Liczba oszustw phishingowych od 2015 roku nieprzerwanie rośnie – podkreśla policja i przestrzega przed pięcioma najczęstszymi technikami oszustów. Chodzi m.in. o fałszywe wiadomości sms, szkodliwe oprogramowanie ukryte pod akceptacją regulaminu oraz oszustwa na popularnej platformie OLX.
Obszerną informację na temat przestępstw phishingowych opublikowano na stronie Polskiej Policji. „Phishing to rodzaj oszustwa, który polega na podawaniu się za inną osobę, podszywaniu się pod firmę lub instytucję w celu wyłudzenia poufnych informacji, danych logowania, danych karty kredytowej, konta bankowego lub używanych haseł” – przypomina policja i dodaje, że liczba oszustw tego rodzaju od 2015 roku nieprzerwanie rośnie.
„Ostatnie miesiące były rekordowe pod względem liczby zaobserwowanych prób oszustwa przez e-mail, SMS czy komunikator. Ten wzrost zbiega się z pandemią koronawirusa i związanym z nią ograniczeniem kontaktów osobistych oraz przeniesieniem do internetu wielu codziennych aktywności” – wskazano. Większość ataków, z którymi możemy się zetknąć, stanowią proste sztuczki opierające się na powtarzalnych schematach i niewymagające dużych nakładów pracy, ale jest ich na tyle dużo, że należy zachować czujność.
Według policji najbardziej popularną kampanią phishingową, która pojawiła się w czasie pandemii COVID-19, jest oszustwo wobec użytkowników serwisu ogłoszeniowego OLX. Przestępcy kontaktują się w sprawie zakupu przedmiotów wystawionych na sprzedaż, wykorzystując komunikator WhatsApp - następnie proponują sfinalizowanie transakcji z wykorzystaniem usługi płatności świadczonej przez portal. Jeśli sprzedawca się zgodzi, wysyłają spreparowany link, który przypomina OLX, ale w rzeczywistości zawiera fałszywy formularz płatności. Atak kończy się kradzieżą danych karty kredytowej i wyłudzeniem środków finansowych nieświadomego użytkownika.
Inna taktyka polega na wysyłaniu fałszywych wiadomości sms. Oszust wysyła swój sms do jak największej liczby losowych numerów, umieszczając w wiadomości link do fałszywej strony płatności. Fałszywe smsy informują np. o konieczności dopłaty do szczepionki. Pojawiają się również wiadomości, w których mowa o uregulowaniu należności za energię elektryczną, wyrównania niedopłaty podatku lub mandatu karnego. Kwota określona w wiadomości jest zwykle niewielka. Przestępcy liczą na to, że odbiorca nie będzie drobiazgowo weryfikował, czy należność jest zasadna i będzie skłonny skłonne zapłacić „dla świętego spokoju”. „Niestety podanie danych logowania na fałszywej stronie płatności może doprowadzić do utraty dużo większej sumy niż wymieniona w wiadomości” -– podkreśla policja.
Kampanie phishingowe mogą się rozprzestrzeniać również za pomocą wiadomości e-mail. Nadawcy podszywają się pod operatorów polskich serwisów pocztowych takich jak Onet, Interia, O2 i Wirtualna Polska. Zależnie od wariantu oszustwa, w treści wiadomości pojawia się informacja o konieczności zatwierdzenia nowej polityki prywatności lub powiadomienie o tym, że konto zostało zablokowane z powodu naruszenia regulaminu przez użytkownika. W obu przypadkach ofiara jest namawiana do przejścia na wskazaną stronę w celu zdjęcia blokady konta. Gdy już to zrobimy, nasze urządzenie może zostać zainfekowane wirusem wykradającym poufne dane.
Kolejny z ataków polega na zainstalowaniu na urządzeniu mobilnym szkodliwego oprogramowania Flubot. Swoją nazwę (z ang. flu – grypa) zawdzięcza błyskawicznemu rozprzestrzenianiu się. Atak jest wymierzony w użytkowników urządzeń z systemem Android. „Fałszywa aplikacja uzyskuje dostęp do listy kontaktów z zainfekowanego urządzenia i uprawnienia, które pozwalają jej na wysyłanie i odbieranie SMS-ów. Dodatkowo Flubot jest zagrożeniem, które potrafi wykradać dane logowania do różnych serwisów, w tym bankowości mobilnej” – informuje policja.
Uważać powinniśmy również na linki do fałszywych portali informacyjnych, które przychodzą do nas od znajomych na serwisach społecznościowych. Możliwe, że pochodzą one od oszusta. „Kto kliknie w ten link, zobaczy formularz logowania do Facebooka (...) Formularz jest fałszywy, więc jeśli podamy tam swoje dane logowania, to przestępca będzie mógł się zalogować na nasze konto i z niego wysyłać podobne wiadomości do naszych znajomych i w ten sposób przejmować ich konta” – czytamy. Złodziej może również podszywać się za nas i próbować wyłudzić od naszych znajomych pieniądze.
Jak podkreśla policja, w przypadku kampanii phishingowych najlepszą linią obrony są zawsze ostrożność oraz uwaga. „Za każdym razem należy weryfikować nazwę strony internetowej, na której podaje się wrażliwe dane, czy nazwę domeny, z której otrzymano ważną wiadomość mailową. Każdy błąd, nawet drobna literówka, mogą świadczyć o oszustwie” – zaznaczono.
Bardzo istotne jest również używanie unikalnych i odpowiednio skomplikowanych haseł w każdym z serwisów (w szczególności podczas korzystania z kont pocztowych, za pomocą których można resetować hasła w innych serwisach). Pomocne w tym zakresie są menedżery haseł. Wszelkie podejrzenia należy weryfikować, kontaktując się z rzekomym nadawcą za pomocą innego kanału niż ten, przez który dotarła wiadomość.
Należy również pamiętać o odpowiednim dbaniu o inne kwestie związane z naszą obecnością w internecie. Krótki poradnik dotyczący najważniejszych zasad bezpiecznego korzystania z poczty elektronicznej oraz mediów społecznościowych przygotował CERT Polska - zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w internecie. Link do poradnika: https://www.cert.pl/uploads/docs/CERT_Polska_Bezpieczna_poczta_i_konta_spolecznosciowe.pdf
Zamieszczone na stronach internetowych portalu https://opoka.org.pl/ i https://opoka.news materiały sygnowane skrótem „PAP" stanowią element Serwisów Informacyjnych PAP, będących bazami danych, których producentem i wydawcą jest Polska Agencja Prasowa S.A. z siedzibą w Warszawie. Chronione są one przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Powyższe materiały wykorzystywane są przez Fundację Opoka na podstawie stosownej umowy licencyjnej. Jakiekolwiek ich wykorzystywanie przez użytkowników portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, jest zabronione. PAP S.A. zastrzega, iż dalsze rozpowszechnianie materiałów, o których mowa w art. 25 ust. 1 pkt. b) ustawy o prawie autorskim i prawach pokrewnych, jest zabronione.