Korzystanie z urządzeń mobilnych stało się nieodłącznym elementem naszego codziennego życia. Aplikacje na smartfony i tablety umożliwiają nam szybki dostęp do informacji, usług i komunikacji. Niestety, wraz z rosnącą popularnością technologii mobilnych, wzrosła również liczba prób oszukania użytkowników tych urządzeń. Cyberprzestępcy wciąż szukają nowych, coraz bardziej wyrafinowanych sposobów na wyłudzenie naszych danych osobowych i pieniędzy.
Rosnący problem oszustw w aplikacjach mobilnych
Według danych Najwyższej Izby Kontroli (NIK), w latach 2019-2021 nastąpił znaczący wzrost liczby incydentów komputerowych, w tym szczególnie kampanii phishingowych i kradzieży tożsamości wymierzonych w indywidualnych użytkowników internetu. Badania przeprowadzone przez NIK wykazały, że podczas pandemii COVID-19 policja odnotowała zwiększoną liczbę rejestracji fałszywych domen internetowych służących do dystrybucji złośliwego oprogramowania, kradzieży danych osobowych czy prowadzenia fikcyjnych sklepów online.
Cyberprzestępcy coraz częściej wykorzystują luki w zabezpieczeniach aplikacji mobilnych, aby uzyskać dostęp do naszych wrażliwych informacji. Metody oszustw ewoluują w szybkim tempie, stając się coraz trudniejsze do zidentyfikowania. W efekcie przestępstwa internetowe, w tym te dotyczące aplikacji mobilnych, stały się poważnym problemem społecznym i gospodarczym, mającym bezpośredni wpływ na bezpieczeństwo obywateli.
Najnowsze trendy w metodach oszukiwania użytkowników
Jedną z najpopularniejszych metod stosowanych przez cyberprzestępców jest phishing, polegający na przesyłaniu fałszywych wiadomości e-mail lub SMS-ów, w których nadawca podszywał się pod różne podmioty, takie jak firmy kurierskie, instytucje publiczne czy osoby znajome. Celem takich ataków jest wyłudzenie danych umożliwiających dostęp do kont bankowych lub haseł do logowania.
Inną powszechną formą oszustwa jest kradzież tożsamości, podczas której przestępcy wykorzystują wizerunek lub dane osobowe ofiary w celu wyrządzenia jej szkody majątkowej lub osobistej. Może to obejmować podszywanie się pod ofiarę podczas logowania do bankowości elektronicznej lub mediów społecznościowych.
Poważnym zagrożeniem są również ataki ransomware, w których cyberprzestępcy blokują dostęp do systemu komputerowego lub uniemożliwiają odczyt danych, żądając okupu za przywrócenie stanu pierwotnego. Tego typu ataki mogą dotknąć nie tylko komputery, ale również urządzenia mobilne.
Coraz częściej występuje również spoofing, czyli podszywanie się pod inne urządzenie lub użytkownika sieci w celu wykradzenia danych, zainstalowania złośliwego oprogramowania lub ominięcia mechanizmów kontroli dostępu.
Reakcja instytucji państwowych na rosnące zagrożenie
Pomimo doniesień o dominujących w cyberprzestrzeni zagrożeniach, Ministerstwo Cyfryzacji i Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa nie podejmowali dostatecznych działań, by chronić indywidualnych użytkowników Internetu. Badania NIK wykazały, że w latach 2019-2021 krajowy system cyberbezpieczeństwa koncentrował się przede wszystkim na wzmocnieniu ochrony instytucji i przedsiębiorstw uznawanych za kluczowe dla funkcjonowania państwa, pomijając najliczniejszą grupę użytkowników sieci – zwykłych obywateli.
Kontrola przeprowadzona przez NIK ujawniła również, że Policja boryka się z szeregiem problemów, takich jak niewystarczająca liczba funkcjonariuszy wyspecjalizowanych w zwalczaniu przestępczości komputerowej, brak odpowiedniego sprzętu i oprogramowania oraz niedofinansowanie. W grudniu 2021 r. w całym kraju zatrudnionych było zaledwie 305 policjantów zajmujących się cyberprzestępczością, co stanowiło zaledwie 0,33% wszystkich etatów w Policji.
Poważnym utrudnieniem w skutecznej walce z oszustwami komputerowymi jest również brak jasnych procedur zarówno dla zgłaszających przestępstwo użytkowników, jak i dla przyjmujących zgłoszenia funkcjonariuszy. Wielu policjantów nie miało nawet podstawowej wiedzy, która umożliwiłaby im sprawne przyjmowanie zgłoszeń i zabezpieczanie materiału dowodowego.
Zintegrowany system zarządzania cyberbezpieczeństwem – niezbędne, ale niewykorzystywane narzędzie
W ramach reakcji na rosnące zagrożenie cyberprzestępczością, w 2019 r. powołano Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT, który świadczy użytkownikom internetu usługi niezbędne do rozwiązywania incydentów i przywracania normalnej działalności. Według danych NIK, w 2020 r. zespół ten zajmował się 32 poważnymi incydentami, a w 2021 r. jego analiza zgłoszeń pozwoliła na zidentyfikowanie dominujących trendów zagrożeń w cyberprzestrzeni.
Dodatkowo, w celu zintegrowania działań na rzecz cyberbezpieczeństwa, powołano system informatyczny S46, który miał umożliwić zgłaszanie i obsługę incydentów, a także szacowanie ryzyka i ostrzeganie o zagrożeniach. Niestety, rok po uruchomieniu systemu było do niego podłączonych zaledwie 14 z około 350 zakładanych podmiotów. Kontrola NIK wykazała, że w trakcie prowadzonych przez nią działań Kancelaria Prezesa Rady Ministrów dysponowała tylko jednym, użyczonym terminalem do obsługi systemu S46, a jedynym jego użytkownikiem był Dyrektor Departamentu Cyberbezpieczeństwa.
Zdaniem NIK, dotychczasowe działania Ministra Cyfryzacji oraz Pełnomocnika Rządu związane z budową i rozwojem systemu S46 stworzyły ryzyko niegospodarnego wykorzystania znacznych środków publicznych. Izba zwróciła również uwagę, że brak zainteresowania operatorów usług kluczowych podłączeniem do tego systemu może wymagać wprowadzenia obowiązku ustawowego.
Wyzwania i rekomendacje dla ochrony użytkowników aplikacji mobilnych
Przeprowadzona przez NIK kontrola wykazała pilną potrzebę wprowadzenia systemowych rozwiązań, które ochronią indywidualnych użytkowników internetu, w tym aplikacji mobilnych, przed skutkami działalności cyberprzestępców. Niezbędne jest również poszerzenie wiedzy obywateli na temat zagrożeń w sieci i miejsc, w których mogą szukać pomocy w przypadku stania się ofiarą tego typu przestępstw.
Kluczowe wnioski i rekomendacje NIK obejmują:
- Wzmocnienie ochrony indywidualnych użytkowników internetu, a nie tylko instytucji i przedsiębiorstw uznawanych za kluczowe dla funkcjonowania państwa.
- Zapewnienie odpowiedniego finansowania i zasobów dla Policji oraz Ministerstwa Cyfryzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, aby mogli skutecznie zwalczać przestępczość komputerową.
- Stworzenie jasnych procedur zarówno dla zgłaszających przestępstwa użytkowników, jak i dla przyjmujących zgłoszenia funkcjonariuszy.
- Efektywne wdrożenie i wykorzystanie zintegrowanego systemu zarządzania cyberbezpieczeństwem S46, w tym podłączenie do niego wszystkich zakładanych podmiotów.
- Intensyfikacja działań edukacyjnych skierowanych do obywateli, mających na celu podniesienie świadomości na temat zagrożeń w cyberprzestrzeni i sposobów ochrony.
Bez wątpienia wyzwania związane z zapewnieniem bezpieczeństwa użytkowników aplikacji mobilnych wymagają kompleksowego podejścia i zaangażowania zarówno instytucji państwowych, jak i samych obywateli. Tylko wspólne wysiłki na rzecz zwiększenia cyberbezpieczeństwa mogą skutecznie przeciwdziałać nieustanym próbom oszukiwania użytkowników przez cyberprzestępców. Zachęcamy do odwiedzenia strony stop-oszustom.pl, gdzie można znaleźć więcej informacji na temat bezpieczeństwa w sieci i sposobów ochrony przed oszustwami.