W czasie pandemii uważajmy na siebie także w Internecie.
Phishing – czym jest i dlaczego jest taki groźny?
Phishing jest to metoda oszustwa internetowego polegająca na tym, że przestępca podszywa się pod znaną nam osobę lub instytucję (np. bank, firmę kurierską czy serwis społecznościowy) celem wyłudzenia poufnych informacji lub zainfekowania komputera ofiary. Hakerzy chcąc wyłudzić loginy, hasła czy numery kart kredytowych przesyłają wiadomości e-mail, które zawierają przekierowanie do specjalnie przygotowanej strony internetowej. Strona taka bardzo często stanowi wierną kopię strony autentycznej (a często jedyną różnicą jest dodatkowa litera w nazwie domeny internetowej, z której wysłana jest wiadomość), przez co nie wzbudza u potencjalnej ofiary żadnych podejrzeń.
Ofiara jest najczęściej proszona o „zalogowanie” się na swoje konto w banku lub w portalu społecznościowym, np. pod pretekstem aktualizacji informacji lub odczytania ważnego komunikatu. Ponieważ strona, na którą trafia ofiara, jest fałszywa, hakerzy uzyskują w ten sposób wiedzę o loginach i hasłach do prawdziwej strony.
Drugim sposobem jest przesłanie potencjalnej ofierze specjalnie spreparowanej wiadomości e-mail, w której zawarty jest zainfekowany załącznik. Po otwarciu takiego załącznika na komputerze ofiary instalowane jest oprogramowanie szpiegujące lub wykradające poufne dane. Poważnym ryzykiem jest również to, że internetowi przestępcy są w ten sposób w stanie zaszyfrować dysk naszego komputera i żądać za jego odszyfrowanie niemałego haraczu. Co bardzo istotne, danych zaszyfrowanych w ten sposób nie da się odzyskać inaczej, jak tylko za pomocą hasła, które posiada haker. Pamiętać także trzeba, że po dokonaniu zapłaty i tak nie mamy pewności, czy cyberprzestępcy faktycznie odszyfrują nasze dane.
Nieoczekiwany mail na temat koronawirusa? Zastanów się, zanim klikniesz
W obecnej sytuacji szczególnie popularne stały się próby oszustwa „na koronawirusa”. Oszuści przesyłają mnóstwo wiadomości związanych z szalejącą epidemią. Tytułem przykładu warto podać ostatnie ataki SMS, w których zawarta była informacja o tym, że każdy obywatel może otrzymać wsparcie żywnościowe w związku z panującą epidemią i w tym celu musi zalogować się na „stronie Ministerstwa Zdrowia” przy pomocy swojego profilu zaufanego. Analogicznie postępowali hakerzy przesyłający fałszywe linki mówiące o tym, że w związku z wirusem z każdego rachunku bankowego w Polsce zostanie pobrane 1000 PLN. W wiadomości przesłany był link, którego kliknięcie miało rzekomo powodować uniemożliwienie pobrania pieniędzy z rachunku ofiary.
Podobnie przestępcy próbowali uzyskać dostęp do rachunków bankowych przesyłając SMSy o rzekomym obowiązku zapłaty 70 PLN na poczet szczepień ochronnych. Często przestępcy wykorzystują również nasze emocje i naturalną potrzebę pomocy innym. Szczególnie mocno powinniśmy uważać na wiadomości i strony internetowe, za pomocą których „przekażemy słowa otuchy do cierpiących z powodu Koronawirusa” lub też „prześlemy nasze podziękowania do dzielnych lekarzy walczących z epidemią”.
Jak bronić się przed phishingiem?
Nie ma jednej, skutecznej metody na ochronę przed phishingiem. Jedyne co możemy zrobić, to zrozumieć metody działania cyberprzestępców i postępować rozważnie.
Po pierwsze, nie klikajmy w linki i nie otwierajmy załączników od osób, których nie znamy i zawartych w wiadomościach, których się nie spodziewaliśmy. Zanim klikniemy w link zawarty w mailu od firmy kurierskiej zastanówmy się, czy na pewno czekamy na jakąś przesyłkę.
Po drugie, musimy pamiętać, że żadna instytucja (np. bank czy portal społecznościowy) nigdy nie prześle nam mejla z prośbą o podanie loginu i hasła – taka wiadomość będzie stanowiła próbę oszustwa.
Trzeba również pamiętać, że oszuści rzadko będą dobrze znać język polski – jeżeli wiadomość zawiera błędy ortograficzne, jest napisana w sposób niegramatyczny i sprawia wrażenie tłumaczonej przy pomocy tłumacza internetowego, to z dużą dozą prawdopodobieństwa możemy przyjąć, że taka wiadomość to próba ataku na naszą prywatność. W tym kontekście warto również zwracać uwagę na poprawność domen, z których pochodzą wiadomości – często zamiast z domeny bank.pl, wiadomość będzie pochodzić z domeny bank.ppl. Uważajmy również na różnicę między O i 0 czy I oraz 1 – takie literówki łatwo przeoczyć. Pamiętajmy w końcu, że organizacje i instytucję rządowe zawsze korzystają z domen z rozszerzeniem gov.pl – rządowa strona w innej domenie to prawie na pewno oszustwo.
Jedno hasło do wszystkich kont? Bardzo zły pomysł…
Na końcu trzeba powiedzieć o najważniejszej rzeczy związanej z bezpieczeństwem w sieci, a mianowicie o hasłach. Musimy mieć świadomość, że najgorszą rzeczą, jaką możemy zrobić dla własnego bezpieczeństwa w Internecie, jest posiadanie jednego hasła do wszystkich kont – banków, profili społecznościowych, mejli itp. Gdy haker pozna nasze hasło np. do Facebooka w skutek ataku phishingowego, to od razu będzie próbował użyć tego hasła do zalogowania się do naszej poczty elektronicznej. Gdy okaże się, że mamy identyczne hasło do poczty jak to wykradzione z portalu społecznościowego, to haker z łatwością zmieni hasło w naszym profilu społecznościowym i bezpowrotnie utracimy nad nim kontrolę. Haker następni zmieni nasze hasło do skrzynki email i nasze cyfrowe życie może zmienić się w koszmar – tylko my wiemy, ile cennych i wrażliwych informacji trzymamy na swoich skrzynkach pocztowych.
Co więc robić, gdy w dzisiejszych czasach musielibyśmy zapamiętać dziesiątki, jak nie setki haseł? Najlepszym rozwiązaniem na ten problem jest korzystanie z managera haseł. Jest to rodzaj programu (aplikacji), którego zadaniem jest nie tylko zapisywanie wszystkich naszych haseł w bezpiecznej, szyfrowanej enklawie, ale również generowanie bardzo długich i bardzo skomplikowanych haseł do każdego konta, które posiadamy w Internecie – niezależnie od tego, czy jest to bank, portal społecznościowy czy internetowy sklep spożywczy. Jeżeli wszędzie będziemy posiadać identyczne hasło, to złamanie zabezpieczeń którejkolwiek z tych instytucji pozwoli hakerom przejąć kontrolę nad wszystkimi naszymi kontami w sieci. Gdy z kolei do każdej strony będziemy mieć inne hasło, to złamanie hasła tylko do jednego portalu, nie zagrozi bezpieczeństwu naszych danych zgromadzonych na innych stronach.
Bardzo mocno zachęcamy również do korzystania z metody dwuetapowej weryfikacji wszędzie tam, gdzie jest to możliwe. Gdy do zalogowania się w portalu społecznościowym lub do skrzynki e-mail, haker oprócz loginu i hasła będzie również potrzebował kodu SMS, który otrzymamy na nasz telefon, to nasze bezpieczeństwo w sieci wzrośnie znacząco.
Czy jesteś pewien, że nie dasz się nabrać?
Teraz, gdy już wiesz, czym jest Phishing i jak się przed nim bronić, możesz sprawdzić, czy odróżnisz prawdziwe strony i wiadomości od tych, które chcą wykraść Twoje poufne dane. W tym celu Google przygotowało interaktywny quiz, przy pomocy którego możemy bezpiecznie nauczyć się rozpoznawać zagrożenia czyhające na nas w sieci: https://phishingquiz.withgoogle.com/
Zespół Kubas Kos Gałkowski cały czas monitoruje regulacje i zalecenia wydawane przez organy rządowe i na bieżąco opracowuje konkretne rozwiązania prawne. Pozostajemy w gotowości, aby udzielić wsparcia i odpowiedzi na wszelkie pojawiające się pytania. W razie jakichkolwiek wątpliwości związanych z COVID-19 oraz wpływem pandemii na Państwa działalność, jesteśmy do Państwa dyspozycji.
Artykuł ma charakter wyłącznie informacyjny, abstrakcyjny i ogólny, nie stanowi opinii prawnej lub porady ani nie może być traktowany jako świadczenie pomocy prawnej w jakiejkolwiek formie. Materiały zawarte w niniejszym artykule nie mogą stanowić podstawy jakiejkolwiek odpowiedzialności Kancelarii lub autora artykułu w stosunku do osób trzecich. Kancelaria "Kubas Kos Gałkowski – Adwokaci sp. p". sp. k. może udzielić porady prawnej lub sporządzić opinię wyłącznie i dopiero po zapoznaniu się ze stanem faktycznym konkretnej sprawy. W celu uzyskania bardziej szczegółowych informacji lub pomocy prawnej skontaktuj się z naszym prawnikiem.