Oszustwa w cyberprzestrzeni wykorzystują głównie ataki typu phishing. Zespół reagowania na incydenty cyberbezpieczeństwa – CSIRT NASK zarejestrował w 2019 roku 6484 incydentów, z czego 4100 były to ataki typu fraud, czyli oszustwa internetowe. Phishing to jeden z najpopularniejszych rodzajów ataków opartych na wiadomościach e-mail lub SMS-ach. Wykorzystuje on inżynierię społeczną, czyli technikę polegającą na tym, że cyberprzestępcy próbują oszukać ofiarę i spowodować, aby podjęła działanie zgodne z ich zamierzeniami.
Czym jest phishing?
Cyberprzestępcy, podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych czy znajomych, starają się wyłudzić nasze dane do logowania, np. do kont bankowych lub używanych przez nas kont społecznościowych czy systemów biznesowych. Nazwa „phishing” budzi dźwiękowe skojarzenia z „fishingiem”, czyli łowieniem ryb. Przestępcy, podobnie jak wędkarze, stosują odpowiednio przygotowaną „przynętę” – najczęściej sfałszowane e-maile i SMS-y.
Coraz częściej oszuści działają także za pośrednictwem komunikatorów i portali społecznościowych, np. poprzez metodę na BLIKa. Wiadomości phishingowe są tak przygotowywane przez cyberprzestępców, aby wyglądały na autentyczne, ale w rzeczywistości są fałszywe. Mogą one próbować skłonić ofiarę do ujawnienia poufnych informacji, zawierać link do strony internetowej rozprzestrzeniającej szkodliwe oprogramowanie lub mieć zainfekowany załącznik.
Szczególnym rodzajem phishingu, zdecydowanie bardziej niebezpiecznym, jest spear-phishing, czyli ukierunkowany na konkretnego adresata atak mający na celu wywarcie określonego wpływu lub wymuszenie działania w stosunku do odbiorcy. Przestępcy mogą podszywać się pod naszych partnerów biznesowych, z którymi współpracujemy, a wiadomość może być spersonalizowana, tzn. bezpośrednio odwoływać się do naszych relacji. Taki typ ataku jest często poprzedzony dokładnym rozpoznaniem przez atakującego naszej firmy, urzędu lub dostępnych o nas danych w mediach społecznościowych.
Jak rozpoznać phishing?
Jedną z podstawowych wskazówek, że mamy do czynienia z phishingiem, jest adres e-mail nadawcy. Często wykorzystywane są tzw. tiny-URL, czyli skrócone adresy stron internetowych, zamiast prawdziwych adresów, np. zamiast www.allegro.pl może być użyty fałszywy adres www.allegro-sklep-online.pl.
Kolejną ważną rzeczą jest ustalenie, czy wiadomość e-mail jest autentyczna i nie jest oszustwem. Jeśli zauważysz podejrzanego e-maila, oznacz go w skrzynce odbiorczej jako spam lub wiadomości śmieci. Spowoduje to usunięcie go ze skrzynki odbiorczej i poinformowanie dostawcy poczty e-mail, że zidentyfikowałeś go jako potencjalnie niebezpieczny.
Zgłaszanie phishingu jest niezwykle proste i intuicyjne. Wystarczy wejść na stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska, wypełnić krótki formularz online, dołączyć podejrzaną wiadomość i wysłać. Jeśli masz uzasadnione podejrzenie, że jesteś ofiarą oszustwa lub wykryłeś podejrzenie oszustwa, zgłoś niezwłocznie ten fakt także Policji lub do prokuratury.
Nowoczesne przykłady oszustw e-mailowych
Jednym z popularnych rodzajów oszustw są próby wyłudzenia pieniędzy poprzez podszywanie się pod firmy kurierskie. Oszuści często wysyłają wiadomości e-mail z informacją o rzekomym problemie z dostawą przesyłki i proszą o kliknięcie w link lub pobranie załącznika, który w rzeczywistości może zawierać złośliwe oprogramowanie.
Innym przykładem są oszustwa bankowe, gdzie cyberprzestępcy podszywają się pod bank (np. mBank) i proszą o zalogowanie się na konto, aby coś tam sprawdzić. W takich przypadkach należy zawsze sprawdzić, czy adres e-mail nadawcy oraz adres URL strony logowania są poprawne i należą do danego banku.
Coraz częstszym zjawiskiem są również maile od podmiotów podszywających się pod organizacje charytatywne. Oszuści rozsyłają wiadomości z prośbą o pomoc dla chorej osoby lub rodziny, licząc na to, że ofiara przeleje pieniądze na podany rachunek. Warto zawsze zweryfikować, czy dana organizacja jest godna zaufania i faktycznie pomaga potrzebującym.
Innym popularnym sposobem na wyłudzenie danych są fałszywe powiadomienia o wygaśnięciu konta e-mail. Cyberprzestępcy podszywają się pod dostawców usług, takich jak Onet czy Interia, i wysyłają wiadomości z informacją o konieczności reaktywacji konta poprzez kliknięcie w link. W rzeczywistości link ten może prowadzić do strony phishingowej służącej do kradzieży danych logowania.
Podsumowując, nowoczesne oszustwa e-mailowe stają się coraz bardziej wyrafinowane i trudne do zidentyfikowania. Dlatego tak ważne jest, aby zachowywać czujność, weryfikować źródło wiadomości i nigdy nie klikać w podejrzane linki ani nie otwierać załączników od nieznanych nadawców. Zadbanie o bezpieczeństwo online, zgłaszanie podejrzanych incydentów oraz edukacja użytkowników są kluczowe w walce z tego typu przestępczością.