Czy zdarzyło Ci się otrzymać kiedyś wiadomość dotyczącą przesyłki, której nigdy nie zamawiałeś?

Czy zdarzyło Ci się otrzymać kiedyś wiadomość dotyczącą przesyłki, której nigdy nie zamawiałeś? A może otrzymałeś SMS od dostawcy energii elektrycznej, z którego usług nie korzystasz? Jeżeli odpowiedź na przynajmniej jedno z powyższych pytań jest twierdząca oznacza to, że prawdopodobnie byłeś o krok od stania się ofiarą phishingu. 

Czym jest phishing? 

Phishing to forma internetowego oszustwa polegająca na podstępnym podszywaniu się przez sprawcę pod zaufaną osobę lub instytucję. Sprawca phishingu przez wykorzystanie metod manipulacyjnych oraz pułapek psychologicznych w połączeniu z  wiedzą z zakresu nowych technologii wyłudza od ofiary poufne informacje. W szczególności: numery kart kredytowych, numery CCV, nazwy użytkownika, numery PESEL, hasła i wiele innych istotnych danych, które następnie mogą umożliwić mu przełamanie zabezpieczeń oraz doprowadzić do przysporzenia korzyści majątkowej.  

Jak działają sprawcy phishingu?

Najbardziej powszechne techniki phishingowe stosowane przez oszustów opierają się na wysyłaniu wiarygodnie wyglądających wiadomości e-mail lub SMS zawierających łącze prowadzące na bliźniaczą stronę lub platformę podmiotów zaufanych, za pomocą której sprawca próbuje wyłudzić wrażliwe informacje lub zainfekować urządzenie ofiary złośliwym oprogramowaniem. Sprawcy phishing’u do swoich przestępczych działań najczęściej wykorzystują wizerunek współpracowników, banków, portali społecznościowych, kurierów, jednostek finansowych lub instytucji rządowych.  Taki modus operandi nie jest przypadkowy albowiem w ten sposób oszust wzbudza zaufanie osoby, która myśląc, że w oparciu o schematy swojego dotychczasowego postępowania jakimi kierowała się w analogicznych sytuacjach współpracuje z podmiotem zaufanym i działając przy tym bez większego zastanowienia decyduje się podążać za instrukcjami zawartymi w otrzymanej wiadomości. To właśnie w skutek takiego postępowania ostatecznie dochodzi do przekazania dostępu do urządzenia, konta lub innych wrażliwych informacji bliżej nieokreślonym osobom, które następnie na podstawie otrzymanych danych mają możliwość dostępu np. do twojego konta bankowego lub karty płatniczej.  

Kto może zostać ofiarą phishingu? 

Biorąc pod uwagę tempo z jakim równolegle rozwija się rynek usług świadczonych drogą elektroniczną oraz sektor związany z cyberprzestępczością w dzisiejszych czasach uniknięcie ataku phishingowego może okazać się być niezwykle trudne i to nawet dla najbardziej ostrożnych osób. Zarówno rzeczywistość w której żyjemy, jak i sami usługodawcy niemal wymuszają na nas posiadanie konta użytkownika, wskazanie danych do płatności lub chociaż podanie adresu e-mail w celach kontaktowych. Ten odgórny wymóg, który z pozoru ma na celu ułatwienie korzystania z danej usługi coraz częściej wiąże się z nieograniczoną liczbą zagrożeń, na które użytkownicy powinni zwracać szczególną uwagę. Zakładając więc, że podawanie w sieci danych osobowych staje się niemal nieuniknione, prawdopodobieństwo, że ofiarą ataku phishingowego może zostać naprawdę każdy użytkownik telefonu, komputera lub innego urządzenia niezależnie od swojego doświadczenia, wieku, płci lub oprogramowania z którego korzysta stale rośnie. 

Jak zabezpieczyć się przed phishingiem? 

Zważywszy na rozwój technologiczny oraz skalę usług, których świadczenie coraz częściej odbywa się chociażby pośrednio drogą elektroniczną, nie sposób wskazać aby istniała jedna metoda, będąca remedium na zabezpieczenie się na zawsze przed każdym z możliwych internetowych oszustw.  Oczywiście istnieją pewne aspekty dotyczące postępowania w sieci, na które warto jest zwrócić szczególną uwagę, jednak mimo wszystko podstawową zasadą działania jaką użytkownik jakiejkolwiek usługi dostępnej w internecie powinien się kierować jest wychodzenie z założenia, że ochrona w sieci zaczyna się od samokształcenia oraz zmiany sposobu myślenia i zachowania samego użytkownika. 

Gdzie oszuści zamieszczają swoje podstępne wiadomości? 

1. Wiadomości sms;
2. Wiadomości tekstowe na wszelkich komunikatorach;
3. Wiadomości e-mail;
4. Reklamy na serwisach społecznościowych;
5. Reklamy w wynikach wyszukiwania. 

Jakie działania prewencyjne możesz podjąć aby zabezpieczyć się przed phishingiem?

1. Systematycznie aktualizuj swoja przeglądarkę internetową oraz aplikacje na telefonie. 
2. Używaj alternatywnych adresów e-mail w stosunku do stron internetowych lub aplikacji, których nie uważasz za wiarygodne. 
3. Korzystaj z wiadomości e-mail wyposażonych w protokoły bezpieczeństwa. 
4. Sprawdzaj zasady rejestracji oraz logowania do instytucji lub platformy z której korzystasz, zanim utworzysz konto. 
5. Kontaktuj się i rozliczaj bezpośrednio przez portal z którego korzystasz. 

Na co warto zwracać uwagę po otrzymaniu podejrzanej wiadomości?

1. Literówki oraz ogólną gramatykę otrzymywanych wiadomości.
2. Prawdziwą nazwę nadawcy oraz jego strony internetowej. Najlepiej jeżeli porównasz prawdziwą nazwę z treścią otrzymanej wiadomości. 
3. Wygląd szaty graficznej nadawcy (strona internetowa, logo, typografia). Zwróć uwagę, czy wszystko wygląda profesjonalnie, dostawcy usług zazwyczaj nie pozwalają sobie nawet na najmniejsze niedociągnięcia.
4. Czy  nagle nie zmieniła się metoda uwierzytelniania konta lub wpisywania danych do logowania.
5. Czy nadawca stosuje bezosobowe zwroty.
6. Czy wiadomości, które otrzymujesz są kontynuacją Twojego wcześniejszego działania.
7. Czy nie doszło do zmiany funkcjonalności stron lub aplikacji.
8. Jaki jest cel dla jakiego według nadawcy została wysłana wiadomość SMS lub e-mail. 

Czego nie robić po otrzymaniu podejrzanej wiadomości? 

Oczywiście najbezpieczniejszym rozwiązaniem jest nie otwierać wiadomości i natychmiast ją usunąć, jednak jeżeli otworzysz podejrzaną korespondencje zwróć proszę uwagę na poniższe punkty: 

1. Nie otwieraj załączników zamieszczanych w podejrzanych wiadomościach. 
2. Nie pisz ani nie oddzwaniaj do nadawców podejrzanych wiadomości lub połączeń. 
3. Nie otwieraj linków zamieszczonych w niepewnych wiadomościach. 

Co robić po otrzymaniu wiadomości phishingowej?

1. Usuń wiadomość ze swojego urządzenia.
2. Zablokuj nadawcę wiadomości.
3. Sprawdź aktualizacje swojego urządzenia oraz aplikacji, z której korzystasz.
4. Przywróć ustawienia fabryczne Twojego urządzenia.
5. Zgłoś incydent do CERT NASK za pośrednictwem strony internetowej: https://www.incydent.cert.pl/.
6. Skontaktuj się z działem obsługi klienta platformy lub usługi, z której korzystasz.
7. Edukuj i uświadamiaj znajomych i rodzinę. 

Co powinieneś zrobić, jeżeli po otrzymaniu wiadomości padłeś ofiarą phisingu?

Przede wszystkim jeżeli już wiesz, że doszło do wyłudzenia Twoich danych np. tych dotyczących bankowości internetowej niezwłocznie skontaktuj się z bankiem celem zabezpieczenia konta lub karty płatniczej. Dzięki temu istnieje duże prawdopodobieństwo, że bank zablokuje wychodzące od ciebie transakcje oraz wypłaty środków z konta.  

Następnie w miarę swoich możliwości zmień dane dostępowe do wszystkich kont z jakich korzystasz w Internecie. Niestety nie będziesz w stanie od razu ocenić do jakiego serwisu lub platformy sprawca phishing’u uzyskał dostęp, dlatego ważna jest zmiana hasła nie tylko do banku ale także do maila oraz twoich pozostałych serwisów społecznościowych.  

Poinformuj o ataku phishingowym instytucję, osobę lub platformę pod, którą podszywał się sprawca, takie działanie pozwoli podjąć osobom odpowiedzialnym za funkcjonowanie danej jednostki odpowiednie kroki aby zapobiec powstawaniu podobnych zdarzeń w przyszłości.  

Pamiętaj, że phishing, nawet jeśli może wydawać się niewinną, zwodniczą wiadomością jest prawdziwym przestępstwem i jako takie powinno być traktowane. Dlatego nie powinieneś ignorować żadnej podejrzanej wiadomości a kolejnym krokiem po wykryciu potencjalnego lub faktycznego ataku powinno być poinformowanie odpowiednich organów ścigania oraz CERT NASK, który na swojej stronie prezentuje formularz zgłoszenia incydentu.  

Jakie kroki prawne możesz podjąć po ataku phishingowym?

1. Złóż zawiadomienie o popełnieniu przestępstwa  

Phishing choć nie jest przestępstwem wprost wskazanym w polskim kodeksie karnym to jego sprawca może zostać pociągnięty do odpowiedzialności między innymi na podstawie art. 287, art. 267 lub art. 190a §. 2 kodeksu karnego. Zatem jeżeli wiesz, że padłeś ofiarą przestępstwa warto jest zawiadomić organy ścigania, które następnie podejmą adekwatne kroki . 

2. Wniesienie pozwu cywilnego o zapłatę odszkodowania przeciwko sprawcy 

Miej na uwadze, że ukaranie samego sprawcy na podstawie przepisów prawa karnego nie wyklucza możliwości dochodzenia przez osoby poszkodowane odszkodowania za poniesione szkody na drodze postępowania cywilnego.  

3. Skierowanie pozwu przeciwko podmiotowi zaufanemu. 

Pociągnięcie sprawcy phishing’u do odpowiedzialności wydaje się być rozwiązaniem prostym i oczywistym, jednak mimo tego, że phishing wypełnia znamiona czynów zabronionych wskazanych w przepisach kodeksu karnego oraz istnieje możliwość dochodzenia odszkodowania od sprawcy to realne możliwości odszukania phishera w dobie dynamicznie rozwijających się technologii są niestety bardzo utrudnione.  

Zważając na tę niedogodność osoby poszkodowane mogą jednak zdecydować się także na skierowanie pozwu przeciwko instytucjom, za które podszywał się sprawca. Jest to metoda, którą warto wybrać gdy mamy do czynienia z dokonaniem nieautoryzowanej płatności bankowej przez sprawcę. Zgodnie z przepisami ustawy o usługach płatniczych „podmiotem odpowiedzialnym za dokonanie transakcji, która nie została autoryzowana przez właściciela rachunku bankowego jest bank.” i to właśnie na banku ciąży obowiązek udowodnienia, że dana transakcja została autoryzowana – inaczej mówiąc, że transakcja została zaakceptowana przez płatnika.  Bank powinien dochować szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych zwłaszcza, że zawarcie umowy rachunku bankowego powoduje, że środki pieniężne właściciela rachunku przechodzą na własność banku.  

Zatem jeżeli jako klient banku zachowałeś wszelkie środki ostrożności podczas korzystania z bankowości internetowej, a i tak padłeś ofiarą phishingu należy uznać, że to bank nie dochował należytej staranności i nie zastosował odpowiednich metod zabezpieczenia bankowości internetowej  w związku z czym ma on obowiązek zwrócić poszkodowanemu utracone  środki. 

Przykłady ataków phishingowych krążących w sieci 

1. Wiadomości od oszustów kontaktujących się z ofiarą na podstawie danych kontaktowych zamieszczonych na popularnych platformach sprzedażowych.
2. Wiadomości  informujące o odbiorze przesyłki.
3. Bliźniacze strony kurierów.
4. Bliźniacze strony instytucji finansowych.
5. Wiadomości informujące o zadłużeniu względem zaufanych instytucji.
6. Wiadomości dotyczące wirusa COVID-19 lub innych zagrożeń.

Autorka:
Anna Baszczyńska
Aplikant radcowski

• Instagram
• LinkedIn