Wyłudzanie danych. Uważaj na fałszywe wiadomości

Wyłudzanie danych to niechlubna praktyka stosowana przez cyberprzestępców. Jej zjawisko nasiliło się zwłaszcza teraz, gdy spora część naszych aktywności przeniosła się do sieci. Słyszymy o przykładach, w których cyberprzestępcy podszywają się pod znane i zaufane podmioty. Jak nie dać się „złowić”. Zobacz na co zwracać uwagę podczas otrzymywania e-maili. Co powinno wzbudzić Twój niepokój.

Phishing, co o nim wiemy?

Phishing to metoda oszustwa, której celem są nasze dane. Cyberprzestępcy wykorzystując nowoczesną technologię podszywają się pod inną osobę bądź instytucję celem pozyskania określonych informacji czy nakłonienia ofiary do podjęcia konkretnych działań np. kliknięcia w przesłany link czy zmiany danych do logowania za pomocą przesłanego linku.
W Internet Crime Report 2020 czytamy, że tylko w Stanach Zjednoczonych straty finansowe związane z cyberatakami sięgnęły rzędu 4,2 miliona dolarów. Wśród nich najczęstszymi technikami były: phishing, oszustwa związane z brakiem płatności/dostawy oraz wyłudzenie, a także oszustwa związane z COVID-19. [1]

Jak działa phishing?

W celu wyłudzenia danych cyberprzestępcy wykorzystują wiele sposobów. Wyłudzanie danych odbywa się za pomocą poczty e-mail, sms czy kanałów społecznościowych. To także próba przechwycenia danych podczas rozmowy telefonicznej.
W przypadku tej pierwszej – wiadomości e-mail – taka praktyka najczęściej stosowana jest masowo. Wiadomość wysyłana jest do większej liczby potencjalnych ofiar. Zawiera określone działania do wykonania przez ofiarę. Najczęściej jest to kliknięcie w link. Po kliknięciu w taką wiadomość, ofiara jest przenoszona na stronę internetową łudząco przypominającą tę prawdziwą. Na stronie dochodzi do przechwycenia informacji wpisywanych przez ofiarę ataku.

Badania przeprowadzonych przy współpracy serwisu Chronpesel.pl i Krajowego Rejestru Długów pokazują, że tylko w ciągu ostatnich 6 miesięcy niemal połowa z nas (45%) dostała podejrzaną wiadomość e-mail bądź sms, której celem było wyłudzenie danych.[2]

Phishing w praktyce

CERT Polska to zespół działający w strukturach NASK – Państwowego Instytutu Badawczego. W jego codziennych kompetencjach leży monitorowanie zagrożeń, aktywna współpraca z sektorowymi zespołami cyberbezpieczeństwa i przeciwdziałanie zagrożeniom cybernetycznym na terenie Polski.
Jak czytamy na jego stronie w statystykach 4 miliony prób – tyle razy próbowano w ubiegłym roku wyłudzić dane użytkowników. To właśnie taką liczbę ataków CERT we współpracy z operatorami komunikacyjnymi udaremniło. [3]

Garść statystyk

Liczba przeprowadzanych ataków skierowanych na przechwycenie naszych danych nie słabnie. Wręcz przeciwnie, zwłaszcza teraz – w momencie, kiedy znaczna część naszych aktywności przeniosła się do sieci musimy zachować szczególną ostrożność. Płacimy rachunki, zamawiamy przesyłki, korzystamy z portali społecznościowych.
W Raporcie Urzędu Ochrony Danych Osobowych, czytamy, że 43% z nas obawia się że padnie ofiarą cyberataku. Co więcej, opublikował najczęstsze działania, poprzez które cybeprzestęocy chcą wyłudzić nasze dane. [4]

Do podjęcia jakich działań skłaniał otrzymany podejrzany -email / sms / telefon?

Jakie podmioty najczęściej padały ofiara ataków w 2021 roku

W raporcie CERT możemy również znaleźć podmioty, które padają ofiarą ataków. Przestępcy podszywają się pod te instytucje, co więcej próbują nakłonić do określonej czynności. Używają w tym celu witryn, które łudzącą przypominają tę zaufaną. Zauważamy, że problemem tym był w szczególności dotknięty facebook, olx, orlen i inpost.

Po czym rozpoznać próbę wyłudzenia danych?

Jak nie dać się złowić w sieci? Weźmy pod lupę wiadomości e-mail. Dostając wiadomość, w której musimy wykonać określoną czynność (np. kliknięcie w link) powinno wyostrzyć naszą czujność. Zobacz, co powinno zwrócić Twoją szczególną uwagę. Spójrzmy na przykładzie. Jak mógłby wyglądać fałszywy mail od Kei.pl. Co powinno w nim zapalić „czerwoną lampkę” czujności:

Adres nadawcy

Sprawdzasz nazwę adresata i wydaje Ci się wszystko w porządku? Błąd. Tę łatwo podrobić i używać takiej, której dobrze znana nam instytucja. Zwróć uwagę nie tyle na nazwę ale na adres domeny, z której taka wiadomość została nadana.

Zweryfikuj, czy domena, z której e-mail został nadany jest tożsama z domeną organizacji, za którą ta się podaje? Zauważasz dziwnego nadawcę? Nie dostawałeś nigdy wcześniej z tego adresu korespondencji? Dodatkowo, składa się on z przypadkowych ciągów znaków? To znak, że mogłeś paść ofiarą wyłudzenia danych.

Wezwanie do działania

„Przejdź do strony / zaloguj się klikając poniższy link / otwórz załącznik / pobierz plik – to jedne z częstszych wezwań stosowanych przez przestępców, które mogą nas wiele kosztować. Jeżeli otrzymana wiadomość zawiera choćby jedno z takich wezwań, wpierw poświęć chwilę na analizę jej treści. Pamiętaj, aby pod żadnym pozorem nie przechodzić na stronę, ani nie ściągać załączników, co do których masz wątpliwości.

Błędy w treści

Literówka może zdarzyć się każdemu, to prawda. Jednak zanim treść wiadomości trafi do odbiorcy, jest ona weryfikowana i sprawdzana. Widzisz w otrzymanej wiadomości błędy ortograficzne lub gramatyczne? A może kolokwializmy? To już pierwszy znak, że wiadomość mogła zostać tłumaczona z innego języka i została dostosowana do ominięcia filtrów poczty.

Strona logowania – na co zwrócić uwagę?

W wiadomości e-mail możesz być proszony o klikniecie w link. Spójrzmy jakby mogła wyglądać taka strona w naszym przypadku. Na pierwszy rzut oka może wydawać się wszystko w porządku. Szczegóły tkwią w detalach.

Fałszywa strona logowania. Po czym ją poznasz?

• przypadkowy adres url w oknie przeglądarki innym niż https://panel.kei.pl/,
• literówka w przycisku logowania,
• niepełna stopka, urwane słowa w treści.

Jak nie paść ofiarą wyłudzenia danych?

Otrzymałeś wiadomość, która budzi Twoje zastrzeżenia? Nie jesteś przekonany co do jej wiarygodności. Pamiętaj o kilku zasadach:

• Nie klikaj podejrzanych linków
• Włącz dwu-etapową weryfikację
• Otaguj wiadomość
• Nigdy Nie podawaj danych wrażliwych

Reaguj. Pomóż w walce z phishingiem. Zgłoś zaistniały incydent do CERT. Padłeś ofiarą ataku wymierzonego za pośrednictwem sms? Wystarczy, że udostępnienie jej treść. Obok wiadomości kliknij „przekaż” albo „udostępnij” i prześlij ją na numer 799-448-084. Wówczas trafi ona do analityków CERT.

Źródło:
[1] https://www.weforum.org/agenda/2021/03/fbi-report-shows-that-2020-was-the-worst-year-on-record-for-internet-crime/
[2]https://interaktywnie.com/biznes/newsy/biznes/wyludzanie-danych-osobowych-tylko-17-procent-z-nas-rozpozna-oszusta-261896
[3] https://cert.pl/posts/2022/01/hole-statystyki-2021/
[4] https://uodo.gov.pl/pl/138/2021

Katarzyna Węgiel

Pasjonatka i praktyk działań inbound marketing. Testerka nowych rozwiązań pozycjonujących markę w umyśle klienta. Łączę teorię z praktyką. Wykorzystuję social media do efektywnego budowania relacji z klientem. Na co dzień zajmuję się kreowaniem wizerunku i świadomości marki w komunikacji on i off –line.