W ostatnich latach temat cyberbezpieczeństwa zyskuje coraz większą popularność. Przy okazji pojawiają się różne rekomendacje związane z tym zagadnieniem. Na szczególną uwagę zasługują wszelkie zalecenia mówiące o „nieklikaniu w podejrzane linki”, które zazwyczaj są tworzone w zestawieniu z alarmującymi tytułami, jak np. „Kliknęła w link i straciła oszczędności”.
W tym artykule skupimy się na wyjaśnieniu, dlaczego „kliknięcie w link” nie musi być niebezpieczne, oraz przedstawimy argumenty za tym, dlaczego porada przestrzegająca przed „podejrzanymi linkami” nie jest jasna i wymaga szerszego omówienia. Sytuacja zazwyczaj wyglądała następująco: ktoś kliknął w link i trafił na stronę, która była łudząco podobna do strony internetowej banku lub portalu społecznościowego. Użytkownik nie dostrzegł różnicy i wpisał swoje dane do logowania. Oszuści wykorzystali wyłudzone dane, aby uzyskać dostęp do konta i środków ofiary. Z perspektywy użytkownika utrata środków mogła wyglądać na bezpośrednie następstwo kliknięcia w niewłaściwy link. Jednak w rzeczywistości najistotniejszym problemem nie było samo kliknięcie w link, ale to, że strona, na której podał dane, była fałszywa.
Należy podkreślić, że jest możliwe stworzenie strony o dowolnym wyglądzie. Dlatego też strony tworzone przez oszustów mogą wyglądać właściwie tak samo jak prawdziwe. W związku z tym należy zwracać szczególną uwagę na wszystkie formularze do podawania danych.
Linki i bezpieczeństwo
Linki hiperłącza to odnośniki, które umożliwiają użytkownikom internetu swobodne przemieszczanie się między materiałami i treściami na stronach internetowych lub między miejscami w danym dokumencie. Wielu użytkownikom linki kojarzą się przede wszystkim z SMS-ami i wiadomościami e-mail, gdzie najczęściej są widoczne jako klikalny adres strony, zaczynający się zazwyczaj od http lub https.
Linki jednak mogą się także kryć pod dowolnym klikalnym elementem na stronie internetowej lub w wiadomości e-mail. Linki zawierają w sobie tekst widziany przez użytkownika oraz informację o docelowym adresie lub zasobie. Niektóre źródła radzą, by skierować kursor myszy na link, co spowoduje wyświetlenie docelowego adresu URL w lewym dolnym rogu okna. Należy jednak zwrócić uwagę, że dla przeciętnego użytkownika przeanalizowanie wyświetlonego linku lub adresu może okazać się trudne. Dodatkowo ten sposób nie sprawdzi się w przypadku powszechnie stosowanych dziś skracaczy, czyli narzędzi, które pozwalają zamienić długi adres internetowy na zaledwie kilka znaków. Jeśli takie narzędzie zostało zastosowane, to poznanie domeny docelowej będzie możliwe dopiero po wejściu we wskazany link.
Warto to podkreślić: samo kliknięcie w link w znaczącej większości przypadków nie jest niebezpieczne. Dopiero akcje wykonane na stronie lub zawartości kontrolowanej przez oszustów mogą przynieść szkody. Jednak od każdej reguły musi istnieć wyjątek, i o nim też musimy powiedzieć.
Podatności oprogramowania
Są to podatności, czyli błędy i luki w oprogramowaniu. Przestępcy mogą je wykorzystać, aby poprzez stronę internetową uzyskać dostęp do zasobów, które normalnie powinny być niedostępne bez dodatkowej interakcji ze strony użytkownika. Jednak nie powinniśmy się tego obawiać, jeżeli na bieżąco aktualizujemy oprogramowanie – zabezpiecza to nas przed ich wykorzystaniem. Oczywiście możliwe jest, że staniemy się ofiarą ataku wykorzystującego nieznane podatności, jednak jest to niezwykle mało prawdopodobne. Wynika to z faktu, że znalezienie takich podatności w dojrzałym oprogramowaniu jest trudne, więc koszt takiego ataku jest bardzo wysoki. Warto też wspomnieć, że nie są znane masowe kampanie, w których atakujący na dużą skalę wykorzystywaliby nieznane podatności – spowodowałoby to ich natychmiastowe wykrycie przez specjalistów.
Phishing i socjotechnika
Na ogół nasze wątpliwości budzą te wiadomości, których się nie spodziewamy. Jednak oszuści, aby uśpić naszą czujność, wysyłają wiadomości nie wzbudzające podejrzeń, czyli takie, które faktycznie moglibyśmy otrzymać. Należy bowiem pamiętać, że wiadomości phishingowe są bardzo często podobne do prawdziwych komunikatów różnych usługodawców. Dla przeciętnego odbiorcy, który nie dysponuje wiedzą o technikach stosowanych przez oszustów, weryfikacja nadawcy może się okazać utrudniona.
Należy podkreślić, że możliwe jest sfałszowanie pola nadawcy w wiadomości SMS. Przestępcy mogą to zrobić za pomocą ogólnodostępnych narzędzi. Analogiczna sytuacja ma miejsce w przypadku wiadomości mailowych. Chociaż nazwa nadawcy może wskazywać na jakąś firmę lub się z nią kojarzyć, to w rzeczywistości nie powinniśmy brać tego jako wyznacznik prawdziwości wiadomości. Możliwa jest bowiem sytuacja, że dana wiadomość została wysłana przez kogoś innego.
Warto też pamiętać, że linki do stron o charakterze phishingowym są dystrybuowane nie tylko za pomocą wiadomości mailowych i SMS-ów. Można na nie natknąć się np. we wpisach na portalach społecznościowych i w prywatnych wiadomościach wysłanych z przejętych kont. Prowadzą one do stron podszywających się pod zadany podmiot, a ich celem jest zachęcenie do podania poufnych informacji.
Nadal popularne są też oszustwa na platformach aukcyjnych, gdzie sprzedawcy otrzymują linki do stron, na których rzekomo można odebrać pieniądze za sprzedany przedmiot. Na stronach tych użytkownik proszony jest o podanie danych karty płatniczej lub wyświetlana mu jest spreparowana strona logowania swojego banku.
Ostatnio linki do stron phishingowych są zamieszczane także w reklamach w wyszukiwarce i wyglądają jak zwykłe wyniki wyszukiwania.
Jak rozpoznać fałszywe strony?
Za każdym razem, gdy widzimy stronę, która prosi nas o dane, a w szczególności gdy zobaczymy jakiś panel logowania, należy dokładnie sprawdzić, na jakiej stronie rzeczywiście się znajdujemy. Możemy to zrobić jedynie poprzez sprawdzenie domeny strony, na której jesteśmy – np. teraz jesteście na domenie cert.pl. Nazwa domeny znajduje się w pasku adresu i jest zazwyczaj oznaczona nieco innym kolorem. Należy ją porównać z domeną, którą zawsze widzimy, gdy logujemy się do danego serwisu.
Warto rozważyć też użycie menedżera haseł. Menedżer haseł nie tylko ułatwi nam korzystanie z internetu, bo nie będziemy musieli pamiętać wszystkich haseł do kilkunastu lub kilkudziesięciu różnych usług internetowych, z których korzystamy, ale przede wszystkim zwiększy nasze bezpieczeństwo. Jeśli menedżer haseł oferuje integrację z przeglądarką, np. w formie wtyczki, lub jest już w nią wbudowany, to taki menedżer haseł powiąże hasło z daną stroną i pozwoli na jego uzupełnienie tylko na prawdziwej stronie.
Innym dobrym sposobem jest korzystanie z kluczy bezpieczeństwa FIDO2. Są to wygodne i łatwe w użyciu urządzenia, które wystarczy nosić ze sobą i wpiąć w port USB komputera albo przyłożyć do telefonu, gdy chcemy się zalogować.
Dodatkowo w przypadku operacji bankowych przed potwierdzeniem ich należy dokładnie przeczytać opis w SMS-ie z kodem lub powiadomieniu w aplikacji bankowej i sprawdzić, czy rodzaj operacji oraz kwota się zgadzają.
Zespół CERT Polska działa w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej) – instytutu badawczego prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne.
BOŚ Bank zapewnia, że system BOŚBank24 spełnia wszystkie standardy bezpieczeństwa, a korzystanie z niego jest w pełni bezpieczne. Jednak również od użytkownika zależy bezpieczeństwo jego komputera. Należy pamiętać o podstawowych zasadach bezpieczeństwa, takich jak systematyczne sprawdzanie i instalowanie dostępnych aktualizacji i poprawek na komputerze, laptopie, tablecie i smartfonie.
Malwarebytes informuje, że BOŚBank24, iBOSS24 i BośFaktor to bezpieczne systemy, spełniające wszystkie standardy bezpieczeństwa. Korzystanie z nich powinno być dla użytkowników w pełni bezpieczne.
Podsumowując, należy zachować szczególną ostrożność podczas korzystania z bankowości elektronicznej i mobilnej, aby nie stać się ofiarą oszustów. Warto korzystać z menedżerów haseł, kluczy bezpieczeństwa FIDO2 oraz uważnie sprawdzać wszystkie otrzymywane komunikaty i docelowe adresy stron. Tylko dzięki świadomości i czujności możemy skutecznie chronić się przed cyberoszustami.
Więcej informacji na temat bezpiecznego korzystania z usług bankowych można znaleźć na stronie stop-oszustom.pl.
