Table of Contents

54 proc. Polaków dostało w ciągu ostatnich 6 miesięcy podejrzane wiadomości SMS lub e-mail, a 18 proc. padło ofiarą oszustwa internetowego – wynika z badań przeprowadzonych przez SMSAPI. W powstałym na podstawie badania raporcie eksperci od bezpieczeństwa cyfrowego radzą jak rozpoznać niebezpieczne treści i uchronić się przed nimi.

Oszustwa internetowe to plaga, której ofiarą padło 18 proc. respondentów biorących udział w badaniu SMSAPI, polskiej platformy do masowej wysyłki wiadomości SMS. Władze próbują walczyć z tym zjawiskiem w sposób systemowy, jednak przestępcy ciągle wymyślają nowe metody oszustw. Dlatego najwięcej może zdziałać tu świadomość i edukacja społeczeństwa, które będzie wiedziało, jak samemu uchronić się przed takimi atakami i minimalizować ich ewentualne konsekwencje.

Przeczytaj pełny raport

Raport Bezpieczeństwo cyfrowe Polaków jest już dostępny!

Anatomia phishingu

Phishing, a więc podszywanie się pod firmy i instytucje w celu wyłudzenia danych, to najczęściej stosowany przez oszustów typ cyberprzestępstwa. Wysyłają oni spreparowane wiadomości z linkami kierującymi zazwyczaj do fałszywych stron np. banków lub bramek płatniczych, ale też serwisów pocztowych, społecznościowych i innych. Niektórym chodzi po prostu o kradzież pieniędzy swoich ofiar. Natomiast przejęte konta pocztowe lub social media mogą służyć do przeprowadzania kolejnych ataków.

Jakim kanałem otrzymujemy podejrzane treści? Raport Bezpieczeństwo cyfrowe Polaków
Kanały komunikacji a podejrzane treści; źródło: raport Bezpieczeństwo cyfrowe Polaków

Powszechne kanały komunikacji, takie jak SMS czy e-mail, cieszą się ogromną popularnością i zaufaniem wśród odbiorców na całym świecie. Niestety, jednocześnie czyni to z nich skuteczne narzędzia oszustw.

Aby z nimi skutecznie walczyć, musimy zadbać o jak najwyższą świadomość społeczeństwa na temat tych zagrożeń i ciągłą edukację w tym obszarze. A jest co robić, bo jak pokazuje nasz raport, niespełna 30 procent badanych było w stanie rozpoznać fałszywe wiadomości

Wojciech Kaczmarek, Managing Director w LINK Mobility Poland

Pośpiech – twój wróg

Ataki phishingowe opierają się na prostych zabiegach socjotechnicznych – ponagleniu do działania i straszeniu konsekwencjami. Charakterystyczny dla dzisiejszego społeczeństwa pośpiech i związana z tym niewystarczająca uważność powodują, że są one niestety skuteczne.

Błędy najczęściej popełniane są w pośpiechu, gdy ofiara czuje, że nie ma czasu na analizę otrzymanej wiadomości. Szczególnie skuteczne jest to kiedy otrzymane treści „pasują” do sytuacji.

Dlatego w okresie świątecznym mamy wysyp oszustw polegających na podszywaniu się pod firmy kurierskie. Kiedy jest pora rozliczenia PIT – cyberprzestępcy mogą udawać przedstawicieli Urzędu Skarbowego.

Leszek Tasiemski, Vice President of Product Management w WithSecure

Dlatego też otrzymując wiadomość, która zawiera wspomniane elementy (ponaglenia i groźby), najlepiej nie działać pod wpływem chwili. Przed podjęciem jakichkolwiek działań, a zwłaszcza kliknięciem w znajdujący się w SMS-ie lub e-mailu link, lepiej zweryfikować kluczowe elementy wiadomości.

Co powinno wzbudzić podejrzenia?

  • Nadawca – błędy w nazwie lub adresie np. przestawione lub podwojone litery, nieznany nr telefonu; oficjalne numery telefonów i adresy firm i instytucji łatwo zweryfikować na ich stronach internetowych lub w aplikacjach.
  • Adresat – brak bezpośredniego odniesienia do adresata np. imię i nazwisko lub numer klienta.
  • Link – nietypowy adres strony internetowej, błędy podobne jak w nazwie nadawcy.
  • Brak kontekstu – nadawcą jest firma lub instytucja, której klientem nie jesteś lub ostatnio nie korzystałeś z jej usług.
  • Błędy – wszelkie błędy językowe w treści np. brak polskich znaków, nienaturalny szyk zdań, słowa nie pasujące do kontekstu.
  • Ponaglenia i groźby konsekwencji – mają doprowadzić do podjęcia pochopnych działań.

A co, jeśli kliknąłem?

Samo wejście na stronę, do której prowadzi link ze spreparowanej wiadomości, nie musi jeszcze oznaczać bezpośredniego zagrożenia. Natomiast podanie tam jakichkolwiek danych już tak. Należy wtedy podjąć odpowiednie kroki, które mogą zminimalizować konsekwencje ataku.

Konsekwencje phishingu mogą być różne, wszystko zależy od tego, czy rozpoznamy go na wczesnym etapie, czy ujdzie on przestępcom płazem. Warto więc mieć na uwadze wszystkie wiadomości próbujące wmówić nam, że mamy nieopłaconą przesyłkę lub nie uzupełniliśmy danych.

Jeśli udostępnimy takie dane, a dopiero później zauważymy, że mogła to być fałszywa strona czy wiadomość od przestępcy – możemy jeszcze działać i uchronić się przed większą stratą. Warto monitorować nasz numer PESEL, jeśli go podawaliśmy. A jeśli wpisywaliśmy numer naszej karty płatniczej – koniecznie musimy ją zastrzec w banku.

Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl

Edukuj – siebie i innych

Oprócz ostrożności, w ochronie przed phishingiem równie ważna jest wiedza. Większość uczestników badania (ponad 69 proc.) zadeklarowała, że czerpie ją z mediów. Ale ponad połowa respondentów przyznała również, że dowiaduje się o zagrożeniach od członków rodziny i znajomych.

Edukacja oraz wymiana informacji to najlepsze zabezpieczenie przed próbami nadużyć opartych na phishingu oraz innymi formami ataków. Budowanie wzajemnej odpowiedzialności społecznej za nasze wspólne przecież bezpieczeństwo jest kluczem do sukcesu.

Szymon Sidoruk, Specjalista ds. Analizy Zagrożeń w CERT Polska

Pobierz raport Bezpieczeństwo cyfrowe Polaków 2024

Pełny raport Bezpieczeństwo cyfrowe Polaków pobrać można za darmo ze strony SMSAPI: http://www.smsapi.pl/raport2024.

Raport powstał na bazie badania CAWI przeprowadzonego za pomocą serwisu SurvGo na próbie badawczej 1000 dorosłych mieszkańców Polski.