Powiatowy Rzecznik Konsumentów ostrzega przed fałszywymi e-mailami i SMS-ami. Mogą one wyrządzić nie tylko wiele szkód na urządzeniu, z którego korzystamy, ale również pozbawić nas pieniędzy.
Coraz powszechniejsze stają się niestety ataki typu phishing. Wykorzystywana jest tutaj inżynieria społeczna, tj. technika polegająca na tym, że przestępcy internetowi próbują oszukać ofiarę i spowodować, aby podjęła działania zgodne z ich zamierzeniami. Cyberprzestępcy podszywają się w szczególności pod firmy kurierskie, operatorów telekomunikacyjnych czy urzędy, starając się wyłudzić dane używane do logowania do kont bankowych, kont na portalach społecznościowych itp.
Przy phishingu (od fishing- łowienie ryb) przestępcy podobnie do wędkarzy posługują się specjalnie przygotowaną ,,przynętą’’, stosując w tym celu sfałszowane e-maile i SMS-y. Wiadomości takie wyglądają jak prawdziwe, jednak w rzeczywistości są fałszywe. Najczęściej skłaniają do ujawnienia poufnych informacji takich jak: nr kont, hasła, dane osobowe albo powodują zainfekowanie komputera/telefonu szkodliwym oprogramowaniem.
Phishing nie wymaga posiadania zaawansowanej wiedzy technicznej bowiem bazuje na najsłabszym ogniwie ochrony sieci komputerowej, czyli błędach użytkownika.
Oto przykładowe wiadomości wysyłane przez oszustów:
- fałszywe SMS-y o skierowaniu na kwarantannę. Przestępcy wysyłają informację o nałożeniu na odbiorcę wiadomości kwarantanny. Wiadomość taka zawiera także link prowadzący rzekomo do strony informacyjnej. Jego otwarcie może być niebezpieczne dla urządzenia odbiorcy (https://www.gov.pl/web/gis/ostrzezenie-glownego-inspektora-sanitarnego),
- fałszywe SMS-y o planowanym wyłączeniu dostaw energii elektrycznej z powodu braku opłacenia rachunku wraz z linkiem prowadzącym rzekomo do strony dostawcy energii,
- fałszywe SMS-y z informacją o konieczności dopłaty za przesyłkę kurierską wraz z linkiem prowadzącym rzekomo do strony umożliwiającej dokonanie takiej płatności. W rzeczywistości może dojść do wyłudzenia środków z konta bankowego ofiary.
Jak radzić sobie z fałszywymi wiadomościami?
Jeśli nie kliknąłeś w żaden link w wiadomości e-mail, to dobrze.
Dopóki nie masz pewności, że nadawca jest prawdziwy, nie powinieneś klikać w żadne linki ani na nie odpowiadać. W wiadomościach SMS lub e-mailach często wykorzystywane są tzw. tiny-URL, czyli skrócone adresy stron internetowych. Stąd też zalecamy zwracanie szczególnej uwagi na nazwy stron internetowych, które przesyłane są w podejrzanych e-mailach czy SMS-ach np. zamiast www.allegro.pl wykorzystywany może być fałszywy adres www.allegrosklep.online itp.
Następną rzeczą jest ustalenie, czy wiadomość e-mail jest autentyczna i nie jest oszustwem.
Jak rozpoznać e-mail wyłudzający informacje?
- Wiele wiadomości phishingowych ma niepoprawną gramatykę, interpunkcję, pisownię, czy też brak jest polskich znaków diakrytycznych np. nie używa się „ą”, „ę” itd.
- Sprawdź, czy mail pochodzi z organizacji, na którą powołuje się nadawca. Często adres mailowy nadawcy jest zupełnie niewiarygodny, czy też nie jest tożsamy np. z podpisem pod treścią e-maila.
- Oceń, czy wygląd i ogólna jakość e-maila może pochodzić z organizacji/firmy, od której powinna pochodzić taka wiadomość np. użyte logotypy, stopki z danymi nadawcy itd.
- Sprawdź, czy e-mail jest adresowany do Ciebie z imienia i nazwiska, czy odnosi się do „cenionego klienta”, „przyjaciela” lub „współpracownika”? Może to oznaczać, że nadawca tak naprawdę Cię nie zna i że jest to część oszustwa typu phishing.
- Sprawdź, czy e-mail zawiera ukryte zagrożenie, które wymaga natychmiastowego działania? Bądź podejrzliwy w stosunku do słów typu „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”.
- Spójrz na nazwę nadawcy, czy wygląda na prawdziwą, czy może tylko naśladuje kogoś, kogo znasz.
- Jeśli wiadomość brzmi zbyt dobrze, aby mogła być prawdziwa, prawdopodobnie nie jest ona prawdziwa. Jest mało prawdopodobne, aby ktoś chciał Ci dać pieniądze lub dostęp do tajnej części Internetu.
- Twój bank lub jakakolwiek inna instytucja nigdy nie powinna prosić Cię o podanie w wiadomości e-mail danych osobowych.
- Urzędy administracji publicznej nigdy nie proszą Cię przy pomocy SMS, czy maili o dopłatę do szczepionki, czy uregulowanie należności podatkowych.
- Sprawdź wszelkie polecenia lub pytania w wiadomości e-mail na przykład dzwoniąc do banku z pytaniem czy rzeczywiście wysłana została do Ciebie taka wiadomość lub wyszukaj w wyszukiwarce Google (lub podobnej) wybrane słowa użyte w wiadomości e-mail.
- Zwracaj uwagę na linki przekazywane również między znajomymi, sprawdź czy link faktycznie prowadzi do właściwej strony. Coraz częściej przestępcy uzyskując w nielegalny sposób kontrolę nad naszymi kontami społecznościowymi podszywają się pod naszych znajomych i rodzinę.
- Uważaj na skrócone linki, jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.
Jeśli zauważysz podejrzanego e-maila, oznacz go w skrzynce odbiorczej jako spam lub wiadomości śmieci lub podejrzany. Spowoduje to usunięcie go ze skrzynki odbiorczej, a także poinformowanie dostawcy poczty e-mail, że zidentyfikowałeś go jako potencjalnie niebezpieczny.
Do kogo i jak zgłaszać podejrzenie phishingu?
Zgłaszanie phishingu jest niezwykle proste i intuicyjne. Po prostu wejdź na stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska https://incydent.cert.pl/, wypełnij krótki formularz online, dołącz podejrzaną wiadomość i wyślij.
Jeśli masz uzasadnione podejrzenie, że jesteś ofiarą oszustwa lub wykryłaś/eś podejrzenie oszustwa, zgłoś niezwłocznie ten fakt także Policji lub do prokuratury!
Więcej o tym, jak zadbać o swoje cyberbezpieczeństwo dowiesz się w portalu GOV.PL
Wykorzystano treści znajdujące się na stronie:
- https://pl.wikipedia.org/wiki/Phishing
Powiatowy Rzecznik Konsumentów w Kielcach
Wojciech Wojtaszek
