Przestępcy nie zatrzymują się, żeby nas okraść. Liczby za poprzedni rok są przerażające
Stary phishing wciąż ma się dobrze. Eksperci z CSIRT NASK ostrzegają przed nowymi zagrożeniami, w których oszuści podszywają się pod kuriera i Facebooka. Z raportu CERT NASK wynika, że taka metoda kradzieży środków i danych to prawdziwa plaga.
W najnowszym wariancie cyberprzestępcy podszywają się pod DHL. Polacy otrzymują wiadomość SMS, w której rzekomy kurier informuje o problemach z dostarczeniem paczki. Cło nie jest opłacone, więc żeby otrzymać przesyłkę, najpierw należy uregulować należność. W tym celu ofiara ma wejść na podstawioną stronę przypominającą witrynę firmy kurierskiej i podać dane do bankowości elektronicznej.
W przekręt łatwo uwierzyć, bo przecież wielu Polaków zamawia rzeczy z zagranicy i wie, że czasami faktycznie dodatkowa opłata może zostać naliczona.
Inne nowe oszustwo może doprowadzić do stracenia konta na Facebooku
Zaczyna się od oferty przedmiotu na sprzedaż. Fikcyjne ogłoszenie zamieszczone jest na Facebooku. Oszuści zachęcają do kontaktu przez prywatną wiadomość, a następnie wysyłają link do strony, na której mają znajdować się szczegółowe informacje na temat oferowanego przedmiotu. Kiedy jednak przejdzie się na podaną witrynę, trafi się na portal udający Facebooka i co gorsze: komunikat proszący o zalogowanie się. Tak złodzieje chcą wyłudzić dane do logowania, by przejąć konto ofiary.
Potem mogą za jego pomocą rozsyłać prośby do znajomych o pożyczenie pieniędzy i podanie kodu Blik. Nie tylko więc stracimy poufne dane (a konsekwencje mogą być poważne, szczególnie, jeżeli korzystamy z tego samego hasła w wielu miejscach), ale też narazimy na stratę pieniędzy bliskich.
Z raportu CERT NASK wynika, że w 2022 roku oszustwa phisingowe stanowiły najczęstsze zagrożenia – prawie 65 proc. wszystkich incydentów. ! Najpopularniejszym typem phishingu było wykorzystywanie wizerunku firmy kurierskiej InPost – 5 119 incydentów. Na podium znalazł się również serwis mediów społecznościowych Facebook - 4 370 incydentów oraz serwis ogłoszeniowy Vinted – 2 926 incydentów.
Specjaliści z CERT NASK zwracają uwagę na zagrożenia rozsyłane drogą SMS-ową. Jest ich naprawdę mnóstwo, co pokazują statystyki otrzymywanych zgłoszeń – Polacy mogą sami przekazać ekspertom fałszywą wiadomość, którą dostali, by ci ostrzegli przed niebezpieczeństwem innych. I tak do CERT NASK trafiło 217 685wiadomości SMS, prawie 14 razy więcej niż w roku 2021. Aż 199 868 SMS-ów zawierało link, który został poddany dalszej analizie. Za próbę phishingu uznano 82 319 z tych wiadomości, a w konsekwencji wpisano 32 361 domen na Listę ostrzeżeń. Samo to pokazuje skalę zagrożenia.
Rząd niedługo ukróci takie oszustwa. A przynajmniej to obiecuje
Niedawno Państwowy Instytut Badawczy NASK oraz Krajowa Izba Komunikacji Ethernetowej zawiązali porozumienie mające na celu "poprawę bezpieczeństwa użytkowników telefonii komórkowej poprzez ograniczenie zjawiska masowej wysyłki wiadomości SMS typu A2P (application-to-person, czyli rozsyłanych automatycznie przez specjalne narzędzia), które mają charakter phishingowy".
- Dzięki porozumieniu dostajemy do ręki nowe narzędzie, które pozwoli na skuteczniejszą walkę z cyberprzestępczością, a zwłaszcza z fałszywymi wiadomościami SMS. Po drugie, to wymowny wyraz otwartości na współpracę wszystkich zaangażowanych stron. To dzięki takiej współpracy, dzięki wspólnej walce z przestępcami, wzmacnia się poziom bezpieczeństwa w Polsce – podkreślił Wojciech Pawlak, dyrektor NASK.
Prawdziwe zmiany mają jednak wprowadzić nowe przepisy, które w najbliższych miesiącach wejdą w życie. Operatorzy będą musieli blokować SMS-y wyłudzające dane i połączenia głosowe, których celem jest podszywanie się pod inną osobę lub instytucję. Ustawa wprowadza kary dla oszustów, a nowe przepisy uwzględniają szczególnie smishing (SMS-y, w których oszuści podają się za kuriera, bank lub inną podobną instytucję, celem wyłudzenia danych lub pieniędzy), spoofing (to samo, ale w kontekście połączeń głosowych) i generowanie sztucznego ruchu (inicjowanie długich, wielogodzinnych głuchych telefonów, które nie niosą ze sobą żadnej treści).
Wcześniej ratować klientów mogą same banki. Niektóre to robią, wprowadzając nowe metody logowania i weryfikacji. Teraz zauważyłem, że mBank podczas potwierdzania logowania sugeruje sprawdzić, czy strona, na której się znajdujemy, faktycznie jest witryną banku, a nie podstawioną przez oszustów. Małe, drobne komunikaty, a mogą naprawdę pomóc, więc można żałować, że takie kroki stawiane są dopiero teraz.