Cyberprzestępcy mają swoje metody wyłudzania danych i pieniędzy przez cały rok. Zwrot podatku i okres rozliczeń podatkowych stwarza jednak idealne warunki do bardziej intensywnych działań oszustów w internecie. Na szczęście jest kilka rad, które obronią Was lub najbliższych przed phishingiem.

Czym jest phishing?

Ujmując to najprościej jak się da – phishing to metoda oszustwa, polegająca na podszywaniu się pod autorytet lub instytucję, aby zainfekować urządzenie, ukraść pieniądze z konta lub wyłudzić wrażliwe dane. Choć działalność phishingowa istnieje od lat 90., nie ma na nią skutecznej blokady – oszuści wykorzystują różne okazje, oprogramowanie i techniki perswazji, aby przekonać swoje ofiary do działania na własną szkodę.

Obecnie trwa okres rozliczeń podatkowych, który sprzyja działaniom phishingowym. Agencja NASK postanowiła przypomnieć o „oszustwach na PIT” i opublikowała poradnik, którego lektura może pomóc osobom uniknąć nieprzyjemnej sytuacji.

Aby sprawdzić, czy jesteśmy odporni na phishing, możemy wziąć udział w quizie opracowanym przez Google. (źródło: Google)

Zwrot podatku a cyberprzestępcy

Podstawą działań oszustów jest powoływanie się na autorytet, jakim są instytucje państwowe. Jeżeli połączymy to z techniką perswazji, opartą na presji czasowej, całość może prowadzić do nieprzemyślanych działań z naszej strony.

W tej sytuacji warto przyjrzeć się trzem kwestiom. Pierwsza to adres e-mailowy, który nie pokrywa się z tym podanym na oficjalnej stronie urzędu. Druga rzecz to dokładna analiza adresu, do którego prowadzą odnośniki – strony podszywające się pod serwisy urzędowe różnią się np. obecnością literówek czy niewłaściwą domeną. Ostatnim elementem jest prośba o podanie informacji – instytucje nie powinny pytać Was o dane wrażliwe, takie jak numer karty płatniczej i kodu zabezpieczającego.

Przykład fałszywych maili (źródło: Cert Polska)

Działalność phishingowa nie ogranicza się tylko do wiadomości e-mail. Równie popularne są w Polsce fałszywe SMS-y z linkami do fałszywych paneli logowania oraz telefony od urzędu skarbowego, konsultantów infolinii Krajowej Informacji Skarbowej czy Krajowej Administracji Skarbowej. Ponownie – „czerwona lampka” powinna zapalić Wam się, jeśli ktoś przez słuchawkę prosi o podanie takich danych, jak PESEL, numer dowodu tożsamości czy login i hasło do konta np. w serwisie e-Urząd Skarbowy lub do aplikacji bankowej.

Przykład podejrzanego SMS-a (źródło: Cert Polska)

Oprócz wiedzy wyniesionej z wyżej wymienionych przykładów warto stosować uniwersalne środki zapobiegawcze skuteczne cały rok. Warto zatem tam, gdzie to możliwe, stosować weryfikację dwuetapową, dbać o aktualizacje urządzeń podłączonych do internetu (zarówno sprzętu, jak i używanego oprogramowania). Dobrą praktyką jest również sprawdzanie komunikatów publikowanych przez Cert Polska i CSIRT KNF, zgłaszanie niepokojących wiadomości za pomocą oficjalnej strony, aplikacji mObywatel (w którym możemy także od ponad roku zastrzec PESEL) lub na numer 8080 (dotyczy wiadomości SMS z odnośnikami).