Jednym z najpopularniejszych oszustw internetowych jest wyłudzanie pieniędzy i phishing, czyli podszywanie się przez hakerów pod inne osoby w celu wyłudzenia informacji czy pieniędzy. Zaledwie kilka dni temu Ministerstwo Rodziny Pracy i Polityki Społecznej opublikowało ostrzegawczy komunikat z powodu rozsyłania przez przestępców maili podszywających się pod ministerstwo. Sprawdź, na co zwrócić uwagę.
"Ministerstwo Rodziny, Pracy i Polityki Społecznej nie ma nic wspólnego z rozsyłanymi pocztą elektroniczną wezwaniami do zapłaty za potwierdzenie wpisu do Rejestru. To próba wyłudzenia pieniędzy" - czytamy w komunikacie widniejącym na stronie ministerstwa.
W ostatnim czasie do różnych instytucji trafiają przesyłane pocztą elektroniczną maile. Autor, podszywając się pod MRPiPS, domaga się wpłaty 365 zł na podane poniżej konto, na poczet potwierdzenia wpisu do Rejestru. Powołuje się przy tym na regulamin resortu.
"Podpisana pod wezwaniem osoba nie jest pracownikiem ministerstwa, podany adres poczty elektronicznej nie jest zarejestrowany w domenie resortu, nieprawdziwy jest również adres siedziby ministerstwa. Podany numer konta nie należy do MRPiPS. Fałszywa jest również informacja o konsekwencjach nieuregulowania należności. Regulamin organizacyjny ministerstwa nic nie mówi o tej kwestii" - przestrzega komunikat.
1. Popularna metoda
Termin "phishing" powstał z połączenia angielskich słów "fishing" (łowienie) i "password" (hasło). Obejmuje kradzież haseł, numerów kart kredytowych, danych kont bankowych i innych poufnych informacji.
Wiadomości phishingowe przybierają zazwyczaj formę fałszywych powiadomień z banków i innych instytucji darzonych powszechnym zaufaniem. Ich autorzy próbują zachęcić odbiorców do do przekazania lub aktualizacji poufnych informacji o sobie, aby zapobiec utracie ważnych danych, awarii systemu lub innemu zagrożeniu.
2. Jak wygląda kradzież?
Przestępcy rozsyłają e-maile przypominające do złudzenia oryginalną korespondencję i żądają wpłaty pieniędzy. Treść wiadomości zawierać może też informację o tym, że np. w wyniku zmian musimy zalogować się do bankowego konta. Aby zmylić odbiorców, oszuści zwykle dołączają do maila logo imitujące styl i szatę graficzną banku czy innej właściwej instytucji.
Kiedy klikniemy w przesłany link i wciśniemy przycisk "zaloguj", zostaniemy przeniesieni do sfałszowanej strony, która wygląda niemal identycznie jak strona prawdziwego banku. Jeśli wprowadzimy hasło i logi, wówczas oszuści przejmą je i opróżnią nasze konto. Nie musimy jednak się logować, aby dać przestępcom pole do działania. Wystarczy kliknąć w przesłany link, aby zainstalować na własnym komputerze tzw. "konia trojańskiego". Ten typ wirusa pozwala cyberprzestępcom np. na przejęcie kontroli nad systemem i wyprowadzanie zapamiętanych w przeglądarce haseł.
3. Jak rozpoznać atak?
Jak tłumaczy dyrektor w dziale zarządzania ryzykiem informatycznym EY Michał Kurek internauta musi być świadomy, że w każdej chwili może stać się obiektem ataku phishingowego.
- Hakerzy, aby osiągnąć swoje cele dążą do budowania relacji opartych na zaufaniu, trzeba się więc liczyć z możliwością przejęcia przez nich skrzynek mailowych naszych znajomych. Dlatego musimy zwracać uwagę, czy w wiadomościach od nich nie zaczęły pojawiać się błędy stylistyczne i ortograficzne - dodaje.
Hakerów często zdradza także brak polskich czcionek w tematach wiadomości.
4. Jak nie dać się okraść?
Eksperci radzą, aby szukać w Google danych o domenach adresatów, które wydają się nam podejrzane.
- Należy zawsze sprawdzać źródła linków, które pojawiają się w mailach bez klikania w nie. Większość programów pocztowych wyświetli źródło linka po najechaniu na niego kursorem myszy. Jeśli różni się ono od jego opisu i prowadzi do nieznanego adresu internetowego, nie można go otwierać - wyjaśnia Marcin Lisiecki, manager ds. cyberbezpieczeństwa w Deloitte Advisory.
Lisiecki zwraca też uwagę, że w internecie powinno się jak najrzadziej podawać swoje dane.
- Poważne instytucje nigdy nie wysyłają do nas wiadomości e-mail z prośbą o podanie swoich identyfikatorów i haseł. Banki wiedzą o nas tyle, że nie muszą nas pytać o numer karty kredytowej, którą same nam wydały. Nigdy nie proszą również w ten sposób o podanie swojego hasła dostępowego lub SMS-owych kodów do potwierdzania transakcji - mówi.
5. Jaka jest skala zagrożenia?
Według danych producenta oprogramowania Symantec, w 2015 r. na świecie miało miejsce 1305 ataków phishingowych na pracowników firm. Oznacza to wzrost o 55 proc. w porównaniu z 2014 r.
Ekspert wyjaśnia, jak działają hakerzy:
Autor: tol/ms / Źródło: TVN24 BiS, PAP
Źródło zdjęcia głównego: Shutterstock