Obszerną informację na temat przestępstw phishingowych opublikowano na stronie Polskiej Policji. "Phishing to rodzaj oszustwa, który polega na podawaniu się za inną osobę, podszywaniu się pod firmę lub instytucję w celu wyłudzenia poufnych informacji, danych logowania, danych karty kredytowej, konta bankowego lub używanych haseł" - przypomina policja i dodaje, że liczba oszustw tego rodzaju od 2015 roku nieprzerwanie rośnie.
"Ostatnie miesiące były rekordowe pod względem liczby zaobserwowanych prób oszustwa przez e-mail, SMS czy komunikator. Ten wzrost zbiega się z pandemią koronawirusa i związanym z nią ograniczeniem kontaktów osobistych oraz przeniesieniem do internetu wielu codziennych aktywności" - wskazano. Większość ataków, z którymi możemy się zetknąć, stanowią proste sztuczki opierające się na powtarzalnych schematach i niewymagające dużych nakładów pracy - ale jest ich na tyle dużo, że należy zachować czujność.
Według policji najbardziej popularną kampanią phishingową, która pojawiła się w czasie pandemii COVID-19, jest oszustwo wobec użytkowników serwisu ogłoszeniowego OLX. Przestępcy kontaktują się w sprawie zakupu przedmiotów wystawionych na sprzedaż, wykorzystując komunikator WhatsApp - następnie proponują sfinalizowanie transakcji z wykorzystaniem usługi płatności świadczonej przez portal. Jeśli sprzedawca się zgodzi, wysyłają spreparowany link, który przypomina OLX, ale w rzeczywistości zawiera fałszywy formularz płatności. Atak kończy się kradzieżą danych karty kredytowej i wyłudzeniem środków finansowych nieświadomego użytkownika.
Inna taktyka polega na wysyłaniu fałszywych wiadomości sms. Oszust wysyła swój sms do jak największej liczby losowych numerów, umieszczając w wiadomości link do fałszywej strony płatności. Fałszywe smsy informują np. o konieczności dopłaty do szczepionki. Pojawiają się również wiadomości, w których mowa o uregulowaniu należności za energię elektryczną, wyrównania niedopłaty podatku lub mandatu karnego. Kwota określona w wiadomości jest zwykle niewielka. Przestępcy liczą na to, że odbiorca nie będzie drobiazgowo weryfikował, czy należność jest zasadna i będzie skłonny skłonne zapłacić "dla świętego spokoju". "Niestety podanie danych logowania na fałszywej stronie płatności może doprowadzić do utraty dużo większej sumy niż wymieniona w wiadomości" - podkreśla policja.
Kampanie phishingowe mogą się rozprzestrzeniać również za pomocą wiadomości e-mail. Nadawcy podszywają się pod operatorów polskich serwisów pocztowych takich jak Onet, Interia, O2 i Wirtualna Polska. Zależnie od wariantu oszustwa, w treści wiadomości pojawia się informacja o konieczności zatwierdzenia nowej polityki prywatności lub powiadomienie o tym, że konto zostało zablokowane z powodu naruszenia regulaminu przez użytkownika. W obu przypadkach ofiara jest namawiana do przejścia na wskazaną stronę w celu zdjęcia blokady konta. Gdy już to zrobimy, nasze urządzenie może zostać zainfekowane wirusem wykradającym poufne dane.
Kolejny z ataków polega na zainstalowaniu na urządzeniu mobilnym szkodliwego oprogramowania Flubot. Swoją nazwę (z ang. flu – grypa) zawdzięcza błyskawicznemu rozprzestrzenianiu się. Atak jest wymierzony w użytkowników urządzeń z systemem Android. "Fałszywa aplikacja uzyskuje dostęp do listy kontaktów z zainfekowanego urządzenia i uprawnienia, które pozwalają jej na wysyłanie i odbieranie SMS-ów. Dodatkowo Flubot jest zagrożeniem, które potrafi wykradać dane logowania do różnych serwisów, w tym bankowości mobilnej" - informuje policja.
Uważać powinniśmy również na linki do fałszywych portali informacyjnych, które przychodzą do nas od znajomych na serwisach społecznościowych. Możliwe, że pochodzą one od oszusta. "Kto kliknie w ten link, zobaczy formularz logowania do Facebooka (...) Formularz jest fałszywy, więc jeśli podamy tam swoje dane logowania, to przestępca będzie mógł się zalogować na nasze konto i z niego wysyłać podobne wiadomości do naszych znajomych i w ten sposób przejmować ich konta" - czytamy. Złodziej może również podszywać się za nas i próbować wyłudzić od naszych znajomych pieniądze.
Jak podkreśla policja, w przypadku kampanii phishingowych najlepszą linią obrony są zawsze ostrożność oraz uwaga. "Za każdym razem należy weryfikować nazwę strony internetowej, na której podaje się wrażliwe dane, czy nazwę domeny, z której otrzymano ważną wiadomość mailową. Każdy błąd, nawet drobna literówka, mogą świadczyć o oszustwie" - zaznaczono.
Bardzo istotne jest również używanie unikalnych i odpowiednio skomplikowanych haseł w każdym z serwisów (w szczególności podczas korzystania z kont pocztowych, za pomocą których można resetować hasła w innych serwisach). Pomocne w tym zakresie są menedżery haseł. Wszelkie podejrzenia należy weryfikować, kontaktując się z rzekomym nadawcą za pomocą innego kanału niż ten, przez który dotarła wiadomość.
Należy również pamiętać o odpowiednim dbaniu o inne kwestie związane z naszą obecnością w internecie. Krótki poradnik dotyczący najważniejszych zasad bezpiecznego korzystania z poczty elektronicznej oraz mediów społecznościowych przygotował CERT Polska - zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w internecie. Link do poradnika: https://www.cert.pl/uploads/docs/CERT_Polska_Bezpieczna_poczta_i_konta_spolecznosciowe.pdf (PAP)
autorka: Sonia Otfinowska