Wielokrotnie ostrzegałam na łamach „Wprost” przed oszustami, którzy rozsyłają maile i smsy, z których wynika, że odbiorca musi dokonać zaległej opłaty, często na symboliczną kwotę, bo w przeciwnym razie nie dotrze do niego zamówiona paczka albo zostanie pozbawiony dostępu do jakiejś usługi.
Zawahanie, które może dużo kosztować
Mimo to gdy w sobotę dostałam sms o treści: „PGE: Na dzień 18.09.2022 zaplanowano odłączenie energii elektrycznej. Prosimy o uregulowanie należności” i link do płatności, w pierwszej chwili przestraszyłam się, że coś naprawdę jest na rzeczy. Zawahanie trwało kilka sekund, bo w smsie nic się nie zgadzało: przyszedł z prywatnego numeru, do tego adres, do którego odsyłała wiadomość, miał bardzo niepoważny adres. Zignorowałam, ale skoro ja na chwilę dałam się nabrać, to rozumiem, że osobom starszym, mniej obeznanym z technologią oraz tym, którzy zakładają dobre intencje innych osób mogą dać się nabrać. A to bardzo kosztowny błąd.
Oszustwo „na niezapłacony rachunek za prąd” miało w ostatnich dniach zmasowany charakter. Tego rodzaju wiadomości SMS o rzekomo nieuiszczonych opłatach to przykład smishingu. Jest to jedna z najpopularniejszych metod wykradania danych. Polega na wysłaniu do potencjalnej ofiary SMS-a z informacją, która ma na celu wzbudzenie emocji (na przykład strachu). W tym wypadku nadawca podszywający się pod dostawcę energii pisze o konieczności pilnego uregulowania rzekomego zadłużenia i zachęca odbiorcę do podjęcia określonego działania. Jest to kliknięcie w link prowadzący do strony, na której można uiścić „zaległą” opłatę.
Skorzystanie z tej możliwości spowoduje jednak uruchomienie złośliwego oprogramowania, które może wykraść z mobilnego urządzenia takie informacje, jak dane logowania do bankowości mobilnej czy dane kart płatniczych.
Ludzie się boją, a oszuści działają
Oszuści już dawno odkryli, że skuteczność ich ataków często zależy od samych ofiar i ich podatności na manipulację. Jak podkreślają eksperci firmy Fortinet, cyberprzestępcy bardzo chętnie sięgają po metody socjotechniczne, które bazują na wywoływaniu określonych emocji u odbiorcy, szczególnie silnego strachu.
– Ofiary widząc informację o nieopłaconych rachunkach za prąd mogą wpadać w panikę, że nie będą mogły oświetlić domu czy ugotować obiadu. Kwoty, które rzekomo mają zapłacić, są zazwyczaj bardzo niskie, co sprawia, że odbiorca chcąc „mieć problem z głowy” klika w niebezpieczny link i infekuje swoje urządzenie złośliwym oprogramowaniem – mówi Jolanta Malak,dyrektorka Fortinet w Polsce.
Inną metodą służącą kradzieży danych jest phishing. Mechanizm działania jest taki sam jak w przypadku smishingu, ale kanałem dotarcia do ofiary nie są wiadomości SMS, lecz e-maile. Phishing może być szczególnie groźny, gdyż cyberprzestępcy często dokładają starań, by fałszywa strona internetowa, pod którą podszywają się oszuści i na którą przekierowuje link zawarty w e-mailu, jak najbardziej przypominała prawdziwą witrynę firmy. Istnieje także telefoniczna odmiana phishingu, czyli vishing. W tym przypadku cyberprzestępcy wykorzystują połączenia telefoniczne, aby uzyskać osobiste informacje od rozmówców i nakłonić ich do przekazania poufnych danych.
Jak chronić się przed kradzieżą danych?
Cechą wszelkich metod socjotechnicznych jest podszywanie się pod odbiorcę znanego ofierze. Dlatego oszuści często wysyłają wiadomości w imieniu banków czy popularnych firm i sklepów, licząc tym samym na łatwowierność ofiary. Jednak należy pamiętać, że takie instytucje nigdy nie proszą o podanie poufnych danych drogą mailową czy poprzez wiadomość SMS.
– Jeżeli w naszej skrzynce odbiorczej znajdzie się podejrzana wiadomość, należy niezwłocznie skontaktować się z prawdziwym nadawcą, np. z Biurem Obsługi Klienta. Jeżeli jednak nie korzystamy z usług firmy, pod którą podszywają się oszuści, wiadomość powinna od razu trafić do kosza. Należy także pamiętać, aby pod żadnym pozorem nie klikać w linki i załączniki zawarte w e-mailu czy wiadomości SMS. Jeden błąd może nas kosztować naprawdę dużo – ostrzega Jolanta Malak.
Wiadomości przesyłane przez oszustów bardzo często mają błędy. Mogą na przykład zawierać słowa bez polskich znaków, błędy składniowe, interpunkcyjne czy literówki. Powinno to natychmiast skłonić odbiorcę do podejrzeń i zapalić czerwoną lampkę, podobnie jak wszelkie krzykliwe i alarmujące tytuły, np. “Odetną ci prąd. ZAPŁAĆ NATYCHMIAST!”.
Cyberprzestępcy chcą wywołać u odbiorcy strach i panikę, z powodu których przekaże on oszustom swoje dane. Należy więc zachować czujność w przypadku otrzymania wiadomości o podejrzanej treści i nie klikać w żadne linki. Najskuteczniejszą metodą jest jednak zaufanie własnemu instynktowi. Jeśli coś wydaje się fałszywe, to najczęściej oznacza, że takie właśnie jest. Cyberprzestępcy są sprytni, ale ignorując podejmowane przez nich próby socjotechnicznych ataków, można skutecznie utrudnić im kradzież danych i informacji.
Czytaj też:
Nagranie rozmowy z oszustem bankowym. Policja demaskuje działania złodzieja