Ekspertka: kłódka na pasku adresu to mit dający nam złudne poczucie bezpieczeństwa

Trwające wyprzedaże i promocje, które rozpoczęły się jeszcze przed odbywającym się co roku Black Friday, to także okazja dla cyberprzestępców. Każdego roku, w ostatnim kwartale, eksperci CERT Polska, działającego w strukturach Państwowego Instytutu Badawczego NASK, notują wzrost działalności cyberprzestępców. To m.in. kampanie phishingowe oraz wysyp tzw. fake shopów.

Iwona Prószyńska z CERT Polska, zespołu działającego w ramach NASK w rozmowie z PAP zwróciła uwagę, że zagrożenia, na które jesteśmy narażeni zarówno w sieci internetowej, jak i telefonicznej, mają pewien stały scenariusz, tylko nieznacznie modyfikowany przez przestępców. Na ponad 39 tys. incydentów, które CERT Polska obsłużył w poprzednim roku, ponad 25 tys. stanowił tzw. phishing, czyli fałszywy e-mail, SMS lub połączenie telefoniczne, w którym cyberprzestępcy podszywają się pod znaną firmę lub instytucję.

Wykorzystując socjotechnikę chcą nas skłonić do wykonania określonych działań.

"Obserwujemy pewną sezonowość działania cyberprzestępców. Okres przedświąteczny, czy okres Black Friday, to m.in. wysyp SMS-ów np. związanych z dostarczeniem przesyłki, bo w tym czasie większość z nas czeka na paczkę. W okresie składania zeznań podatkowych przychodzą SMS-y namawiające do sprawdzania wysokości zwrotów podatkowych, a gdy jest sezon grypowy, trafiają do nas fałszywe wiadomości z e-receptami. Cyberprzestępcy są kreatywni i próbują dostosować się do okoliczności, ale wciąż używają tych samych narzędzi, żeby łatwiej do nas dotrzeć" - powiedziała Iwona Prószyńska.

Ekspertka zauważyła, że wśród metod dostarczania phishingu najpopularniejsze są SMS-y i e-maile, bo jest to najtańszy i najskuteczniejszy sposób, który pozwala przestępcom dotrzeć do bardzo dużej liczby osób w krótkim czasie.

"Takie kampanie mają masowy charakter, bo w dużej grupie osób, zawsze znajdzie się ktoś, kto czeka na paczkę, kto właśnie wyszedł od lekarza i być może czeka na e-receptę, zawsze będzie ktoś, kto jest ciekawy, jaki zwrot podatku dostanie" - mówi Prószyńska. I dodaje, że takie oszustwo polega na tym, że - najczęściej w SMS-ie dostajemy link, pod którym np. mamy dopłacić niewielką kwotę za dostawę paczki. "Ta niewielka kwota to sztuczka, która pozwala uśpić naszą czujność. Naszą czujność pozwala także uśpić podpieranie się autorytetem znanych firm, instytucji publicznych lub banków. To element wspólny wszystkich phishingów" - zaznacza Prószyńska.

Zwraca także uwagę, że najczęściej w takich wiadomościach pojawia się również element socjotechniczny, jak np. "zapłać dzisiaj, bo przesyłka wróci do nadawcy", "zapłać, bo odetniemy ci prąd", "odbierz e-receptę, bo za chwilę będzie nieaktywna". "Czyli mamy presję związaną z upływem czasu i kolejny zabieg - stosunkowo niska kwota do przelania. W ten sposób jesteśmy kierowani na stronę o charakterze phishingowym. Samo kliknięcie w link przeważnie nie niesie dla nas negatywnych konsekwencji. Pojawiają się one dopiero wtedy, gdy jesteśmy na stronie, która wizualnie jest przygotowana bardzo dobrze. Może wyglądać jak strona naszego banku, jak strona, z której korzystamy do płatności online. Może ją przypominać jeden do jednego. To, co ją odróżnia to pasek adresu" - zaznacza Prószyńska.

Ekspertka wyjaśnia, że może to być zarówno zupełnie inny adres domeny, albo tylko różnica w jednym znaku, np. zamiast litery "I" będzie litera "l", zamiast "o" będzie "0". "Czasami są to drobiazgi, ale mogą one kosztować utratę naszych oszczędności życia, bo jeśli na tej podstawionej stronie podamy login i hasło do bankowości elektronicznej, nasze konto stanie otworem dla przestępców" - mówi.

Prószyńska podkreśla również, że użytkownicy nie powinni mieć uśpionej czujności, gdy na pasku adresu widzą kłódkę informującą o szyfrowaniu strony. "Kłódka w adresie to mit cyberbezpieczeństwa. Ona daje złudzenie bezpieczeństwa, bo ciągle kojarzy nam się, że jak widzimy zieloną kłódeczkę to jesteśmy bezpieczni. Nic bardziej mylnego. Kłódka mówi tylko o tym, że połączenie jest szyfrowane. Większość stron phishingowych, które wpisujemy na Listę ostrzeżeń ma kłódeczkę" - zaznaczyła. Dodała, że CERT Polska stara się walczyć z "mitem kłódki".

"To nie kłódka, a adres jest kluczem do naszego bezpieczeństwa" - powiedziała.

Zwróciła tez uwagę, że kolejna metodą dostarczania phishingu są e-maile i dodała, że takie wiadomości mogą być bardzo zaawansowane i często adresowane są do konkretnych odbiorców. Chodzi o wyłudzenia przelewów, bądź o zainfekowanie urządzenia złośliwym oprogramowaniem.

I jeden, i drugi typ wiadomości od oszustów można zgłaszać do CERT Polska. W przypadku SMS-ów najprościej zrobić to przekazując wiadomość na działający od tego tygodnia numer 8080. W przypadku e-maili można to zrobić wypełniając formularz na stronie incydent.cert.pl.

Prószyńska zaznaczyła, że w ostatnim kwartale roku eksperci obserwują wzmożony ruch cyberprzestępców zarówno w zakresie phishingu, ale też obserwują więcej stron fałszywych sklepów online. "Fake shopy to zjawisko sezonowe, np. tuż po wybuchu wojny w Ukrainie pojawiła się groźba odcięcia dostaw węgla, a problemy z dostawami były zagrożeniem, o którym dużo słyszeliśmy w mediach. W odpowiedzi pojawiły się fałszywe sklepy z węglem, które oferowały ten surowiec nieco taniej niż sklepy prawdziwych firm. Na obawie, że węgla nie będzie te fałszywe sklepy zyskiwały" - powiedziała.

Zwróciła też uwagę, że wysyp takich sklepów zaobserwowano w zeszłym tygodniu. Tym razem przestępcy podszywali się pod znane marki odzieżowe, jak Reserved, Wojas, Mohito, czy Sinsay. Sklepy online wizualnie wyglądały bardzo dobrze.

Miały dokładnie te same artykuły, które można kupić na oryginalnych stronach.

Ekspertka zaapelowała, by szczególnie w okresie Black Friday sprawdzać na stronach sklepów ich dane, np. czy jest tam podany telefon do sklepu, czy dane można zweryfikować w powszechnie dostępnych rejestrach. "Jeżeli nazwa sklepu ma się nijak do nazwy marki, to powinno to wzbudzić naszą czujność" - powiedziała. Dodała, by sprawdzać również, jakie oferują metody płatności, np. czy jest dostępna płatność za pobraniem przy odbiorze. "Większość fake shopów nie oferuje takiej możliwości" - wskazała. Warto jednak pamiętać, że istnieją fałszywe sklepy, które oferują taką płatność, ale zazwyczaj praktykują przesyłanie innego towaru niż faktycznie został zamówiony. Dlatego to jedynie wskazówka, którą powinniśmy rozpatrywać w kontekście innych sygnałów, że możemy mieć do czynienia z fałszywym sklepem.

"Jeżeli jesteśmy odsyłani na stronę, na którą mamy dokonać opłaty za dany przedmiot sprawdźmy, czy to jest rzeczywiście strona naszego banku bądź zaufanego operatora płatności. Jeżeli chcemy zweryfikować opinie o jakimś sklepie to patrzmy na nie przez pewien filtr. Jeżeli bardzo dużo tych opinii pojawiło się w jednym czasie, są napisane podobnym do siebie językiem, to nie jest to do końca wiarygodne źródło informacji" - zaznaczyła.

Dodała, że klienci powinni również uważać na wszelkie "wyjątkowe okazje", "gorące oferty", "ostatni przedmiot". "Jeżeli ta oferta jest zbyt dobra, żeby być prawdziwą, to prawdopodobnie jest to oszustwo" - powiedziała.

W jej ocenie, w przypadku phishingu kluczowe jest zweryfikowanie nadawcy. "Jeżeli dostajemy - nawet ze znanej firmy - fakturę do opłacenia, a nie przypominamy sobie, że mamy jakąś opłatę do zrobienia, to zweryfikujmy to u tego nadawcy; zadzwońmy i potwierdźmy, bo powściągliwość w działaniu i weryfikacja może nas uchronić przed konsekwencjami" - zaapelowała.

Ekspertka przestrzegła również przed wyciekami danych.

To najczęściej z nich przestępcy mają nasze adresy e-mail, numery telefonów, czy hasła do wszelkiego rodzaju serwisów. "Takie wycieki to realne zagrożenie i jeśli mamy jedno hasło do poczty, bankowości online i social mediów oraz do sklepu internetowego, to jeśli ono wycieknie, zostawiamy cyberprzestępcy +otwarte drzwi+ do pozostałych serwisów, z których korzystamy" - powiedziała.

Podkreśliła, że lekarstwem na to zagrożenie jest unikatowe hasło do każdego z serwisów. "Jedno hasło per serwis po to, żeby w sytuacji wycieku nie okazało się, że wszystkie nasze zasoby są od razu otwarte dla oszusta. To hasło musi być odpowiednio mocne. Dziś wiemy już, że mocne hasło to wcale nie hasło złożone ze znaków specjalnych, czy dużych i małych literek. Hasło bezpieczne to hasło długie. To może być zdanie, które się nam kojarzy z jakimś okresem naszego dzieciństwa, nieco przeinaczone po to, żeby nie dało się go łatwo odgadnąć metodą słownikową, np. +moja b@bcia robiła najlepszy dżem z fioletowych porzeczek!+. To jest hasło bardzo trudne do złamania" - oceniła.

Jednocześnie wskazała, że mocne hasło "nie uchroni nas jednak przed tym, że może ono wyciec". "Ale jeżeli będziemy mieli włączona weryfikację dwuetapową, to przestępca - nawet mając to hasło - nie dostanie się na naszą pocztę, czy social media, bo zawsze będzie mu brakowało tego drugiego składnika. To może być zewnętrzny klucz, który wsuwamy w miejsce na USB, to może być kod, który dostajemy w aplikacji bądź SMS-em. Ważne, żeby tę weryfikację włączyć wszędzie tam, gdzie jest to możliwe" - powiedziała.

Prószyńska zwróciła też uwagę na rosnącą świadomość użytkowników sieci.

"W zeszłym roku mieliśmy ponad 322 tys. zgłoszeń. To świadczy oczywiście o tym, że cyberprzestępcy nie próżnują i intensywnie działają w polskiej cyberprzestrzeni, ale to świadczy też o tym, że te 322 tys. razy ktoś rozpoznał ich działania i co więcej wiedział, do jakiej instytucji może przyjść ze swoją wątpliwością czy to faktycznie jest oszustwo, czy nie" - podkreśliła.

"Z tych liczb, które u niektórych wywołują wyłącznie przerażenie, ja wyciągam też pozytywny trochę wniosek, że jednak nasza cyberświadomość rośnie. To dobrze, bo reagując możemy chronić tych, którzy być może nie rozpoznali tego oszustwa" - oceniła.

Jak informuje CERT Polska, już w 2021 roku ponad 5-krotnie, w stosunku do poprzedniego roku, wzrosła liczba incydentów cyberbezpieczeństwa związanych z oszustwami na najpopularniejszych polskich portalach zakupowych. W 2022 roku liczba realnych incydentów tego typu była już, w porównaniu do 2020 roku, niemal 7-krotnie wyższa.

Od 2019 roku lawinowo rośnie także fala przestępstw polegających na tworzeniu fałszywych sklepów internetowych, wyłudzających dane dostępowe do kont bankowych ich klientów. W 2020 roku, w porównaniu do roku 2018, ich liczba wzrosła aż o 1256 punktów procentowych, ale nawet porównanie roku 2022 z ubiegłym nadal wykazuje zwiększenie liczby portali podszywających się pod sklepy online o 34 p.p.(PAP)