W dobie cyfryzacji życia prywatnego oraz służbowego wyłudzanie danych osobowych oraz danych uwierzytelniających jest nie tylko powszechne, ale także masowe. Technicznie rzecz ujmując, każdy użytkownik Internetu narażony jest na kradzież jego danych.
Linki do stron, zawierających fałszywe domeny przesyłane są w ramach wiadomości SMS, na maila albo poprzez portale społecznościowe czy też komunikatory. Problem ten w takim samym stopniu dotyczy naszych prywatnych jak i służbowych maili czy też telefonów.
Co to jest phishing?
Phishing – jest to jedna z metod, wykorzystywanych przez oszustów (cyberprzestępców) w celu pozyskania danych jak m.in. danych osobowych, haseł, numeru karty kredytowej.
Aby wzbudzić zaufanie danej osoby a z drugiej strony zmniejszyć jej czujność, cyberprzestępcy podszywają się pod znane marki (np. Orange, DHL ) oraz instytucje – banki, instytucje płatnicze.
Według wynika z raportu rocznego – Krajobraz bezpieczeństwa polskiego Internetu:
„W 2018 r. trzy najczęściej występujące typy incydentów to phishing, dystrybucja złośliwego oprogramowania i spam. Phishing to kategoria najbardziej wyróżniająca się na tle pozostałych ataków przy czym odsetek tego typu incydentów (ok. 44 proc.) utrzymał się na podobnym poziomie jak w roku 2017.”
W jaki sposób przestępcy pozyskują nasze dane?
Na podstawie odpowiednio przygotowanych wiadomości (często zawierających błędy ortograficzne, gramatyczne, stylistyczne) chcą nakłonić odbiorcę danej wiadomości, aby kliknęła w zamieszczony link.
Po kliknięciu w przesłany link, przechodzimy na stronę np. Banku, która łudząco przypomina właściwą stronę do logowania. Wpisując login i hasło na fałszywej stronie, przestępcy uzyskują nasze dane.
Jak wynika ze wspomnianego Raportu „Najczęściej zgłaszanymi incydentami phishingowymi były fałszywe strony zagranicznych serwisów, takich jak Netflix lub PayPal, zamieszczone na polskich serwerach, rzadziej phishing polskich instytucji, znajdujący się na serwerach zagranicznych. Najbardziej powszechnym motywem przestępców przy tworzeniu fałszywych stron była chęć pozyskania danych uwierzytelniających (login i hasło) do różnych serwisów, w tym banków.”
Powszechnym zjawiskiem jest także wysyłanie przez cyberprzestępców maili ze szkodliwymi plikami, załączonymi do wiadomości mailowej.
Zasady bezpieczeństwa danych:
- Zawsze dokładnie sprawdzaj, skąd otrzymałeś maila, a jeżeli masz wątpliwości, zadzwoń do instytucji, która rzekomo przesłała Tobie wiadomość.
- Nie wpisuj swoich danych dostępu na podejrzanych stronach internetowych.
- Nie otwieraj załączników z podejrzanych maili albo maili, których nie powinieneś dostać.
- Nie przekazuj poufnych danych poprzez e-mail, sms, podczas rozmowy telefonicznej.
- Sprawdzaj URL strony – różnice mogą być nieznaczne.
- Dbaj o to, aby aktualizować swoją przeglądarkę.
- Korzystaj z antywirusa oraz narzędzi chroniących przez phishingiem.
Uwaga! Zgłaszanie podejrzanych stron!
Jeżeli znasz stronę, która jest wykorzystywana w ramach phishingu do wyłudzenia danych osobowych, danych uwierzytelniających np. do kont bankowych, do portali społecznościowych możesz ją zgłosić poprzez formularz udostępniony na stronie CERT.PL – link do formularza.
Lista ostrzeżeń – wykaz witryn stanowiących zagrożenie
Lista witryn stanowiących zagrożenie dostępna jest na stronie CERT.PL
Podsumowanie:
Budowanie świadomości wśród pracowników o bezpieczeństwie informacji, bezpieczeństwie danych osobowych jest jednym z kluczowych wyzwań, jakie stoją przed przedsiębiorcami. Jak to uczynić ?
- Organizuj szkolenia dla pracowników
- Prowadź kampanię informacyjną
- Opracuj oraz wdróż w swojej firmie politykę bezpieczeństwa jak i politykę ochrony danych osobowych – bazuje np. na normie ISO 27001 oraz Rozporządzeniu o ochronie danych osobowych (RODO)
- Przestrzegaj zasad bezpieczeństwa w tym podczas pracy zdalnej.