54 proc. Polaków dostało w ciągu ostatnich 6 miesięcy podejrzane wiadomości SMS lub e-mail, a 18 proc. padło ofiarą oszustwa internetowego – wynika z badań przeprowadzonych przez SMSAPI. W powstałym na podstawie badania raporcie eksperci od bezpieczeństwa cyfrowego radzą jak rozpoznać niebezpieczne treści i uchronić się przed nimi.
Oszustwa internetowe to plaga, której ofiarą padło 18 procent respondentów biorących udział w badaniu SMSAPI, polskiej platformy do masowej wysyłki wiadomości SMS. Władze próbują walczyć z tym zjawiskiem w sposób systemowy, jednak przestępcy ciągle wymyślają nowe metody oszustw. Dlatego najwięcej może zdziałać tu świadomość i edukacja społeczeństwa, które będzie wiedziało, jak samemu uchronić się przed takimi atakami i minimalizować ich ewentualne konsekwencje.
Anatomia phishingu
Phishing, a więc podszywanie się pod firmy i instytucje w celu wyłudzenia danych, to najczęściej stosowany przez oszustów typ cyberprzestępstwa. Wysyłają oni spreparowane wiadomości z linkami kierującymi zazwyczaj do fałszywych stron np. banków lub bramek płatniczych, ale też serwisów pocztowych, społecznościowych i innych. Niektórym chodzi po prostu o kradzież pieniędzy swoich ofiar. Natomiast przejęte konta pocztowe lub social media mogą służyć do przeprowadzania kolejnych ataków.
Powszechne kanały komunikacji, takie jak SMS czy e-mail, cieszą się ogromną popularnością i zaufaniem wśród odbiorców na całym świecie. Niestety, jednocześnie czyni to z nich skuteczne narzędzia oszustw – mówi Wojciech Kaczmarek, Managing Director w LINK Mobility Poland, do której należy marka SMSAPI. – Aby z nimi skutecznie walczyć, musimy zadbać o jak najwyższą świadomość społeczeństwa na temat tych zagrożeń i ciągłą edukację w tym obszarze. A jest co robić, bo jak pokazuje nasz raport, niespełna 30 procent badanych było w stanie rozpoznać fałszywe wiadomości – dodaje Wojciech Kaczmarek.
Pośpiech – twój wróg
Ataki phishingowe opierają się na prostych zabiegach socjotechnicznych – ponagleniu do działania i straszeniu konsekwencjami. Charakterystyczny dla dzisiejszego społeczeństwa pośpiech i związana z tym niewystarczająca uważność powodują, że są one niestety skuteczne.
Błędy najczęściej popełniane są w pośpiechu, gdy ofiara czuje, że nie ma czasu na analizę otrzymanej wiadomości. Szczególnie skuteczne jest to kiedy otrzymane treści „pasują” do sytuacji – zauważa Leszek Tasiemski, Vice President of Product Management w WithSecure. – Dlatego w okresie świątecznym mamy wysyp oszustw polegających na podszywaniu się pod firmy kurierskie. Kiedy jest pora rozliczenia PIT – cyberprzestępcy mogą udawać przedstawicieli Urzędu Skarbowego – podkreśla ekspert.
Dlatego też otrzymując wiadomość, która zawiera wspomniane elementy (ponaglenia i groźby), najlepiej nie działać pod wpływem chwili. Przed podjęciem jakichkolwiek działań, a zwłaszcza kliknięciem w znajdujący się w SMS-ie lub e-mailu link, lepiej zweryfikować kluczowe elementy wiadomości.
- To powinno wzbudzić podejrzenia:
Nadawca – błędy w nazwie lub adresie np. przestawione lub podwojone litery, nieznany nr telefonu; oficjalne numery telefonów i adresy firm i instytucji łatwo zweryfikować na ich stronach internetowych lub w aplikacjach. - Adresat – brak bezpośredniego odniesienia do adresata np. imię i nazwisko lub numer klienta.
- Link – nietypowy adres strony internetowej, błędy podobne jak w nazwie nadawcy.
- Brak kontekstu – nadawcą jest firma lub instytucja, której klientem nie jesteś lub ostatnio nie korzystałeś z jej usług.
- Błędy – wszelkie błędy językowe w treści np. brak polskich znaków, nienaturalny szyk zdań, słowa nie pasujące do kontekstu.
- Ponaglenia i groźby konsekwencji – mają doprowadzić do podjęcia pochopnych działań.
A co, jeśli kliknąłem?
Samo wejście na stronę, do której prowadzi link ze spreparowanej wiadomości, nie musi jeszcze oznaczać bezpośredniego zagrożenia. Natomiast podanie tam jakichkolwiek danych już tak. Należy wtedy podjąć odpowiednie kroki, które mogą zminimalizować konsekwencje ataku.
Konsekwencje phishingu mogą być różne, wszystko zależy od tego, czy rozpoznamy go na wczesnym etapie, czy ujdzie on przestępcom płazem. Warto więc mieć na uwadze wszystkie wiadomości próbujące wmówić nam, że mamy nieopłaconą przesyłkę lub nie uzupełniliśmy danych – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl. – Jeśli udostępnimy takie dane, a dopiero później zauważymy, że mogła to być fałszywa strona czy wiadomość od przestępcy – możemy jeszcze działać i uchronić się przed większą stratą. Warto monitorować nasz numer PESEL, jeśli go podawaliśmy. A jeśli wpisywaliśmy numer naszej karty płatniczej – koniecznie musimy ją zastrzec w banku – radzi Bartłomiej Drozd.
Edukuj – siebie i innych
Oprócz ostrożności, w ochronie przed phishingiem równie ważna jest wiedza. Większość uczestników badania (ponad 69 proc.) zadeklarowała, że czerpie ją z mediów. Ale ponad połowa respondentów przyznała również, że dowiaduje się o zagrożeniach od członków rodziny i znajomych.
Edukacja oraz wymiana informacji to najlepsze zabezpieczenie przed próbami nadużyć opartych na phishingu oraz innymi formami ataków. Budowanie wzajemnej odpowiedzialności społecznej za nasze wspólne przecież bezpieczeństwo jest kluczem do sukcesu – mówi Szymon Sidoruk, Specjalista ds. Analizy Zagrożeń w CERT Polska.
{loadmoduleid 1123}
Zobacz więcej