Plaga oszustw w internecie. Jak sobie z nimi poradzić?

CERT Orange Polska jest specjalistyczną jednostką w Orange Polska, która odpowiada za analizę i blokowanie zagrożeń w sieci by chronić przed nimi użytkowników sieci operatora. W opublikowanym pod koniec kwietnia, dziesiątym już, dorocznym raporcie podsumował cyberzagrożenia z jakimi miał do czynienia w ubiegłym roku - niechlubnym liderem na liście tych najpowszechniejszych  pozostaje phishing ( 44 proc.), na kolejnych miejscach utrzymują się ataki DDoS (18 proc.) oraz złośliwe oprogramowanie (15 proc.).

Nazwa phishing podchodzi od słowa fishing, czyli łowienia ryb. Oszuści niczym wędkarze wykorzystują „przynętę”, aby skłonić kogoś do podania na przykład danych do logowania czy obsługi konta bankowego albo pobrania niebezpiecznego pliku. Wykorzystują do tego e-maile, SMS-y, media społecznościowe czy popularne komunikatory. Zwykle oszuści starają się, aby ich przekaz był wiarygodny. Na przykład rozsyłają SMS-y czy e-maile o czekającej na odbiór paczce przed świętami Bożego Narodzenia, kiedy wiele osób rzeczywiście czeka na kuriera.

Jednym z najpopularniejszych oszustw są też fałszywe inwestycje. Wówczas oszuści najczęściej sięgają po twarze znanych osób, m.in. ze świata polityki albo popularne marki. Z raportu CERT Orange Polska wynika, że w 2023 roku internauci najczęściej (52 proc.) klikali właśnie w takie linki. Poza tym częste (18 proc.) były też oszustwa związane z płatnościami, w tym tzw. oszustwo na kupującego. W tym przypadku osoba rzekomo zainteresowana zakupem przedmiotu wystawionego na sprzedaż kontaktuje się ze sprzedającym na komunikatorze i wysyła link do „odbioru płatności”. Ten prowadzi do fałszywej strony – wpisując na niej dane karty płatniczej, praktycznie wręczamy ją oszustom. Aż 215 tys. zablokowanych fałszywych stron dotyczyła płatności (w tym właśnie oszustwa na kupującego), 102 tys. fałszywych inwestycji, a 19 tys. mediów społecznościowych.

Niebezpieczne reklamy w mediach społecznościowych

Miejscem, gdzie łatwo trafić na reklamę oszustów są media społecznościowe - to tu promują się np. fikcyjni dostawcy usług płatnej telewizji albo nawet darmowych aplikacji z najważniejszymi kanałami po polsku. Niektóre reklamy brzmią niewiarygodnie. „Darmowa telewizja bez internetu” – głosił tytuł jednej z nich i zachęcał do pobrania aplikacji. Telefony nie posiadają wbudowanego tunera telewizyjnego, więc odbiór nie byłby możliwy.

Czasami wyłudzane są także dane logowania do legalnych usług streamingowych, następuje przejęcie konta i na przykład wykupienie wyższego pakietu. O używanie różnych haseł do różnych aplikacji i platform apelują często dostawcy takich usług. Wiele osób używa identycznych danych do logowania do wielu usług i skrzynek e-mailowych. To ułatwia zadanie oszustom.

A co może cyberprzestępcom utrudnić życie?

Obok naszej ostrożności i zachowaniu powściągliwości w natychmiastowym reagowaniu na reklamy, bądź e-maile związane z płatnościami, warto skorzystać z 5 porad CERT Orange Polska.

1. Nie ufaj nikomu, a w szczególności:

- nieoczekiwanym mailom od nieznanych nadawców
- załącznikom, których się nie spodziewasz
- treści, która wywołuje w Tobie silne emocje
- mailom, w których ktoś chce Twoich pieniędzy

Jeśli masz wątpliwości, czy wiadomość jest prawdziwa – napisz lub zadzwoń do domniemanego nadawcy. Jeśli to firma – lepiej nie używaj adresu/telefonu z maila. Wpisz znany Ci adres strony firmy i to na niej znajdź dane do kontaktu.

2. Nie spiesz się
 

Jeśli masz wątpliwości, poświęć minutę na sprawdzenie przynajmniej adresu strony:

- czy przypomina nazwę firmy, której rzekomo dotyczy
- w jakiej jest domenie (przy końcówce adresu w stylu .xyz, .store itp. warto z góry założyć, że strona nie będzie prawdziwa)
- czy nie zawiera tricków w stylu 0 zamiast O, rn zamiast m, czy wielkie „i” zamiast małego „el”
- najeżdżając kursorem na link (bez kliknięcia!) sprawdź, czy pokazujący się adres (w „dymku” lub na dole okna) jest taki sam, jak adres w treści maila

3. Dbaj o hasła

- Nie używaj tego samego hasła w kilku miejscach
- Korzystaj z menadżera haseł zabezpieczonego tzw. „master password”, które zapamiętasz. Chyba, że są to witryny, na których nie podajesz żadnych istotnych/wrażliwych danych
- Utwórz hasła wg kluczowych zasad, tj.

• Niesłownikowe/nieoczywiste
• Trudne dla innych, ale proste dla Ciebie

Jeśli musisz zapisać hasło na kartce i przykleić obok komputera, nie spełni ono swojego podstawowego zadania

• Długie

Przede wszystkim dla kluczowych serwisów (bank, mail, serwisy społecznościowe, menedżer haseł) powinno mieć 15 lub więcej znaków.

4. Włącz uwierzytelnianie dwuskładnikowe (2 Factor Authentication, 2FA)

2FA to dodatkowy element uwierzytelniania, po wpisaniu poprawnego hasła.

Może to być kod w wiadomości SMS, w mailu, zmieniany co 30 sekund kod ze specjalnej aplikacji lub klucz sprzętowy.

Korzystając z 2FA znacząco utrudniasz oszustom dostęp do Twojego konta, bowiem to Ty dysponujesz telefonem lub fizycznym kluczem umożliwiającym weryfikację.

Coraz więcej serwisów, nie tylko te najpopularniejsze, pozwala na uruchomienie uwierzytelniania dwuskładnikowego.

Google – https://myaccount.google.com/signinoptions/two-step-verification

Microsoft – https://account.live.com/proofs/manage/

Facebook – https://www.facebook.com/security/2fac/settings/

X (dawniej Twitter) – https://twitter.com/settings/account/login_verification

5. Nie bój się pytać!

Jeśli masz wątpliwości, czy SMS albo e-mail jest autentyczny – pytaj! To żaden wstyd nie wiedzieć – dzisiejsze phishingi bywają robione tak dobrze, że nawet eksperci dają się oszukać!

Nie masz kogo zapytać? Napisz do nas! Podejrzane maile prześlij na cert.opl@orange.com

Niespodziewane wiadomości SMS wyślij na 508 700 900. Szybka blokada takiej domeny pozwala na skuteczniejszą ochronę wielu osób przed oszustwem. Wysłanie wiadomości na 508 700 900 jest darmowe dla klientów usług mobilnych Orange Polska.

W sieci Orange działa CyberTarcza, która chroni klientów operatora przed zagrożeniami w sieci, m.in. blokując domeny internetowe tworzone przez oszustów.  Pomimo tego zawsze warto uważnie przyglądać się wiadomościom, które otrzymujemy i jeśli mamy choć cień wątpliwości co do jej autentyczności, powstrzymać się od kliknięcia w zawarty w niej link.