Zmasowana plaga phishingu

Ponad trzykrotnie wzrosły oszustwa nastawione na wyłudzenie danych w sieci. Mająca je ukrócić ustawa wejdzie po wakacjach.

Publikacja: 14.03.2023 03:00

Zmasowana plaga phishingu

Foto: Shutterstock

Phishing, czyli podszywanie się pod inne osoby lub instytucje, stał się dla cyberprzestępców jedną z najpopularniejszych metod oszustw w sieci, służących do wyłudzania poufnych danych, takich jak login i hasła do poczty, strony banku, portalu zakupowego i innych usług online. W ciągu dwóch lat zjawisko lawinowo wzrosło – z 7,6 tys. takich przypadków do ponad 25 tys. – wynika z odpowiedzi ministra cyfryzacji Janusza Cieszyńskiego.

Inwencja oszustów

Jeszcze w 2020 r. CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego zarejestrował 7622 ataki phishingowe. Rok później już 22 575, a w roku ubiegłym – 25 625.

Czytaj więcej

Smartfony Polaków na celowniku hakerów

Inwencja oszustów jest niewyczerpana. Ostatnio na cel wzięli użytkowników serwisu Allegro. Masowo rozsyłają im e-maile informujące o blokadzie ich konta w serwisie z tytułu m.in. „zaległości”. Link odsyła do fałszywej strony z zachętą do wpisania danych do konta Allegro oraz karty płatniczej.

Sprawcy nie są bezkarni

– Najczęściej są to SMS-y sugerujące niezapłacenie rachunków za prąd lub gaz, wstrzymanie dostawy paczki, na którą oczekujemy, czy informujące o niedopłacie podatku, co nasila się zwłaszcza pod koniec okresu rozliczeń PIT. Oszuści wykorzystują tematy sezonowe. Technika manipulacji polega na tym, żeby odbiorca poczuł się zagrożony i kliknął w link, który prowadzi do fałszywej strony wyłudzającej dane np. do karty kredytowej czy bankowości elektronicznej – mówi Tomasz Szladowski z NASK.

„Przynęty” się zmieniają, cel jest ten sam – wyłudzenie danych, a docelowo środków. Phishing – według ekspertów NASK – stanowi już ok. 90 proc. ataków w sieci w Polsce opartych na e-mailach lub SMS-ach.

Ścigają go śledczy. „W latach 2020–2022 prokuratury prowadziły 336 postępowań, w których wykorzystano metodę phishingu, w przypadku pięciu postępowań skierowano akt oskarżenia do sądu” – wskazuje Dariusz Barki, prokurator krajowy. Czyny są kwalifikowane jako m.in. oszustwo („tradycyjne”) lub komputerowe.

Sprawcy nie są bezkarni. Wpadł np. rozbity w ub.r. gang, który naciągnął tysiąc osób na nieistniejące towary w fałszywym sklepie internetowym, wyłudzając przy tym loginy i hasła. Tu kupujący dostawali SMS-y z prośbą o „dopłatę” z linkiem do fałszywej strony do rozliczeń. „Wiadomości phishingowe są tak przygotowywane, aby wyglądały na autentyczne, przez co duża część społeczeństwa wciąż daje się nabrać i bez wahania udostępnia swoje prywatne dane – wskazuje poseł Jarosław Sachajko (z Kukiz’15) w interpelacji skierowanej do premiera i dwóch ministrów: cyfryzacji oraz sprawiedliwości, dopytując o działania dla ograniczenia zjawiska.

Ustawa w Sejmie

Pladze ma zaradzić ustawa o zwalczaniu nadużyć w komunikacji elektronicznej autorstwa ministra cyfryzacji, która już trafiła do Sejmu. Ma ona zwiększyć ochronę w sieci przed oszustwami z wykorzystaniem SMS-ów i e-maili oraz telefonów.

Zakazane będzie stosowanie smishingu (wysyłania SMS-ów, podszywając się pod instytucję, by wyłudzić cudze dane). Ustawa ma penalizować również nadużycia takie jak m.in. tworzenie sztucznego ruchu i spoofing. – Sądzę, że ustawa wejdzie w życie po wakacjach i rozwiąże znaczną część problemów. Oczywiście, możliwe, że będą próby obejścia blokad, ale musimy zrobić ten krok, bez tego będziemy bezbronni – mówi nam Janusz Cieszyński, minister cyfryzacji.

CSIRT NASK ma monitorować występowanie smishingu na podstawie danych

przekazanych mu przez odbiorców SMS-ów i np. przedsiębiorców telekomunikacyjnych. Będzie to się odbywało dokładnie tak jak obecnie – poprzez przekazanie SMS-ów na specjalny numer lub poprzez formularz na stronie internetowej. Na podstawie wyników monitorowania smishingu CSIRT NASK będzie tworzyć wzorzec wiadomości wyczerpującej znamiona smishingu, a ten będzie przekazywany przedsiębiorcom telekomunikacyjnym, którzy będą blokować automatycznie SMS-y o treści zgodnej z wzorcem.

Do odbiorcy nie dotrze więc oszukańczy SMS.

Na wątpliwości o zbyt dużą swobodę decyzyjną w zakresie np. blokowania wiadomości SMS, minister odpowiada: – Dlatego by te zarzuty eliminować, wszystkie zablokowane treści po 14 dniach będą publikowane – mówi Janusz Cieszyński. Ale zanim chroniące nas prawo wejdzie, eksperci radzą ostrożność.

– Sprawcy wykorzystują zaskoczenie i presję czasu. Dlatego należy zachować spokój i zastanowić się, czy sprawa nas dotyczy. Bo może się okazać, że np. żadnej paczki nie zamawialiśmy, a w domu nie mamy podłączonego gazu. Nie należy reagować na takie SMS-y, tylko zadzwonić na oficjalny numer telefonu np. do dostawcy prądu i sprawę wyjaśnić.

Phishing, czyli podszywanie się pod inne osoby lub instytucje, stał się dla cyberprzestępców jedną z najpopularniejszych metod oszustw w sieci, służących do wyłudzania poufnych danych, takich jak login i hasła do poczty, strony banku, portalu zakupowego i innych usług online. W ciągu dwóch lat zjawisko lawinowo wzrosło – z 7,6 tys. takich przypadków do ponad 25 tys. – wynika z odpowiedzi ministra cyfryzacji Janusza Cieszyńskiego.

Inwencja oszustów

Pozostało 91% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Przestępczość
Prokuratura wie wszystko o Funduszu Sprawiedliwości. Dyrektor poszedł na współpracę
Przestępczość
Immunitet nie chroni mieszkań. Sądy od lat stoją na takim stanowisku
Przestępczość
Służby w budynkach zakonu sercanów. Fundusz Sprawiedliwości pod lupą
Przestępczość
Collegium Humanum: Jak zaczęła się afera z dyplomami?
Przestępczość
Rektor Collegium Humanum sypie układ. Paweł C. chce być świadkiem koronnym