- 2019-11-26
Czujność w internecie, czyli jak nie wpaść w sieci (na) oszustów
Phishing to najpopularniejsze zagrożenie czyhające na użytkownika w sieci. W 2018 roku niemal połowa (44 proc.) wszystkich ataków w internecie odbyła się z wykorzystaniem tej metody. Liczba e-przestępstw rośnie – dane Komendy Głównej Policji wskazują, że w 2018 roku było ich o 100 proc. więcej niż rok wcześniej. Polacy nie mają dostatecznej wiedzy na temat cyberzagrożeń, a przez to nie potrafią się przed nimi skutecznie bronić. Przed zbliżającym się Black Friday konsumenci powinni jednak wzmóc swoją czujność. Podpowiadamy, jak nie paść ofiarą internetowego oszustwa.
Phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub organizację, aby nakłonić ofiarę do uruchomienia złośliwego oprogramowania lub pozyskać jego dane osobowe. Z roku na rok to zjawisko przybiera na sile. Tylko w 2018 r. operatorzy z zespołu CERT Polska, monitorującego zdarzenia naruszające bezpieczeństwo sieci, otrzymali ponad 77 tys. zgłoszeń dotyczących tego typu ataków. Działania oszustów przybierają różne postaci. Mając na uwadze zbliżające się „święto zakupów”, w którym to wzmaga się działalność przestępców internetowych, eksperci Alior Banku radzą, na co należy zwrócić uwagę, korzystając na co dzień z bankowości elektronicznej.
Sposób na ofiarę
Przestępcy wykorzystują różne metody socjotechniczne, by zachęcić użytkowników do odwiedzenia fałszywej strony lub kliknięcia w link w wiadomość e-mail. Wzbudzają w nich poczucie strachu, empatii, a czasami przymusu, by wymusić szybkie działanie. – Niejednokrotnie na skrzynki mailowe Polaków trafiają wiadomości o chwytliwych tytułach – „Nieuregulowana opłata”, “Pilne”, “Ważne” czy “Zapłać natychmiast”. Takie komunikaty wprawiają potencjalną ofiarę w stan niepokoju i podświadomie wymuszają podjęcie dalszych kroków – opłacenie nieuregulowanej faktury, wykonanie drobnej dopłata za mającą wygasnąć usługę lub przekazanie pieniędzy na konto bliskiej osoby będącej w potrzebie. Oszuści wiedzą, że grając na emocjach ludzi, mogą w łatwy sposób skłonić ich do określonych działań – mówi Wiktor Szymański, ekspert ds. bezpieczeństwa IT Alior Banku.
Wzmożone ataki przy okazji wolnych dni
Liczba ataków phishingowych rośnie sezonowo. Dla cyberprzestępców święta, letnie wakacje i ferie zimowe to doskonały czas do rozpoczęcia łowów. Prawdziwą okazją jest dla nich Black Friday – międzynarodowy dzień największych wyprzedaży w roku. Listopadowa gorączka zakupów z roku na rok cieszy się w Polsce coraz większą popularnością, dlatego eksperci przypominają o zachowaniu szczególnej ostrożności. W tym okresie w sieci pojawia się wiele fałszywych sklepów internetowych, które sprzedają różnego rodzaju produkty po wyjątkowo atrakcyjnych cenach. Niestety, przestępcy dbają o wiarygodność przygotowywanych przez siebie oszustw – tworzone przez nich fikcyjne strony są łudząco podobne do oryginałów, na których się wzorowali, mogą nawet stworzyć sfabrykowane portale z opiniami zadowolonych klientów. Kilka tygodni później takie strony znikają bez śladu, jednak dane przekazane przez klientów zwabionych ofertą zostają w rękach przestępców na zawsze.
– Z naszych obserwacji wynika, że miesięcznie w internecie powstaje co najmniej kilka fałszywych sklepów oraz wiele podrobionych stron pośredników szybkich płatności. Przy atakach phishingowych oszuści zręcznie wykorzystują oprawę graficzną i logotypy bramek płatniczych, jak również stron internetowych banków – mówi Filip Karbowski, ekspert ds. monitorowania bezpieczeństwa Alior Banku.
Jak nie paść ofiarą internetowych oszustów?
1. Bądź czujny
Cyberprzestępcy też popełniają błędy, więc by uchronić się przed atakiem phishera należy zwracać uwagę na wszystkie, nawet najdrobniejsze szczegóły. Choć witryna stworzona przez oszustów może wyglądać podobnie jak ta, którą znamy i na którą wielokrotnie się logowaliśmy, zawsze warto przyjrzeć się warstwie językowej portalu, obecności wymaganych zakładek (takich jak kontakt czy regulamin), a w przypadku bankowości internetowej przyjrzeć się obrazkowi bezpieczeństwa oraz dokładnie przeczytać wiadomość sms lub push zawierającą informację o tym, jaką operację chcemy wykonać.
– Podobnie jest z fałszywymi wiadomościami e-mail, które nagminnie wpadają do naszych skrzynek. Pomimo, że przypominają one komunikaty wysłane z banku lub od operatora telekomunikacyjnego, często zawierają ogólniki, które od razu powinny wzbudzić naszą czujność. Zawsze należy zwracać uwagę na adres nadawcy wiadomości oraz format przesłanego załącznika. Warto pamiętać, że bank w wiadomości e-mail nigdy nie przesyła bezpośredniego linku do portalu bankowości elektronicznej z prośbą o zalogowanie, podanie PINu, numeru karty kredytowej lub zmiany hasła. Przydatny może być nawyk dokładnego sprawdzania wiadomości zawsze wtedy, gdy otrzymany link, e-mail czy sms, które sprawiają, że podnosi nam się ciśnienie lub czujemy niepokój – mówi Wiktor Szymański, ekspert Alior Banku.
2. Upewnij się, na jakiej jesteś stronie
Eksperci radzą, aby logując się do banku za każdym razem weryfikować, czy adres wpisany w pasku przeglądarki pokrywa się z rzeczywistym adresem instytucji, w której ulokowaliśmy swoje pieniądze. Dla zachowania jak największej ostrożności dobrze jest wprowadzić go ręcznie. Wówczas będziemy mieć pewność, że znaleźliśmy się na odpowiedniej stronie.
Czerwona lampka powinna zapalić się nam również w sytuacji, gdy po wprowadzeniu loginu i hasła, system bankowości internetowej ładuje się zbyt powoli. Może to oznaczać, że nasz komputer został zainfekowany lub znajdujemy się na fałszywej stronie. Dlatego, jeśli proces logowania wygląda inaczej niż zwykle, trwa znacznie dłużej, a do tego w trakcie jego trwania wyskakują nowe (wcześniej niewystępujące) okienka, wymuszające na użytkowniku wpisanie poufnych danych - należy przerwać logowanie.
3. Zwróć uwagę na certyfikat SSL
Innym elementem, na który należy zwrócić uwagę podczas logowania się do banku, jest tak zwany certyfikat SSL. Wielu Polaków może go kojarzyć z symbolem zielonej kłódki oraz przedrostkiem „https”. Jest on ważny, ponieważ zapewnia poufność transmisji przesyłanych danych. – Niestety, oszuści coraz częściej tworzą fikcyjne strony, na których posługują się certyfikatami o niższej walidacji - typu DV. To powoduje, że internauci są przekonani, że znajdują się na właściwej stronie. Większość banków korzysta jednak z tzw. certyfikatów EV, czyli takich, które posiadają najwyższy poziom wiarygodności. Należy zwracać uwagę na nazwę podmiotu, dla którego certyfikat EV został wystawiony. Nowe przeglądarki niestety przestały wyświetlać tę nazwę przy pasku adresu. Można to sprawdzić klikając na ikonę kłódki. Warto dodać, że zielonej kłódki w nowych wersjach przeglądarek już nie zobaczymy, zmienia ona kolor na czarny lub szary – podsumowuje Filip Karbowski, ekspert Alior Banku.
Sposób na ofiarę
Przestępcy wykorzystują różne metody socjotechniczne, by zachęcić użytkowników do odwiedzenia fałszywej strony lub kliknięcia w link w wiadomość e-mail. Wzbudzają w nich poczucie strachu, empatii, a czasami przymusu, by wymusić szybkie działanie. – Niejednokrotnie na skrzynki mailowe Polaków trafiają wiadomości o chwytliwych tytułach – „Nieuregulowana opłata”, “Pilne”, “Ważne” czy “Zapłać natychmiast”. Takie komunikaty wprawiają potencjalną ofiarę w stan niepokoju i podświadomie wymuszają podjęcie dalszych kroków – opłacenie nieuregulowanej faktury, wykonanie drobnej dopłata za mającą wygasnąć usługę lub przekazanie pieniędzy na konto bliskiej osoby będącej w potrzebie. Oszuści wiedzą, że grając na emocjach ludzi, mogą w łatwy sposób skłonić ich do określonych działań – mówi Wiktor Szymański, ekspert ds. bezpieczeństwa IT Alior Banku.
Wzmożone ataki przy okazji wolnych dni
Liczba ataków phishingowych rośnie sezonowo. Dla cyberprzestępców święta, letnie wakacje i ferie zimowe to doskonały czas do rozpoczęcia łowów. Prawdziwą okazją jest dla nich Black Friday – międzynarodowy dzień największych wyprzedaży w roku. Listopadowa gorączka zakupów z roku na rok cieszy się w Polsce coraz większą popularnością, dlatego eksperci przypominają o zachowaniu szczególnej ostrożności. W tym okresie w sieci pojawia się wiele fałszywych sklepów internetowych, które sprzedają różnego rodzaju produkty po wyjątkowo atrakcyjnych cenach. Niestety, przestępcy dbają o wiarygodność przygotowywanych przez siebie oszustw – tworzone przez nich fikcyjne strony są łudząco podobne do oryginałów, na których się wzorowali, mogą nawet stworzyć sfabrykowane portale z opiniami zadowolonych klientów. Kilka tygodni później takie strony znikają bez śladu, jednak dane przekazane przez klientów zwabionych ofertą zostają w rękach przestępców na zawsze.
– Z naszych obserwacji wynika, że miesięcznie w internecie powstaje co najmniej kilka fałszywych sklepów oraz wiele podrobionych stron pośredników szybkich płatności. Przy atakach phishingowych oszuści zręcznie wykorzystują oprawę graficzną i logotypy bramek płatniczych, jak również stron internetowych banków – mówi Filip Karbowski, ekspert ds. monitorowania bezpieczeństwa Alior Banku.
Jak nie paść ofiarą internetowych oszustów?
1. Bądź czujny
Cyberprzestępcy też popełniają błędy, więc by uchronić się przed atakiem phishera należy zwracać uwagę na wszystkie, nawet najdrobniejsze szczegóły. Choć witryna stworzona przez oszustów może wyglądać podobnie jak ta, którą znamy i na którą wielokrotnie się logowaliśmy, zawsze warto przyjrzeć się warstwie językowej portalu, obecności wymaganych zakładek (takich jak kontakt czy regulamin), a w przypadku bankowości internetowej przyjrzeć się obrazkowi bezpieczeństwa oraz dokładnie przeczytać wiadomość sms lub push zawierającą informację o tym, jaką operację chcemy wykonać.
– Podobnie jest z fałszywymi wiadomościami e-mail, które nagminnie wpadają do naszych skrzynek. Pomimo, że przypominają one komunikaty wysłane z banku lub od operatora telekomunikacyjnego, często zawierają ogólniki, które od razu powinny wzbudzić naszą czujność. Zawsze należy zwracać uwagę na adres nadawcy wiadomości oraz format przesłanego załącznika. Warto pamiętać, że bank w wiadomości e-mail nigdy nie przesyła bezpośredniego linku do portalu bankowości elektronicznej z prośbą o zalogowanie, podanie PINu, numeru karty kredytowej lub zmiany hasła. Przydatny może być nawyk dokładnego sprawdzania wiadomości zawsze wtedy, gdy otrzymany link, e-mail czy sms, które sprawiają, że podnosi nam się ciśnienie lub czujemy niepokój – mówi Wiktor Szymański, ekspert Alior Banku.
2. Upewnij się, na jakiej jesteś stronie
Eksperci radzą, aby logując się do banku za każdym razem weryfikować, czy adres wpisany w pasku przeglądarki pokrywa się z rzeczywistym adresem instytucji, w której ulokowaliśmy swoje pieniądze. Dla zachowania jak największej ostrożności dobrze jest wprowadzić go ręcznie. Wówczas będziemy mieć pewność, że znaleźliśmy się na odpowiedniej stronie.
Czerwona lampka powinna zapalić się nam również w sytuacji, gdy po wprowadzeniu loginu i hasła, system bankowości internetowej ładuje się zbyt powoli. Może to oznaczać, że nasz komputer został zainfekowany lub znajdujemy się na fałszywej stronie. Dlatego, jeśli proces logowania wygląda inaczej niż zwykle, trwa znacznie dłużej, a do tego w trakcie jego trwania wyskakują nowe (wcześniej niewystępujące) okienka, wymuszające na użytkowniku wpisanie poufnych danych - należy przerwać logowanie.
3. Zwróć uwagę na certyfikat SSL
Innym elementem, na który należy zwrócić uwagę podczas logowania się do banku, jest tak zwany certyfikat SSL. Wielu Polaków może go kojarzyć z symbolem zielonej kłódki oraz przedrostkiem „https”. Jest on ważny, ponieważ zapewnia poufność transmisji przesyłanych danych. – Niestety, oszuści coraz częściej tworzą fikcyjne strony, na których posługują się certyfikatami o niższej walidacji - typu DV. To powoduje, że internauci są przekonani, że znajdują się na właściwej stronie. Większość banków korzysta jednak z tzw. certyfikatów EV, czyli takich, które posiadają najwyższy poziom wiarygodności. Należy zwracać uwagę na nazwę podmiotu, dla którego certyfikat EV został wystawiony. Nowe przeglądarki niestety przestały wyświetlać tę nazwę przy pasku adresu. Można to sprawdzić klikając na ikonę kłódki. Warto dodać, że zielonej kłódki w nowych wersjach przeglądarek już nie zobaczymy, zmienia ona kolor na czarny lub szary – podsumowuje Filip Karbowski, ekspert Alior Banku.