Zespół CSIRT NASK zaobserwował kampanię wiadomości e-mail, podszywających się pod Pekao. Oszuści wysyłają wiadomości, które rzekomo pochodzą od zespołu wsparcia banku.
NASK wyjaśnia krok po kroku, jak odbywa się mechanizm tego oszustwa.
W pierwszym kroku atakujący rozsyłają e-maile, w których podszywają się pod zespół wsparcia banku Pekao. W treści wiadomości oszuści informują o rzekomym wygaśnięciu hasła dostępu do bankowości internetowej.
W wiadomości znajduje się odnośnik, który poprowadzi do strony phishingowej (zawierającej zwodniczo podobny adres URL do tego, który ma bank). I ten krok może umożliwić oszustom wyłudzenie naszych danych do logowania do bankowości internetowej.
Jak się nie dać oszukać?
Po otrzymaniu podejrzanej wiadomości NASK radzi, by wykonać następujące kroki:
- Zadzwoń do swojego banku. Kiedy dostajesz niespodziewaną wiadomość, upewnij się, czy rzeczywiście została wysłana właśnie przez Twój bank.
- Pośpiech jest złym doradcą. Jeśli czytając wiadomość, odczuwasz presję czasu, jeśli zachęca cię ona lub ponagla, by szybko wykonać jakąś operację, to prawdopodobnie jest to fałszywa wiadomość. Oszuści liczą na to, że w obawie przed utratą dostępu do swojego konta będziesz działać szybko i zaniechasz sprawdzania.
- Uważaj na linki w wiadomościach. Oszuści często podszywają się pod banki, aby nakłonić cię do kliknięcia w link prowadzący na fałszywą stronę banku i tam wyłudzić twoje dane.
- Samo kliknięcie zwykle nie rodzi negatywnych konsekwencji. Przenosi cię jednak na stronę, która może być dla oszusta furtką do twoich pieniędzy, jeśli wpiszesz tam swoje dane. Dlatego zaloguj się do bankowości internetowej bezpośrednio - przez aplikację lub przez stronę banku, wpisując adres ręcznie i sprawdź, czy wszystko działa, jak należy.
- Przeczytaj uważnie w pasku adresu adres strony, na którą cię przekierował link. Adres często zdradza oszustów - bywa w nim dużo dziwnych znaków czy fraz, które nie mają związku z twoim bankiem.
- Podejrzanego maila przekaż do oceny ekspertom z zespołu CERT Polska, zgłaszając incydent poprzez tę stronę lub przesyłając go na adres: cert@cert.pl.
Czym jest phishing?
Phishing to jeden z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS. Wykorzystuje inżynierię społeczną, czyli technikę polegającą na tym, że przestępcy internetowi próbują cię oszukać i spowodować, abyś podjął działanie zgodnie z ich zamierzeniami - wyjaśnia NASK.
Cyberprzestępcy podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet naszych znajomych, starają się wyłudzić nasze dane do logowania np. do kont bankowych lub używanych przez nas kont społecznościowych czy systemów biznesowych.
O NASK
NASK jest Państwowym Instytutem Badawczym nadzorowanym przez Ministra Cyfryzacji. Prowadzi badania naukowe i prace rozwojowe na rzecz bezpieczeństwa systemów sieciowych, a także nad technologiami opartymi o najnowocześniejsze rozwiązania, wykorzystujące sztuczną inteligencję i zaawansowaną analizę danych.
Pełni też istotną funkcję w Krajowym Systemie Cyberbezpieczeństwa, pełniąc rolę jednego z trzech CSIRT (Computer Security Incident Response Team) najwyższego poziomu w Polsce. Prowadzi też ekspercką działalność edukacyjną, szkoleniową i popularyzatorską.
Źródło: tvn24.pl
Źródło zdjęcia głównego: Shutterstock