Dzień dobry, właśnie padłeś ofiarą phishingu. Taką wiadomość otrzymali zdumieni klienci Direct IT. Na szczęście to był tylko żart z okazji prima aprilis, natomiast zabawnym nie jest rosnąca skala cyberprzestępstw, szczególnie phishingu. Dlatego tak ważna jest edukacja w tym zakresie.
We współczesnym świecie zdominowanym przez technologie phishing stał się jednym z najpoważniejszych zagrożeń dla cyberbezpieczeństwa. Ta forma oszustwa internetowego jest niezwykle często stosowana przez przestępców w sieci, którzy podszywają się pod wiarygodne instytucje lub osoby, które znamy. Celem tych działań jest wyłudzanie poufnych informacji, takich jak hasła dostępu, numery kart kredytowych oraz dane osobowe. Dla wielu osób nawet tych świadomych zagrożeń w internecie zaskakujące jest to, z jaką łatwością można paść ofiarą phishingu. Dlatego tak ważna jest ciągła edukacja, aby wiedzieć, czym jest phishing, w jaki sposób go rozpoznawać, jak się przed nim ustrzec oraz co zrobić, jeśli już padniemy jego ofiarą. Dobrym rozwiązaniem jest także skorzystanie z zabezpieczeń dostępnych w Google Workspace i Microsoft 365, które zmniejszają ryzyko cyberzagrożeń, aczkolwiek nie zwalniają z ostrożności w sieci.
Czym jest phishing?
Phishing to jedna z form przestępczości internetowej polegająca na tym, że oszuści podszywają się pod zaufane instytucje lub znane nam osoby, wysyłając fałszywe wiadomości e-mail, smsy lub komunikaty internetowe. Ma to na celu przekonanie potencjalnych ofiary do podania poufnych informacji, takich jak hasła, dane osobowe, informacje finansowe, numery kart kredytowych oraz kliknięcie fałszywy link lub załącznik. Dzięki temu hakerzy mogą zainstalować złośliwe oprogramowania na komputerze, tablecie, telefonie komórkowym ofiary. Dlatego nim w cokolwiek klikniemy, warto poświęcić chwilę, aby przeanalizować czy dany link, bądź załącznik są bezpieczne. Skalę problemu pokazują statystyki. Z danych NASK CSIRT oraz resortu obrony narodowej za rok 2023 wynika, że w 2022 roku zgłoszono 322 tys. incydentów bezpieczeństwa, co oznacza wzrost o 178 proc. rok do roku. Liczba obsłużonych incydentów to 39 683, czyli realne incydenty spośród odnotowanych zgłoszeń. Najczęstszym rodzajem zagrożenia był phishing, w sumie odnotowano 25 625 tego rodzaju incydentów, co stanowi 64 proc. ogółu. W 2023 roku zarejestrowano 80,3 tys. incydentów, podczas gdy w 2022 roku było to 39,7 tys. przypadków, co doskonale pokazuje znaczący wzrost zagrożeń.
Jak rozpoznać phishing?
Rozpoznanie phishingu może nie być łatwe, ponieważ cyberprzestępcy stosują coraz bardziej wyszukane metody oszustw. Ale przeważnie można wyłapać pewne znaki ostrzegawcze, na które zawsze warto zwrócić uwagę.
- W naszym żarcie prima aprilisowym, który tak naprawdę jest praktycznym przykładem, na co warto zwracać uwagę, wykorzystaliśmy trzy elementy, które w łatwy sposób pozwoliłyby wyłapać, że jest to próba “oszustwa”. Wysłaliśmy do naszych klientów maile z zaproszeniem do kliknięcia link z nowymi stawkami finansowymi współpracy. Już na tym etapie e-mail powinien wzbudzić uwagę. Zawsze warto sprawdzać adres e-mail nadawcy. Czy jest to wiarygodna firma, bądź osoba? Często oszuści używają podobnych adresów e-mail, które wyglądają jak te używane przez znane instytucje, ale zawierają drobne zmiany. Tak było i w tym przypadku, zamiast z maila @directit.pl wiadomość została wysłana z adresu @directit.info - tłumaczy Krzysztof Dudziński, Wiceprezes Zarządu Direct IT.
Czujność powinna wzbudzać także sama treść maila, oszuści wykorzystują sztuczki psychologiczne oraz ludzkie emocje, dlatego szczególnie należy uważać na treści z ostrzeżeniami, wzbudzającymi w nas panikę, które namawiają do natychmiastowej decyzji, pochopnych działań, błyskawicznej reakcji oraz tych proponujących korzyści finansowe, w mailu wysłanym do klientów Direct IT była to informacja o transparentnych stawkach za usługi IT. Wiadomość ta, wzbudziła ciekawość wśród odbiorców, bo sugerowała, że mogą poznać stawki innych klientów Direct IT i porównać je ze stawkami, które oni płacą za obsługę IT u tego samego dostawcy.
- Absolutnie nie należy otwierać podejrzanych załączników wysyłanych w mailach, wiadomościach smsowych, na messengerze i we wszystkich dostępnych komunikatorach. Nie należy także klikać w podejrzane linki i zawsze warto sprawdzać adres URL, na który przekierowuje link, można to zrobić poprzez najechanie kursorem myszy, ale bez klikania w niego - tłumaczy Krzysztof Dudziński - Nasz adres to directit.pl, a link przekierowywał na adres directit.info. Zatem był to kolejny element, który powinien wzbudzić czujność. Poprosiliśmy także o podanie numeru telefonu, o wpisanie go w okienko i chociaż na grafice daliśmy napis: prima aprilis, to nie wzbudził on czujności. Szczerze mówiąc, planując ten żart, czy też edukacyjny eksperyment, nie przypuszczaliśmy, że aż tak wiele osób “padnie ofiarą” naszego “phishingu”.
Pamiętajmy o tym, że żadna instytucja czy też firma nie prosi o podanie poufnych danych drogą mailową, smsową, za pomocą komunikatorów. Szczególnie dotyczy to haseł, numerów kart kredytowych oraz szczegółowych danych osobowych.
Jak się ustrzec przed phishingiem?
Tym najważniejszym i podstawowym krokiem jest nasza czujność oraz ostrożność. Warto poszerzać wiedzę na temat phishingu i mieć świadomość zagrożeń w przestrzeni internetowej. Silne hasła oraz dwuetapowa autoryzacja, to kolejne zabezpieczenie utrudniające dostęp do konta i danych osobom niepowołanym. Oczywiście pamiętajmy także o oprogramowaniu antywirusowym. Jeśli prowadzimy firmę dobrym rozwiązaniem jest skorzystanie z profesjonalnej pomocy z zakresu cyberochrony.
Co zrobić, jeśli padniemy ofiarą phishingu?
- Jeśli podejrzewasz, że padłeś ofiarą phishingu, natychmiast zmień hasła do wszystkich kont, do których mógł mieć dostęp oszust. Następnie zgłoś incydent do odpowiednich instytucji, takich jak banki, dostawcy usług internetowych, informując o próbie oszustwa. Polecam regularnie monitorować swoje konta bankowe oraz karty kredytowe, aby wykryć jakiekolwiek podejrzane transakcje - podpowiada Krzysztof Dudziński - Radzę także zgłosić podejrzane wiadomości e-mail lub strony internetowe do odpowiednich organów, takich jak CERT czy lokalna policja, aby ostrzec innych użytkowników przed potencjalnym zagrożeniem.
Phishing to realne i poważne zagrożenie dla wszystkich użytkowników internetu. Może pociągnąć za sobą poważne konsekwencje dla osób, które padną ofiarą cyberprzestępców. Ale świadomość zagrożenia oraz zdrowy rozsądek mogą uchronić przed zagrożeniami! Mamy nadzieję, że powyższe porady pozwolą uniknąć wpadnięcia w internetowe sidła cyberoszustów.
Direct IT to polska firma obecna na rynku od 2010 roku, zajmuje się kompleksową opieką IT w zakresie cyberbezpieczeństwa, instalacji teletechnicznej oraz zapewnia ciągłość działania firm w zakresie IT. Sukces Direct IT to innowacyjne podejście do kompleksowej opieki IT dla firm. Działa z wyprzedzeniem, proaktywnie, minimalizując ryzyko wystąpienia przestoju w działaniu klientów. Osoby techniczne są ekspertami z zakresu wszystkich parametrów dyrektywy NIS2 i DORA oraz specjalistami w wielu obszarach IT, audytów, systemów kopii zapasowych, szkoleń.