Rząd ostrzega przed oszustwami typu spoofing i phishing

Spoofing to w dużym uproszczeniu podszywanie się pod innego użytkownika sieci. Oszust wykorzystujący metodę spoofingu telefonicznego podszywa się pod konkretne numery, dzwoniąc z nich do ofiar i udając właściciela danego numeru – naszego znajomego, pracownika naszego banku, urzędnika czy nawet policjanta. Identyfikacja połączeń przychodzących nie zawsze jest wiarygodna. Istnieje możliwość zamiany numeru strony inicjującej połączenie. Największe możliwości zamiany mają użytkownicy usług VoIP (Voice over Internet Protocol).

Czytaj także: Uwaga na cyberprzestępców podszywających się pod Pocztę Polską. Oszustwa "na pocztowca"

Nowe rozwiązania technologiczne ułatwiają masowe wykorzystywanie spoofingu. Oszust może bowiem obecnie ręcznie wprowadzić numer, który ma się wyświetlić adresatowi połączenia jako numer dzwoniącego. Policja nie ma natomiast możliwości zablokowania tego procederu, ponieważ telefon oszusta podłączony jest do sieci komputerowej, a nie komórkowej.

Cieszyński ostrzega polityków przed spoofingiem: nie dajmy się rozegrać

Próbę oszustwa typu spoofing opisała w tym tygodniu Grażyna Bukowska, była dziennikarka "Wiadomości" TVP. Kilka dni temu scamerzy chcieli wyłudzić od niej internetowe hasło dostępu do konta w PKO BP, jednak kobiecie w ostatniej chwili udało się udaremnić próbę oszustwa.

Przedstawiciele banku w rozmowie z Wirtualnemedia.pl przyznają, że od ponad roku tego typu próby oszustw stały się dość częste.

- Niestety od ponad roku próby tego typu oszustw stały się dość częste - przyznaje Joanna Fatek, ekspertka z PKO BP. - Przestępcy wykorzystują słabość infrastruktury GSM i są w stanie podszyć się pod dowolny numer telefonu – infolinii bankowej, ale też policji czy prokuratury. Zarówno my, jak i inne banki, ostrzegamy o tych oszustwach na stronie banku, stronach logowania, w aplikacjach mobilnych, w mediach społecznościowych czy na infolinii. Ostrzeżenia wystosowały też Związek Banków Polskich i policja.

Czytaj także: Rząd chce pilnie walczyć z podszywaniem się pod numery telefoniczne, będzie współpracował z telekomami

Phishing – co to jest i jak to zgłosić?

Phishing - to nazwa, która nie przez przypadek budzi dźwiękowe skojarzenia z angielskim słowem „fishing” oznaczającym łowienie ryb. Przestępcy, podobnie jak wędkarze, stosują bowiem odpowiednio przygotowaną „przynętę” i „łowią” swoje ofiary.

Zacznijmy od podejrzanych stron. To takie, które wyłudzają dane osobowe i dane uwierzytelniające. Linki do nich przesyłane są różnymi kanałami - SMS-em, mailem lub przez media społecznościowe. Ich adresy mogą znajdować się w różnych domenach, nie tylko w domenie krajowej *.pl.

W przypadku takich stron kluczowe jest szybkie działanie - rozpoznawanie, raportowanie oraz współdzielenie informacji o złośliwych domenach. Wszystko po to, by jak najszybciej zablokować do nich dostęp. Pomaga w tym uruchomiona przez NASK lista ostrzeżeń, która jest dostępna publicznie i wykorzystywana przez operatorów do blokowania dostępu do niepożądanych stron.

Cyberbezpieczeństwo: Człowiek najsłabszym ogniwem

Jak zgłaszać podejrzane strony w internecie?

Każda osoba może zgłosić podejrzaną stronę - wystarczy wypełnić internetowy formularz dostępny na stronie incydent.cert.pl.

Zgłaszać można też podejrzane, zawierające linki, SMS-y. Wystarczy przesłać je na numer 799 448 084, wykorzystując w swoim telefonie funkcję „przekaż” albo „udostępnij”. Wiadomość trafi bezpośrednio do analityków CSIRT NASK, którzy zdecydują o dopisaniu podejrzanej domeny do listy ostrzeżeń. Z jednego numeru można zgłosić maksymalnie trzy wiadomości w ciągu czterech godzin.

Co ważne, numer 799 448 084 służy wyłącznie do SMS-owego zgłaszania prób wyłudzeń internetowych (phishingu, fałszywych aplikacji). W przypadku zgłoszeń telefonicznych, właściwe numery znajdują się na stronie CSIRT NASK.

Jak dbać o bezpieczeństwo w sieci? Lista porad

Oto kilka prostych sposobów, jak zadbać o swoje bezpieczeństwo w sieci i nie stać się ofiarą phishingu:

1. Dokładnie sprawdzaj wygląd i adres strony, na której podajesz dane logowania, dane osobowe czy karty płatniczej (na pierwszy rzut oka może nie różnić się od tego oficjalnego, ale wystarczy się przyjrzeć, by znaleźć np. drobną literówkę).

2. Nie działaj pod presją czasu, uważaj na maile, SMS-y, strony internetowe, aplikacje i telefony, które skłaniają do natychmiastowego działania.

3. Uważaj na sensacyjne wiadomości, strony wymagające dodatkowego logowania, również te udostępniane z kont znajomych w mediach społecznościowych.

4. Weryfikuj źródła informacji, zanim podejmiesz działania na ich podstawie lub je powielisz.

W przypadku braku pewności, czy dana strona lub informacja jest prawdziwa, można skontaktować się z rzekomym nadawcą innym znanym kanałem i/lub poszukać potwierdzenia informacji w innych źródłach.