Uwaga! Cyberprzestępcy podszywają się pod dwa duże banki!
CSIRT KNF ostrzega przed cyberprzestępcami, którzy na fałszywych stronach wyłudzają od nieświadomych ofiar dane dostępu do bankowości elektronicznej. To kolejny przykład tzw. phishingu.
Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego CSIRT KNF opublikował informację o przestępcach podszywających się pod dwa duże banki: Santander Bank PL oraz Bank Pekao SA.
Ostrzegamy klientów Banku Pekao SA przed kampanią phishingową dystrybuowaną za pośrednictwem wiadomości e-mail. Oszuści w treści wiadomości informują o rzekomym uzyskaniu dostępu do konta. Na fałszywych stronach wyłudzają poświadczenia logowania do bankowości elektronicznej – czytamy na Twitterze CSIRT KNF. – Oszuści przesyłają fałszywe wiadomości e-mail także do klientów Santander Bank PL. Podanie swojego loginu i hasła na fałszywej stronie grozi utratą oszczędności.
Czym jest phishing?
Phishing to jeden z najpopularniejszych sposobów okradania ludzi, opartych o wiadomości e-mail lub SMS. Cyberprzestępcy podszywają się pod firmy kurierskie, urzędy administracji itd. Lub jak w powyższym przypadku, pod banki i wysyłają do swych ofiar maila, w których w różny sposób próbują nakłonić do podania danych, które umożliwiają dostęp do kont bankowych.
Maile takie mogą również zawierać linki, np. do rzekomej strony banku. W rzeczywistości jednak klikając w taki link, możemy np. zainstalować na swoim komputerze szkodliwe oprogramowanie, które daje dostęp przestępcy do naszego komputera, a tym samym do wszystkich transakcji bankowych, które przy jego pomocy przeprowadzamy.
Link w wiadomości może też prowadzić do fałszywej strony banku. Oszuści proszą nas o to, by po kliknięciu w niego i wejścia na stronę, potwierdzić dane logowania do konta. Najczęściej w takich przypadkach mail, który otrzymujemy, zawiera informacje o rzekomym zagrożeniu włamaniem się na nasze konto bankowe, stąd prośba o potwierdzenie loginu i hasła. Dlatego warto przyjrzeć się dokładnie adresowi nadawcy, czy faktycznie został wysłany przez nasz bank. W wiadomościach SMS lub mailach często wykorzystywane są tzw. tiny-URL, czyli skrócone adresy stron internetowych.
Cyberprzestępcy stosujący phishing są bardzo sprytni. Dobrze potrafią manipulować ludźmi i wiedzą, jak skłonić nieświadome ofiary do postępowania zgodnie z ich życzeniem. Dodatkowo atak jest często poprzedzony dokładnym rozpoznaniem przez atakującego naszej firmy, urzędu lub dostępnych o nas danych w mediach społecznościowych.
Jak się bronić przed atakami cyberoszustów?
Przede wszystkim musimy zachować skrajną ostrożność! Nie otwierajmy podejrzanych maili i nie klikajmy bez zastanowienia w link dołączony do wiadomości. Pamiętajmy, że banki zwykle nie żądają weryfikacji danych, wysyłając maile do klientów. Nie każą klikać w linki i podawać haseł do konta. W razie wątpliwości, co do nadawcy, najlepiej zwrócić się bezpośrednio do banku z prośbą o potwierdzenie otrzymanej wiadomości.
Jak rozpoznać e-mail wyłudzający informacje? Na gov.pl czytamy:
- Wiele wiadomości phishingowych ma niepoprawną gramatykę, interpunkcję, pisownię, czy też bak jest polskich znaków diakrytycznych np. nie używa się „ą”, „ę” itd.
- Sprawdź, czy mail pochodzi z organizacji, na którą powołuje się nadawca. Często adres mailowy nadawcy jest zupełnie niewiarygodny, czy też nie jest tożsamy np. z podpisem pod treścią maila.
- Oceń, czy wygląd i ogólna jakość e-maila może pochodzić z organizacji / firmy, od której powinna pochodzić taka wiadomość np. użyte logotypy, stopki z danymi nadawcy itd.
- Sprawdź, czy e-mail jest adresowany do Ciebie z imienia i nazwiska, czy odnosi się do „cenionego klienta”, „przyjaciela” lub „współpracownika”? Może to oznaczać, że nadawca tak naprawdę cię nie zna i że jest to część oszustwa typu phishing.
- Sprawdź, czy e-mail zawiera ukryte zagrożenie, które wymaga natychmiastowego działania? Bądź podejrzliwy w stosunku do słów typu „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”.
- Spójrz na nazwę nadawcy, czy wygląda na prawdziwą, czy może tylko naśladuje kogoś, kogo znasz.
- Jeśli wiadomość brzmi zbyt dobrze, aby mogła być prawdziwa, prawdopodobnie nie jest ona prawdziwa. Jest mało prawdopodobne, aby ktoś chciał Ci dać pieniądze lub dostęp do tajnej części Internetu.
- Twój bank lub jakakolwiek inna instytucja nigdy nie powinna prosić Cię o podanie w wiadomości e-mail danych osobowych.
- Urzędy administracji publicznej nigdy nie proszą Cię przy pomocy SMS, czy maili o dopłatę do szczepionki, czy uregulowanie należności podatkowych.
- Sprawdź wszelkie polecenia lub pytania w wiadomości e-mail na przykład dzwoniąc do banku z pytaniem czy rzeczywiście wysłana została do Ciebie taka wiadomość lub wyszukaj w wyszukiwarce Google (lub podobnej) wybrane słowa użyte w wiadomości e-mail.
- Zwracaj uwagę na linki przekazywane również między znajomymi, sprawdź czy link faktycznie prowadzi do właściwej strony. Coraz częściej przestępcy uzyskując w nielegalny sposób kontrolę nad naszymi kontami społecznościowymi podszywają się pod naszych znajomych i rodzinę.
- Uważaj na skrócone linki, jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.
/jn/
Źródło: CSIRT KNF, gov.pl