Phishing, vishing, smishing…

W cyklu przybliżającym Państwu różne sfery działalności banku pokażemy tym razem, jakie zagrożenia czyhają w sieci i jak nie dać się okraść.
„Masz 1 krytyczną wiadomość dotyczącą bezpieczeństwa”, „Kliknij poniższy link, aby odblokować dostęp do serwisu” – dostając e-maila o takiej treści, powinniśmy zachować szczególną ostrożność. Tak zazwyczaj zaczyna się phishing!
Scenariusz jest z reguły podobny. Cyberprzestępcy nielegalnie pozyskują adresy e-mailowe, np. ze skrzynek zawirusowanych komputerów. Następnie do potencjalnych ofiar rozsyłają wiadomość z prośbą o kliknięcie w link lub potwierdzenie danych. Podejrzane e-maile trafiają do skrzynek losowo wybranych osób, a nadawcy liczą, że przynajmniej część adresatów okaże się użytkownikami danego serwisu.
Wiadomość na pierwszy rzut oka zawiera poprawny link do prawdziwego serwisu. Po kliknięciu w niego zostajemy przeniesieni na fałszywą stronę, poproszeni o zalogowanie się i podanie kodu z narzędzia autoryzacyjnego. Jeśli wpiszemy na danej stronie jakiekolwiek informacje, trafią one w ręce przestępców, a ci skorzystają z nich, aby po prostu nas okraść.
Przestępcy coraz lepiej przygotowują fałszywe wiadomości – dbają o ich stronę wizualną, umieszczają znak graficzny danej instytucji i sprytnie spreparowany link do serwisu. Fałszywa strona może być łudząco podobna do prawdziwej – przestępcy umieszczają na niej nawet ostrzeżenie przed e-mailami wyłudzającymi informacje!
Co możemy zrobić? Najważniejsze to wiedzieć, że bank nigdy nie wysyła wiadomości o rzekomym zablokowaniu rachunku z prośbą o zalogowanie się do serwisu z wykorzystaniem wklejonego w treść e-maila linku.
Klienci korzystający z bankowości elektronicznej, m.in. iPKO, iPKO biznes czy Inteligo, powinni też pamiętać, że przy logowaniu się do serwisu nie muszą podawać kodu z karty zdrapki. Zawsze warto sprawdzać, czy adres serwisu jest prawidłowy, czy połączenie jest szyfrowane (przed adresem strony powinny znaleźć się litery https://) i czy strona ma certyfikat bezpieczeństwa (symbol kłódeczki na górnym pasku przeglądarki).
Warto pamiętać również o uniwersalnych zasadach bezpieczeństwa w sieci – należy korzystać z legalnego oprogramowania, regularnie je aktualizować oraz dbać o bezpieczeństwo własnego komputera poprzez stosowanie programów antywirusowych czy firewalla.
„P” jak phishing
Oszustwa internetowe nazywane phishingiem narażają na straty miliony internautów. Jak się przed nimi uchronić?
Na pewno pod żadnym pozorem nie należy odpowiadać na podejrzane wiadomości i korzystać z podanego linku. Jeśli już klikniemy i otworzy nam się strona wyglądająca jak serwis np. banku, to na pewno nie powinniśmy wpisywać tam swoich danych osobowych, loginu ani haseł do konta. O zdarzeniu trzeba również powiadomić jak najszybciej swój bank – najlepiej dzwoniąc na infolinię. Może się okazać, że wymagane będzie skanowanie komputera.
Jeżeli już otworzyliśmy link z otrzymanej wiadomości i podaliśmy jakiekolwiek dane na stronie internetowej przypominającej serwis bankowy, tym bardziej powinniśmy jak najszybciej skontaktować się ze swoim bankiem.
Jeżeli cokolwiek w wyglądzie strony internetowej banku wzbudzi nasze zaniepokojenie, również nie wahajmy się zadzwonić – lepiej upewnić się na 100 proc., niż ryzykować utratę pieniędzy.
„V” jak vishing
Sympatyczny głos w słuchawce informuje, że ze względów bezpieczeństwa konto zostało zablokowane i aby je odblokować, natychmiast należy podać rozmówcy dane logowania oraz kod SMS. Innym razem jesteśmy proszeni o podanie danych swojej karty – chodzi o uwiarygodnienie, że mamy ją przy sobie, bo rzekomo ktoś dokonywał nią transakcji w innym miejscu. Tracimy czujność, wykonujemy dyspozycje rozmówcy i… padamy ofiarą złodziei.
Vishing, czyli voice phishing, to kolejna metoda wykorzystywana przez przestępców podszywających się pod banki, firmy usługowe, pracowników firmy informatycznej, a nawet policjantów. Czujność osłabia magia autorytetu pracownika poważnej instytucji finansowej, który dzwoni w sprawie kluczowej dla naszych pieniędzy. Pretekst do ich podania może być różny, np. awaria systemów, prowadzone przez policję śledztwo czy zagrożenie utratą pieniędzy lub danych poufnych. Oszuści nie tylko dzwonią, ale również wysyłają wiadomości SMS, zawierające prośbę o podanie informacji lub wykonanie przelewu, np. w związku z przebudową serwisu transakcyjnego.
 
Monika Poncyliusz (rzecznik klienta w PKO BP) radzi: uwaga na fałszywe SMS-y!
Telefon komórkowy już dawno przestał być prostym komunikatorem. Dzisiaj jest to przenośny komputer, dlatego koniecznie trzeba zadbać o to, aby był chroniony profesjonalnym programem antywirusowym. Dzięki temu klient może uniknąć sytuacji, w której staje się ofiarą smishingu.
Smishing to rodzaj przestępstw polegających na okradaniu kont bankowych z wykorzystaniem spreparowanych wiadomości SMS. Jak to się odbywa? Złodzieje wysyłają krótką informację, zalecając określone działanie – najczęściej, aby uśpić czujność, związane jest ono z bezpieczeństwem konta bankowego, np. proponują anulowanie zlecenia, które rzekomo nadała inna osoba. Klient jest wówczas proszony o kontakt z infolinią, na której automat prosi go o podanie poufnych danych do logowania lub o skorzystanie z linku zawartego w wiadomości. Nigdy nie należy dzwonić pod taki numer i korzystać z takiego przekierowania! Grozi to zainfekowaniem telefonu złośliwym oprogramowaniem. Program szpiegujący, który może się wówczas zainstalować na komputerze, przekaże hakerom informację o loginie i haśle do logowania. Za ich pomocą może dojść do kradzieży.
Jak się przed tym zabezpieczyć? Przede wszystkim korzystać z powiadomień SMS
– taką usługę oferują chyba wszystkie banki. Nawet jeśli są one płatne, to kwota nie jest duża, ale dzięki temu mamy gwarancję, że natychmiast otrzymamy informację o każdej próbie logowania i każdej operacji na koncie. Dzięki temu można natychmiast zablokować dostęp do rachunku (np. dzwoniąc na infolinię banku). Zawsze też należy dokładnie czytać treść SMS-a z hasłem potwierdzającym przelew internetowy i sprawdzać, czy zgadza się numer konta odbiorcy z danymi przez nas wkazanymi. Dodatkowo radzę nie używać telefonu, na który otrzymujemy kody do autoryzacji transakcji, do logowania na rachunek bankowy.

Artykuł przygotowany przez redakcję we współpracy z PKO Bankiem Polskim
Patronem medialnym cyklu jest niezalezna.pl