Bezpieczeństwo

„Zainwestuj” z nami – bezczelnymi oszustami!

28 kwietnia 2022

„Zainwestuj” z nami – bezczelnymi oszustami!

Pamiętacie, jak pisałem, że instalując aplikacje ze Sklepu Play w zasadzie możecie być pewni, że nic złego się stanie? Cóż, kluczem w tej wypowiedzi jest „możecie”. Tyle dobrego, że opisywane oszustwo to tak naprawdę phishing, tylko w nieco innym opakowaniu.

Na początku zaznaczę jednak, że co do zasady mechanizmom bezpieczeństwa Sklepu Play można ufać. Na niezliczoną ilość aplikacji, które doń trafiają, tak naprawdę pojedynczym złośliwym programom zdarza się przejść przez ochronne sito. Google’owy „bramkarz” (po naszemu angielskie słowo bouncer to odpowiednim „selekcjonera” sprzed wejścia do lokalu) jest bardzo efektywny. Problemy pojawiają się wtedy, gdy…

Aplikacja nie jest złośliwa

„Zaraz zaraz – to jaki to ma sens?” – spytacie. „Jest zła, czy nie?”. Nie – bo nie zawiera złośliwego kodu. Tak – bo docelowo, przekonując „zainwestuj”, chce pozbawić nas pieniędzy. Ale dobra, do rzeczy:

„Zainwestuj z nami!” – przekonuje aplikacja oszustów w Sklepie Google

Jak widzicie w pasku adresu, to jest Sklep Play. Ba, nawet nazwa twórcy aplikacji brzmi poważnie. Bo o to właśnie chodzi oszustom, gdy umieszczają swoje aplikacje w oficjalnym sklepie. To nie jest przecież podejrzana strona, nie ma dziwnego linku, żadnych podejrzanych nazw… Wszystko wygląda rzetelnie!

Czy aby na pewno?

Spójrzcie na logo i rating PEGI

Nie macie wrażenie, że orzeł wygląda jak rozdeptany przez słonia? PEGI 18+ w sumie na pierwszy rzut oka może mieć sens – w końcu mówimy o aplikacji do inwestowania pieniędzy! Nie wiem, jak Wy, ale ja nie bardzo bym chciał, by któryś z moich synów usiłował bez mojej wiedzy pomnożyć moje oszczędności…

Rozdeptany orzeł pełen brutalności

Skąd w ogóle pomysł na nieco inne logo (podobnie jest w przypadków oszustw „na Lotos”) i wysokie PEGI? Pierwsza sprawa to fakt, iż jednym z zadań wspominanego Bouncera przy umieszczaniu aplikacji w sklepie jest sprawdzenie, czy przypadkiem główne logo aplikacji gdzieś się nie powtarza! Wtedy wystarczy sprawdzić, czy zgadzają się inne cechy. Jeśli nie – żegnamy, pan do tego klubu nie wejdzie!

A kategoria wiekowa? Tu warto dodać, że po przewinięciu na ekranie aplikacji (nie dam Wam linka, już dawno „spadła z rowerka” okazuje się, że przyczyną wysokiego PEGI jest… duża brutalność! W tej sytuacji może chodzić o to, iż aplikacje, które twórcy sami tak oznaczyli są nieco mniej szczegółowo sprawdzane? Nie mam jednak pewności, jeśli ktoś ma większą wiedzę, podzielcie się proszę w komentarzach.

Zainwestuj w… ostrożność

Co się dzieje po zainstalowaniu takiej aplikacji?

Myślę, że część z Was może znać/pamiętać ten obrazek sprzed pewnego czasu. Aplikacja mobilna to bowiem przełożone 1:1 strony, przekonujące nas do inwestycji „w majątek narodowy”. Pełne okraszonych socjotechnicznymi sztuczkami bzdur w stylu „Polaku, zainwestuj, a zarobisz bardzo-dużo-pieniędzy-a-może-nawet-jeszcze-więcej”. A dlaczego w formie aplikacji? To kolejna socjotechniczna sztuczka. Bo przecież skoro aplikacje w oficjalnym sklepie są bezpieczne, to czemu nie zainstalować tej? Cóż:

Nie czyni to ich jednak – jak widać – niegroźnymi.

Nie dajcie się wyprowadzić w pole! Pamiętajcie, by zwracać uwagę na potencjalne ryzyka niezależnie od tego, czy korzystacie ze strony WWW, czy z aplikacji (będącej tak naprawdę stroną WWW…).

Gdy ktoś usiłuje Was przekonać, by wpłacić gdzieś Wasze ciężko zarobione pieniądze, zastanówcie się trzy razy!

Wyjdźcie do kuchni na kawę, przejdźcie się po osiedlu, czy firmowym patio. A gdy się dotlenicie – siądźcie znów przed komputerem/telefonem i zastanówcie się, czy taka „inwestycja” ma jakikolwiek sens?

A my w CERT Orange Polska będziemy dalej robić swoje. Na takie aplikacji też mamy pewien sposób ;), a koleżeństwo z Google po otrzymaniu informacji od nas błyskawicznie je usuwa. Nie zmienia to jednak faktu, że warto uważać. Jeśli chcesz inwestować, zainwestuj w siebie. Nie w złodzieja.

Udostępnij: „Zainwestuj” z nami – bezczelnymi oszustami!

Bezpieczeństwo

Raport CERT Orange Polska – to już 8. raz!

14 kwietnia 2022

Raport CERT Orange Polska – to już 8. raz!

Osiem lat historii… Tryliony zdarzeń w sieci, niezliczona ilość ewoluujących zagrożeń, wreszcie #CyberTarcza, pomagająca nam stawić im czoła. Setki zapełnionych stron, mnóstwo analiz i wiedzy, którą nasi eksperci regularnie dzielą się internautami. Mam przyjemność i zaszczyt być częścią ekipy, tworzącej Raport CERT Orange Polska od pierwszej edycji. Pamiętacie, jak wyglądał krajobraz cyberzagrożeń w 2014 roku?

WinSpy, Emotet, NotCompatible.C (ten ostatni na komórki z Androidem). Poza Emotetem, który w śladowych ilościach wciąż pojawia się w naszej sieci, ciężko mi wspomnieć pozostałe. 100 tysięcy ataków DDoS rocznie? Najwyższy 93 Gbps? Oj chciałoby się mieć teraz takie liczby jak przy publikacji pierwszego Raportu (jego okładkę wspominamy jako ilustrację do tego materiału) 🙂 W 2016 przeszło 1,5 tysiąca ataków zanotowaliśmy… jednego dnia, a maksymalny sięgnął 476 gigabitów na sekundę.

Raport CERT Orange Polska – historia zagrożeń i naszego rozwoju

Nie będę teraz przechodził przez całą historię cyberzagrożeń w ciągu ośmiu lat, gdy publikujemy Raport CERT Orange Polska. Zawsze możecie spróbować sami, wszystkie edycje znajdziecie na stronie CERTu. Jeśli choć trochę interesujecie się temat, polecam przyjrzenie się choćby tytułom rozdziałów. Raport CERT Orange Polska to nie tylko ciekawe udokumentowanie rozwoju cyberzagrożeń w naszym kraju i na świecie. To także – rany, to brzmi jak strasznie przegadany marketingowy slogan… – dowód na to, jak nasza CERTowa ekipa się rozwijała. Nie tylko w aspekcie doświadczenia, wyposażenia i narzędzi, ale także warsztatu pisarskiego. Jak dziś pamiętam mojego ówczesnego przełożonego, wpadającego z rozwianym włosem do mojego pokoju w biurze dwa dni przed publikacją Raportu 2014 z plikiem wydruków i przerażonym „na-wpół-okrzykiem”:

– Rosiu! To jest jakiś koszmar! To trzeba napisać od nowa!

Nasze spojrzenie na bezpieczeństwo w sieci

Aż takiej tragedii nie było, ale czasami perfekcjonizm całkiem się przydaje (nawet kosztem nieprzespanej nocy). Warto jednak zwrócić uwagę, że to był dla nas wszystkich debiut. Nikt nie wiedział, jak naszą twórczość przyjmie rynek, biorąc pod uwagę, że przed nami było już koleżeństwo z CERT Polska. Trochę nerwowo czekaliśmy na reakcję mediów i odetchnęliśmy z ulgą, gdy okazało się, że rynek z radością przyjął kolejne tego typu wydawnictwo. Co więcej, z roku na rok zainteresowanie rośnie, a media chętnie informują o premierach kolejnych edycji, przygotowaniem których zajmuje się spory sztab fachowców, nie tylko w dziedzinie bezpieczeństwa w sieci.

Skąd się bierze to zainteresowanie? Poza treścią oczywiście? Chyba trochę z tego, że nasze spojrzenie na cyberbezpieczeństwo ma swoją specyfikę. Patrzymy na nie z punktu widzenia ISP/operatora telekomunikacyjnego, po części też w odniesieniu do klientów biznesowych. Jesteśmy też operatorem, odpowiedzialny za sporą część ruchu w odniesieniu do całego kraju. No i inwestującym w cyberbezpieczeństwo od 25 lat!

Ćwierć wieku dla Was

Aż się nie chce wierzyć, ale ówczesna Telekomunikacja Polska przewidziała istotną rolę bezpieczeństwa w internecie wtedy, gdy części z moich kolegów z zespołu nie było jeszcze w planach 😉 Internet był dobrem luksusowym, z wysoko ustawioną barierą wejścia. Bez nienawiści, bez mediów społecznościowych, pełen ludzi, którzy po prostu lubili bezinteresowanie pomagać innym. Serio, naprawdę tak było! Przyznam Wam szczerze, że trochę za tym tęsknię, ale z drugiej strony – stało się, a skoro jeździmy już samochodami, nie będziemy przecież wracać na konie?

Dlatego w kolejnych latach możecie się spodziewać następnych raportów, a w międzyczasie zaglądajcie na Bloga, na stronę CERT Orange Polska i na naszego Twittera. Tam o zagrożeniach przeczytać częściej, niż raz na rok 🙂 i będziecie wiedzieli, jak na nie zareagować. A na koniec, w czerwcu kolejnego roku, zasiądziecie w fotelu, otworzycie komputer/tablet i przeczytacie, co się działo przez poprzednie 365 dni.

Bądźcie bezpieczni – nie tylko wtedy, gdy wychodzi raport! A jeśli doczytaliście do końca – w nagrodę 😉 dla Was bezpośredni link do najnowszej edycji: Raport CERT Orange Polska 2021!

Udostępnij: Raport CERT Orange Polska – to już 8. raz!

Informacje prasowe

Rok 2021 według CERT Orange Polska: więcej złożonych, powtarzających się kampanii z phishingiem i złośliwym oprogramowaniem. Rośnie skuteczność CyberTarczy

12 kwietnia 2022

Rok 2021 według CERT Orange Polska: więcej złożonych, powtarzających się kampanii z phishingiem i złośliwym oprogramowaniem. Rośnie skuteczność CyberTarczy

Oszustwo „na kupującego”, złośliwe oprogramowanie rozsyłane w  SMS-ach czy koparki kryptowalut ukryte w dodatkach do gier komputerowych. To tylko niektóre z zagrożeń, z jakimi w minionym roku wg CERT Orange Polska mieli do czynienia internauci. CyberTarcza powstrzymała w sieci Orange ponad 335 milionów incydentów phishingowych powiązanych m.in. z wyłudzaniem danych logowania do kont bankowych lub profili społecznościowych. Uchroniła w ten sposób 4,5 miliona osób. Jakie zjawiska dominowały w ubiegłym roku, które będą zdaniem ekspertów nasilać się w przyszłości i jak skutecznie chronić swoją cyfrową tożsamość? To wszystko w nowym Raporcie CERT Orange Polska.

– Setki milionów zablokowanych zdarzeń phishingowych w ciągu roku pokazują nie tylko rosnącą skalę zagrożeń, ale także to, że wykrywamy je coraz skuteczniej. To zasługa unikalnych kompetencji naszego zespołu CERT oraz budowanych przezeń pionierskich rozwiązań, opartych na uczeniu maszynowym i sztucznej inteligencji – mówi Piotr Jaworski, członek zarządu Orange Polska ds. Sieci i Technologii. – Minęło 25 lat odkąd jako pierwszy telekom utworzyliśmy specjalistyczny zespół dbający o bezpieczeństwo w sieci. Dzielimy się naszą wiedzą i doświadczeniem,  zarówno w Grupie Orange, jak i z zespołami w innych firmach i instytucjach. Cieszy nas, że współpracy i wymiany informacji jest coraz więcej, ponieważ jest ona kluczowa dla skutecznej walki z cyberprzestępczością – podkreśla Piotr Jaworski.

Phishing wciąż króluje

Podobnie jak w poprzednich latach, najpowszechniejszym typem złośliwych prób był phishing, który stanowił niemal 40% wszystkich wykrytych w sieci Orange Polska zagrożeń. Przestępcy wyłudzali dane logowania i pieniądze na wiele sposobów. Celowali w użytkowników portali z ogłoszeniami i platform sprzedażowych podając się za kupujących i podsuwając im linki fałszywych stron do rzekomego odbioru pieniędzy. Linki do stron phishingowych wysyłali także w SMS-ach pod pretekstem dopłaty do przesyłki, czy rachunku za energię. Tworzyli fałszywe sklepy, loterie, zachęcali do inwestycji na nieistniejących giełdach kryptowalut. Wykorzystywali pełne emocji fake newsy, nawiązujące do bieżących wydarzeń.

Złośliwe oprogramowanie – w SMS-ie, mailu lub darmowej grze

Złośliwe oprogramowanie było drugim najczęstszym zagrożeniem w sieci w ubiegłym roku, stanowiło niemal 18% wszystkich prób zarejestrowanych przez CERT Orange Polska.

Pojawił się nowy rodzaj malware-u – Flubot – wykradający kontakty z książek adresowych zainfekowanych smartfonów. Wykradzione numery wykorzystywane były do masowego rozsyłania SMS-ów podszywających się np. pod pocztę głosową i nakłaniających ofiary do zainstalowania złośliwych aplikacji. Zainfekowane w ten sposób telefony później służyły do dalszego rozpowszechniania malware-u. Kampanie Flubota pojawiały się w ubiegłym roku kilkakrotnie – podczas jednej z nich, na jesieni, CERT Orange Polska notował dziennie nawet ponad milion tego typu podejrzanych wiadomości. Jak ostrzegają eksperci CERT Orange Polska, złośliwe oprogramowanie wysyłane jest nie tylko w mailach i SMS-ach, znajduje się także m.in. w pirackich wersjach gier komputerowych, czy „darmowych” podręcznikach w sieci.

W walce z cyberzagrożeniami kluczowa jest świadomość internautów, czujność i krytyczne myślenie. Dziś, w czasach nasilonego szumu informacyjnego i dezinformacji nawet bardziej niż kiedykolwiek. Cyberprzestępcy przeprowadzają coraz bardziej złożone kampanie, wykorzystując konkretny typ zagrożeń – jak w przypadku oszustwa „na kupującego” czy złośliwego oprogramowania typu Flubot. Korzystamy z coraz to nowszych narzędzi, by jak najwięcej zagrożeń zablokować zanim wyrządzą szkodę. Doskonale sprawdza się platforma MISP – Malware Information Sharing Platform. Tworzymy tu wspólnotę zaufanych podmiotów wymieniających się informacjami, zyskujemy cenny materiał do analiz. Blokujemy nie tylko zagrożenia wykrywane przez nasze systemy, ale coraz częściej także te zgłaszane przez inne podmioty. Korzystamy też z systemów typu „honeypot”, czyli pułapek na atakujących, które pozwalają nam monitorować ich poczynania i zdobywać wiedzę –  wyjaśnia Robert Grabowski, szef CERT Orange Polska.

Jak podkreślają eksperci CERT Orange Polska, ogromne znaczenie ma również czas reakcji – około 40% domen phishingowych kończy swoją aktywność w ciągu kilku minut od wizyty pierwszej ofiary. Dlatego przyszłością są właśnie zautomatyzowane narzędzia i sztuczna inteligencja, które coraz mocniej wspierają zespół.

Ataki DDoS – krótsze, ale bardziej złożone

Podobny odsetek jak złośliwe oprogramowanie – nieco ponad 17% – stanowiły ataki DDoS. Ubiegłoroczny rekordowy atak o sile ponad 470 Gb/s, skierowany na indywidualnego użytkownika, został odparty na poziomie sieci. Dane CERT Orange Polska wskazują, że rośnie udział ataków o mniejszej sile i krótszych (średnio 11 minut). Trudniejsze w wykryciu ataki złożone, wykorzystujące różne techniki i skierowane na wiele celów, tzw. carpet bombing. Według CERT Orange Polska wcześniej były one rzadkością, a obecnie pojawiają się coraz częściej.

Przewidywania CERT Orange Polska na 2022 rok

Jak zauważają eksperci CERT Orange Polska, wiele zapowiadanych w poprzednim raporcie trendów sprawdziło się w 2021 roku, m.in. wzrost udziału złośliwych aplikacji dla urządzeń mobilnych, ataków z wykorzystaniem spoofingu czy smishingu, rekordowe ataki DDoS, wzrost kradzieży kryptowalut czy skrócenie czasu ataków phishingowych.

W roku 2022 wg CERT Orange Polska należy się spodziewać kontynuacji ataków na giełdy kryptowalut oraz kradzieży portfeli z kryptowalutami. Utrzyma się poziom ataków na użytkowników platform sprzedażowych – czyli niezwykle powszechnych w ubiegłym roku oszustw „na kupującego”. Przewidywane są kolejne ataki DDoS o dużym wolumenie m.in. na sektor bankowy. Coraz częściej będą się pojawiać kampanie dezinformacyjne.

CyberTarcza – jak to działa?

Przed zagrożeniami w internecie użytkowników sieci mobilnej i stacjonarnej Orange chroni CyberTarcza. To mechanizm sieciowy polegający na sinkholingu, czyli przekierowywaniu niebezpiecznego ruchu (np. połączeń z domenami phishingowymi, komunikacji botnetów) na specjalny serwer. W ten sposób próba ataku jest izolowana, analizowana, a jednocześnie nie rozprzestrzenia się w sieci i nie zagraża użytkownikom. Taką ochroną objęci są automatycznie i bezpłatnie wszyscy internauci korzystający z sieci Orange Polska.

Operator oferuje także płatne usługi pod nazwą CyberTarcza Stacjonarna i CyberTarcza Mobilna, które mają dodatkowe funkcjonalności – np. spersonalizowany portal, na którym można samodzielnie ustawić blokadę wybranych kategorii stron internetowych, czy konkretnych adresów dla różnych urządzeń lub w określonych godzinach. Oferują one też system powiadomień i comiesięcznych raportów.

Firmy odporne na zagrożenia w sieci

Pracownik, infrastruktura i dane to według ekspertów najważniejsze cele cyberataków przeprowadzanych na biznes. Jednymi z najbardziej popularnych zagrożeń dla firm wciąż pozostają ataki DDoS, phishing oraz te wykorzystujące złośliwe oprogramowanie typu ransomware. Pojawiają się też nowe, związane z przemysłem czy internetem rzeczy. Cyberprzestępcy obok podatności i luk w infrastrukturze, wykorzystują też braki w przeszkoleniu pracowników.

Oprócz usług chroniących przed podstawowymi zagrożeniami jak CyberWatch, wprowadzamy usługi bardziej zaawansowane typu audyty środowiska przemysłowego, czy ochronę sieciowych systemów rejestracji obrazu. Zwracamy też uwagę klientów na edukację pracowników. W naszej ofercie jest Cyber Pakiet, który zapewnia m.in. testy socjotechniczne, polegające na uzgodnionych, symulowanych atakach phishingowych na pracowników firmy. Pomagają one budować odporność organizacji na zagrożenia – mówi Krzysztof Białek, Dyrektor Marketingu i Rozwoju Produktów Cyberbezpieczeństwa w Orange Polska.

Coraz ważniejszy jest stały monitoring zagrożeń i szybka reakcja na nie. Z centrum operacji bezpieczeństwa Security Operations Center Orange Polska korzysta już 1300 klientów. Dla mniejszych firm operator ma usługę SOC Lite, która wykorzystuje zaawansowane techniki wykrywania zagrożeń, a jej miesięczny koszt pozostaje przystępny. Z kolei rozwiązanie Morphisec zapewnia skuteczną obronę przed atakami ransomware (złośliwe oprogramowanie szyfrujące dyski twarde komputerów, serwerów i macierzy) oraz przed atakami typu exploit.

ABC bezpieczeństwa dla każdego

Przed wieloma zagrożeniami w sieci chroni stosowanie podstawowych zasad, takich jak wpisywanie danych logowania tylko po dokładnym sprawdzeniu adresu strony (bądź przechowywanie ich w menagerach haseł), używanie mocnych haseł i uwierzytelniania dwuskładnikowego, regularna aktualizacja oprogramowania w smartfonie i komputerze.
A także wspomniana już czujność, nie poddawanie się emocjom, nieklikanie bez zastanowienia w linki w SMS-ach.

Warto śledzić aktualności na cert.orange.pl, na Twitterze @CERT_OPL, a także na blogu Orange. Podejrzane SMS-y, maile czy inne zdarzenia w sieci wzbudzające wątpliwości można zgłaszać na cert.orange.pl klikając „Zgłoś incydent”

Zapraszamy do lektury Raportu CERT Orange Polska 2021

CyberTarcza_Raport CERT Orange Polska za rok 2021

 

Mediateka

Udostępnij: Rok 2021 według CERT Orange Polska: więcej złożonych, powtarzających się kampanii z phishingiem i złośliwym oprogramowaniem. Rośnie skuteczność CyberTarczy

Informacje prasowe

CERT Orange Polska: uwaga na podrobione strony zbiórek, fake newsy i dezinformację

18 marca 2022

CERT Orange Polska: uwaga na podrobione strony zbiórek, fake newsy i dezinformację

CyberTarcza zablokowała w ostatnich dniach około 10 fałszywych domen podszywających się pod jeden ze znanych serwisów do tworzenia zbiórek pomocowych. Według CERT Orange Polska, codziennie pojawia się nawet kilkanaście stron z fałszywymi wiadomościami, wykorzystującymi m.in. kontekst wojny w Ukrainie. Fake newsy kierujące do fałszywych stron logowania są narzędziem wyłudzania danych lub pieniędzy. W natłoku informacji warto wiedzieć, jak ustrzec się przed dezinformacją i nie dać się oszukać. 

Oszuści zawsze wykorzystywali kontekst bieżących wydarzeń do swoich celów. Tak było w pandemii, kiedy pojawiały się kampanie phishingowe np. w postaci SMS-ów z informacją o konieczności „dopłaty za dezynfekcję paczki” czy fałszywe sklepy z maseczkami. Dziś z kolei jesteśmy świadkami posługiwania się przez oszustów kontekstem wojny w Ukrainie.

Gdy dzieje się coś, co wzbudza ogromne emocje, zawsze uaktywniają się też internetowi oszuści i próbują te emocje wykorzystać do swoich celów. Stąd oprócz oszustw znanych i wciąż obecnych w sieci, takich jak fałszywe loterie, konkursy, giełdy kryptowalut, widzimy też te, które podpinają się pod obecną sytuację, takie jak na przykład fałszywe zbiórki, czy nieprawdziwe, sensacyjne wiadomości o wojnie w Ukrainie. Krzykliwe nagłówki zachęcają do kliknięcia w link, a stąd już tylko krok do utraty wrażliwych danych. Fake newsy służą także dezinformacji, a w tym celu wykorzystywane są nawet takie narzędzia jak deepfake. Dlatego przeglądając wiadomości w sieci i mediach społecznościowych, nie kierujmy się emocjami, nie klikajmy odruchowo i zawsze sprawdzajmy źródła informacji  – radzi Robert Grabowski, szef CERT Orange Polska.

Nie daj się oszukać – pamiętaj o podstawowych zasadach bezpieczeństwa

Przed logowaniem się na jakiejkolwiek stronie internetowej czy wpłacaniem pieniędzy na zbiórkę zawsze należy dokładnie sprawdzić adres strony, jaki wyświetla się na ekranie. Podrobiona strona może łudząco przypominać prawdziwą, dlatego tak ważne jest sprawdzenie całego adresu – może różnić się od tego właściwego zaledwie jedną literą czy słabo zauważalnym znakiem.

Chcąc wpłacić pieniądze na rzecz organizacji pomocowej, najlepiej samodzielnie wpisywać adres w pasku przeglądarki. Jeśli korzystamy z linków przekierowujących do wpłat, to tylko z takich, które znajdują się na wiarygodnych portalach, czy kontach zaufanych organizacji pomocowych w mediach społecznościowych.

Warto zwracać uwagę na błędy językowe. Sfałszowane strony czy wiadomości phishingowe często zawierają dziwne brzmiące, niepoprawne sformułowania. Powinny one być dla nas sygnałem ostrzegawczym.

Należy unikać klikania w linki przesyłane w SMS-ach czy w komunikatorach, a także wpisywania danych, jeśli przekierowują one do okienek logowania do serwisów bankowych czy portali społecznościowych). Grozi to utratą pieniędzy z konta lub przechwyceniem profilu w mediach społecznościowych i wykorzystania go do dalszych oszustw lub siania dezinformacji.

Warto śledzić aktualne informacje o pojawiających się oszustwach: np. na stronie cert.orange.pl, na Twitterze @CERT_OPL, a także na blogu Orange – m.in. w cotygodniowych, czwartkowych wpisach poświęconych bezpieczeństwu w sieci.

falszywe-zbiorki

Mediateka

Udostępnij: CERT Orange Polska: uwaga na podrobione strony zbiórek, fake newsy i dezinformację

Bezpieczeństwo

Hasło do banku – gdzie je wpisujesz?

17 lutego 2022

Hasło do banku – gdzie je wpisujesz?

Hasło do banku. Dziś będzie chyba krótko, ale treściwie, na temat, który w zasadzie nieprzerwanie leży mi na sercu. Przyglądając się bowiem kolejnym phishing kitom, raz na jakiś czas tuningowanym przez oszustów, zastanawiam się… kto u licha wpisuje na dziwnej stronie tyle swoich danych?

Gwoli jasności – będę ostatnim, który „pojedzie po internautach”. Kilka lat temu, jeszcze gdy nikt nie myślał o pandemii, na konferencji Confidence Adam Haertle powiedział (w skrócie): „Bezpieczniaku, to nie user, który dał się złapać na phishing, jest idiotą. To ty nim jesteś! Bo nie użyłeś swojej wiedzy, by go uświadomić”. Od tamtego czasu to jeden z motywów pchających mnie do działania. Dlatego też powstaje ten tekst. Nie zmienia to jednak faktu, że często nie mogę wyjść z szoku dlaczego są ludzie, w których takie okna, na stronie której adres nie ma nic wspólnego z bankiem, nie budzą niepokoju:

Co jeszcze podajesz, gdy wpiszesz hasło do banku?

Hasło do banku – i co jeszcze?

Przypomnijcie sobie, kiedy ostatnio wprowadzaliście hasło do banku. I co więcej było wtedy potrzebne? Bazując na moim doświadczeniu (i kontach w dwóch bankach) przy logowaniu w przeglądarce login i hasło, zaś przy aplikacji mobilnej – PIN lub odcisk palca. Wszystko jasne. A kiedy ostatnio używaliście PESELu lub panieńskiego nazwiska mamy? Ew. PINu do aplikacji mobilnej przy korzystaniu z przeglądarki na komputerze?

Konfigurując aplikację mobilną!

No właśnie! Co trzeba zrobić, żebyśmy zapamiętali, że tak wrażliwych danych jak te przytoczone powyżej nie podaje się przy płatności? Nie wiem, jak jest we wszystkich bankach (będę wdzięczny za informacje w komentarzach), ale w tym w którym korzystam z aplikacji mobilnej, w trakcie jej aktywacji słyszę bodaj pięciokrotnie informację do czego służy kod! Czego mam z nim nie robić, gdzie nie wpisywać i co robić, jeśli ktoś mnie o niego prosi. Zastanawiam się, czy tak wielu ludzi wtedy „odlatuje” myślami?

Błagam. Jeśli wykonujecie jakąkolwiek transakcję finansową online, bądźcie wyjątkowo uważni! Niczym za kierownicą, stosujcie zasadę ograniczonego zaufania. A jeśli cokolwiek budzi Wasz niepokój – odstąpcie od transakcji! Możecie stracić wszystkie pieniądze, a nawet więcej. Jasne, przestępcy będą używać wielu sztuczek, żeby przekonać Was do wpisania tych danych. Macie wątpliwości? Zadzwońcie do banku. Albo napiszcie do nas na cert.opl@orange.com. Nie ryzykujcie.

Udostępnij: Hasło do banku – gdzie je wpisujesz?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej