupy online, to opłaciły przesyłkę kilka dni temu i teraz czekają na swoje zamówienie. Bo dziś prawie każdy kupuje w internecie i ta tendencja już się raczej nie zmieni…

Ostrożności nigdy dość!

Nie zmieni się także nastawienie cyberprzestępców. Nie ma co liczyć, że nagle zaniechają swojego procederu. Jednak to my w ostatecznym rozrachunku decydujemy o powodzeniu lub niepowodzeniu ich działań. Jak zatem zabezpieczyć się przed wszędobylskim phishingiem? Oto kilka wskazówek postępowania:

• należy zachować czujność wobec wszelkich wiadomości wysyłanych przez różne instytucje z prośbą o aktualizację danych;
• nie wolno odruchowo klikać w linki „odsyłające do formularza rejestracyjnego” załączane w mailach, gdyż w rzeczywistości mogą one kierować na sfałszowane strony – nawet jeśli wiadomość wygląda na wiarygodną, zdecydowanie bezpieczniej będzie wpisać odręcznie adres strony firmowej w przeglądarce lub upewnić się telefonicznie, czy dana akcja jest faktycznie przeprowadzana;
• powinno się  zwracać uwagę na styl wiadomości – fałszywe maile i SMS-y pisane są zwykle nieudolną polszczyzną;
• należy zawsze, o ile to możliwe, korzystać z bezpiecznych stron internetowych oznaczonych https:// i ikoną kłódki na pasku adresu przeglądarki;
• warto systematycznie aktualizować oprogramowanie antywirusowe w myśl zasady, że nowe wersje są odporniejsze na nowe wirusy.

Niezastosowanie się do ww. wskazówek może nas drogo kosztować. I nie chodzi tu tylko o stan naszego konta. Równie boleśnie odczuje to nasza psychika, bo nie ma nic gorszego jak osobiste przyzwolenie przestępcy na zrobienie z nas jelenia.  Miejmy się na baczności!

Popularne wpisy na blogu:

Bezpieczne sposoby logowania się do bankowości elektronicznej
Czy z aplikacją mObywatel można założyć konto w banku?
Gdzie bezpiecznie inwestować krótkoterminowo?
Na czym polega dywersyfikacja oszczędności? Wyjaśniamy
Planowanie budżetu domowego. O czym warto pamiętać?
Do czego służy numer IBAN rachunku i gdzie go znaleźć?
Co to jest podpis elektroniczny i jak go uzyskać? Krok po kroku
ROR – czym jest i dlaczego warto trzymać tam pieniądze?
Czy trudno otrzymać kredyt dla nowych firm? Wyjaśniamy
Najpopularniejsze rodzaje kredytów. Praktyczny przewodnik