Coraz częściej słyszymy o oszustwach polegających na podszywaniu się pod osoby/instytucje i wyłudzaniu danych przez internet, SMS czy telefon, czyli zgodnie z fachową terminologią o phishingu, smishingu, vishingu. Rozmowa o niektórych metodach oszustw, konieczności podniesienia świadomości z zakresu bezpieczeństwa „w sieci” oraz wypracowania standardów zachowań w przypadku wystąpienia zagrożeń z Agnieszką Domżalską-Łajtar, Powiatowym Rzecznikiem Konsumentów w Grodzisku Mazowieckim.
Dużo dziwnych nazw, dużo metod… Proszę o wyjaśnienie.
Zapewne każdy z nas spotkał się już z atakiem pod postacią wiadomości rozsyłanych masowo, jak i spersonalizowanych - skierowanych do konkretnej grupy odbiorców czy pojedynczych osób. Celem ataku phishingowego i jego pochodnych (smishing i vishing) nie jest sprzęt czy oprogramowanie, ale sam człowiek. Oszustwa tego rodzaju skupiają się na wykorzystaniu metod socjotechniki. Treść wiadomości najczęściej ma za zadanie wzbudzić w odbiorcy silne emocje takie jak strach, współczucie czy wymusić pośpiech, aby skłonić ofiarę do szybkiego działania, którego oczekuje atakujący.
Jak zatem działają oszuści?
Najczęściej rozsyłają maile, wiadomości na komunikatorach, wiadomości prywatne w serwisach społecznościowych lub portalach aukcyjnych (to tzw. phishing) i SMS-y (smishing=phishing przez wiadomości SMS), które wyglądają wiarygodnie, na przykład jak z urzędu, banku, od firmy kurierskiej. Wiadomość taka zazwyczaj wymusza na osobie działanie, na przykład skłania do kliknięcia odnośnika w wiadomości tekstowej w celu połączenia ze stroną WWW czy kliknięcie w link, który przekierowuje do fałszywej-spreparowanej strony, łudząco przypominającej stronę urzędu czy instytucji. Oszuści sami zarządzają tą stroną i przechwytują wszystkie dane, które na niej wpisujemy - login i hasło PIN do bankowości, kod SMS i numer telefonu do autoryzacji, PESEL, dane logowania do poczty e-mail itp.
Działanie wskazywane w wiadomości uzasadniane jest „ważnymi przyczynami” (przykładowo informacją o niespodziewanej wygranej, koniecznością dopłaty do przesyłki, usprawnieniem systemu, problemami technicznymi, zagrożeniem, kryzysową sytuacją czy koniecznością weryfikacji/aktualizacji danych). Informacja ma zazwyczaj charakter ponaglający lub rozkazujący i zawiera sugestie o konieczności natychmiastowego działania. Warto pamiętać, że wiadomości mailowe również często zawierają zainfekowane załączniki, których otwarcie skutkuje pobraniem złośliwego oprogramowania szyfrującego dane znajdujące się na dysku.
A co oznacza Vishing?
Vishing to zlepek słów z wyrażenia „voice phishing” - phishing głosowy. To wyłudzenie poufnych danych z wykorzystaniem rozmowy telefonicznej. Atakujący dzwoniąc na Twój numer telefonu najczęściej korzysta z autorytetu osoby lub instytucji pod którą się podszywa: urząd, bank, organy ścigania, dostawca prądu, firma przewozowa, sklep, a nawet przełożony czy kolega z pracy. Dla przykładu oszust udaje pracownika banku, który aktualizuje dane klienta. Podczas rozmowy chce wyłudzić dane, które później wykorzysta do ataku, np. na konto bankowe.
Proszę przytoczyć takie wiadomości SMS, mailowe.
Jako przykładowe scenariusze ataku smishingowego/phishingowego można wskazać:
- Wiadomości SMS/mail informujące o niedopłacie lub nadpłacie rachunku, upomnienie za media energię/gaz, telefon – oszuści wysyłają wówczas link do fałszywego formularza logowania do banku, przechwytując w ten sposób hasło dostępowe.
- Informacje o zdobyciu nagrody i konieczności zalogowania do serwisu w celu jej odbioru.
- Wiadomości dotyczące problemów z przesyłką/z jej dostarczeniem – wysyłane rzekomo przez firmę kurierską.
- Informacje o podejrzanym logowaniu do konta na portalu społecznościowym – oszuści w ten sposób próbują nakłonić ofiarę do logowania w fałszywym formularzu, aby przechwycić dane logowania.
- Wiadomości z prośbą o pomoc finansową w nagłej sytuacji - ich autor podszywa się pod bliskie/znajome osoby. Często dzieje się tak, gdy przestępcy przejmą lub podrobią konto naszego znajomego z mediów społecznościowych.
- Informacje o rzekomo złożonym zamówieniu… itp.
Scenariuszy jest wiele, ale należy pamiętać, że „skuteczność” ataku oszusta zależy od nas samych – od naszej roztropności.
Jak się chronić?
Podstawą ochrony jest stosowanie zasady ograniczonego zaufania i umiejętność rozpoznania fałszywych wiadomości. Oto kilka zasad jak nie dać się oszukać i rozpoznać fałszywą wiadomość:
- Wiadomość jest napisana z błędami językowymi lub wygląda jak przetłumaczona za pomocą programu komputerowego.
- Treść wiadomości wywiera presję, natychmiastowego działania, grozi poważnymi konsekwencjami.
- Adres strony, do której kieruje odnośnik, zawiera literówki lub dodatkowe znaki.
Co należy zrobić, gdy nie jesteśmy pewni co do autentyczności korespondencji?
Najlepiej jest ominąć konwersację i zadzwonić bezpośrednio na oficjalny numer instytucji, wyjaśniając sprawę.
Należy też pamiętać, że bank lub inna instytucja nigdy nie proszą użytkowników o podanie podczas rozmowy wrażliwych danych: numerów karty płatniczej czy haseł logowania do bankowości internetowej.
Warto używać uwierzytelniania dwuskładnikowego w aplikacjach bankowych i wszędzie tam, gdzie jest to możliwe. Uwierzytelnianie dwuskładnikowe (dwuetapowe, wielopoziomowe) ma na celu zabezpieczenie poświadczeń użytkownika, np. podczas procesu logowania czy dostępu do zasobów. Wprowadza się wówczas dodatkowe warstwy uwierzytelniające np. hasło w powiązaniu z tokenem. W przypadku, gdy dojdzie już do przechwycenia wrażliwych danych, konieczność potwierdzenia logowania z drugiego źródła uniemożliwi oszustom zalogowanie się do konta lub profilu
Co zrobić, gdy padnie się ofiarą oszustwa?
Scenariusz postępowania jest uzależniony od sposobu przeprowadzenia ataku i rodzaju danych, jakie zostały wykradzione:
- W przypadku wycieku danych logowania do konta bankowego należy natychmiast skontaktować się z infolinią banku i wydać dyspozycję blokady rachunku oraz kart płatniczych.
- Atak na konto na portalu społecznościowym należy zgłosić administratorom tych portali.
- Fałszywe wiadomości, niezależnie od tego, czy odniosły pozytywny dla oszusta skutek, czy też nie, należy zgłaszać do odpowiednich organów (w naszym kraju reagowaniem na incydenty zajmuje się CERT Polska).
- O kradzieży danych osobowych, próbie wyłudzenia pieniędzy lub narażenia na inne straty powinno się również informować organy ścigania (policję, prokuraturę).
Na koniec chciałabym zaapelować, aby w przypadku najmniejszych nawet wątpliwości: nie otwierać podejrzanych stron/wiadomości/załączników, nie klikać w linki i nie podawać obcym osobom poufnych danych.
Agnieszka Domżalska-Łajtar, Powiatowy Rzecznik Konsumentów w Grodzisku Mazowieckim
Starostwo Powiatu Grodziskiego