Liczba oszustw phishingowych stale rośnie od 2015 roku, a przyrost jeszcze przyspieszył w czasie pandemii. Polska policja przestrzega przed oszustami i radzi, jak można się bronić przed phishingiem.
Informację na temat przestępstw phishingowych w piątek opublikowała polska policja. "Phishing to rodzaj oszustwa, który polega na podawaniu się za inną osobę, podszywaniu się pod firmę lub instytucję w celu wyłudzenia poufnych informacji, danych logowania, danych karty kredytowej, konta bankowego lub używanych haseł" - przypomniano. Liczba tego typu oszust rośnie nieprzerwanie od 2015 roku.
"Ostatnie miesiące były rekordowe pod względem liczby zaobserwowanych prób oszustwa przez e-mail, SMS czy komunikator. Ten wzrost zbiega się z pandemią i związanym z nią ograniczeniem kontaktów osobistych oraz przeniesieniem do internetu wielu codziennych aktywności" - wskazano. Większość ataków to proste sztuczki opierające się na powtarzalnych schematach i niewymagające dużych nakładów pracy.
Według policji najbardziej popularną kampanią phishingową, która pojawiła się w czasie pandemii COVID-19, jest oszustwo wobec użytkowników serwisu ogłoszeniowego OLX. Przestępcy kontaktują się w sprawie zakupu przedmiotów wystawionych na sprzedaż, wykorzystując komunikator WhatsApp - następnie proponują sfinalizowanie transakcji z wykorzystaniem usługi płatności świadczonej przez portal. Jeśli sprzedawca się zgodzi, wysyłają spreparowany link, który przypomina OLX, ale w rzeczywistości zawiera fałszywy formularz płatności. Atak kończy się kradzieżą danych karty kredytowej i wyłudzeniem środków finansowych nieświadomego użytkownika.
Inna taktyka polega na wysyłaniu fałszywych wiadomości SMS. Oszust wysyła wiadomość do jak największej liczby losowych numerów, umieszczając w niej link do fałszywej strony płatności. Fałszywe SMS-y informują np. o konieczności dopłaty do szczepionki. Pojawiają się również wiadomości, w których jest mowa o uregulowaniu należności za energię elektryczną, wyrównania niedopłaty podatku lub mandatu karnego. Kwota określona w wiadomości jest zwykle niewielka. Przestępcy liczą na to, że odbiorca nie będzie drobiazgowo weryfikował, czy należność jest zasadna i będzie skłonny zapłacić "dla świętego spokoju". "Niestety podanie danych logowania na fałszywej stronie płatności może doprowadzić do utraty dużo większej sumy niż wymieniona w wiadomości" - podkreśla policja.
Fałszywe maile i Flubot
Kampanie phishingowe mogą się rozprzestrzeniać również za pomocą wiadomości e-mail. Nadawcy podszywają się pod operatorów polskich serwisów pocztowych takich jak Onet, Interia, O2 i Wirtualna Polska. Zależnie od wariantu oszustwa, w treści wiadomości pojawia się informacja o konieczności zatwierdzenia nowej polityki prywatności lub powiadomienie o tym, że konto zostało zablokowane z powodu naruszenia regulaminu przez użytkownika. W obu przypadkach ofiara jest namawiana do przejścia na wskazaną stronę w celu zdjęcia blokady konta. Gdy już to zrobimy, nasze urządzenie może zostać zainfekowane wirusem wykradającym poufne dane.
Kolejny z ataków polega na zainstalowaniu na urządzeniu mobilnym szkodliwego oprogramowania Flubot. Swoją nazwę (z ang. flu - grypa) zawdzięcza błyskawicznemu rozprzestrzenianiu się. Atak jest wymierzony w użytkowników urządzeń z systemem Android. "Fałszywa aplikacja uzyskuje dostęp do listy kontaktów z zainfekowanego urządzenia i uprawnienia, które pozwalają jej na wysyłanie i odbieranie SMS-ów. Dodatkowo Flubot jest zagrożeniem, które potrafi wykradać dane logowania do różnych serwisów, w tym bankowości mobilnej" - informuje policja.
Uważać powinniśmy również na linki do fałszywych portali informacyjnych, które przychodzą do nas od znajomych na serwisach społecznościowych. Możliwe, że pochodzą one od oszusta. "Kto kliknie w ten link, zobaczy formularz logowania do Facebooka (...) Formularz jest fałszywy, więc jeśli podamy tam swoje dane logowania, to przestępca będzie mógł się zalogować na nasze konto i z niego wysyłać podobne wiadomości do naszych znajomych i w ten sposób przejmować ich konta" - czytamy. Złodziej może również podszywać się za nas i próbować wyłudzić od naszych znajomych pieniądze.
Jak się bronić przed phishingiem?
Jak podkreśla policja, w przypadku kampanii phishingowych najlepszą linią obrony są zawsze ostrożność oraz uwaga. "Za każdym razem należy weryfikować nazwę strony internetowej, na której podaje się wrażliwe dane, czy nazwę domeny, z której otrzymano ważną wiadomość mailową. Każdy błąd, nawet drobna literówka, mogą świadczyć o oszustwie" - zaznaczono.
Bardzo istotne jest również używanie unikalnych i odpowiednio skomplikowanych haseł w każdym z serwisów (w szczególności podczas korzystania z kont pocztowych, za pomocą których można resetować hasła w innych serwisach). Pomocne w tym zakresie są menedżery haseł. Wszelkie podejrzenia należy weryfikować, kontaktując się z rzekomym nadawcą za pomocą innego kanału niż ten, przez który dotarła wiadomość.
Źródło: PAP
Źródło zdjęcia głównego: Shutterstock