Când primești o mulțime de e-mailuri zilnic, volumul de activitate te copleșește și trebuie să termini într-un timp scurt sarcini nou-venite, e destul de ușor să cazi victimă phishingului. Mai ales că atacatorii tocmai pe asta se bazează: pe faptul că ești extrem de ocupat, sub presiunea unor termene și că nu vrei să pierzi nimic din ceea ce ajunge în căsuța de e-mail profesională.
Ce e phishingul, de fapt? O înșelăciune electronică, prin care ești indus în eroare, sub aparențe legitime și ajungi să divulgi fără să vrei unor terți date personale, confidențiale, informații bancare, ale tale ori ale firmei. Phishingul se face prin e-mail, prin sms, inclusiv prin apeluri telefonice.
"E-mailurile de tip phishing pot arăta identic cu acelea pe care le primiți de la bancă, imită logo-ul și designul mesajelor reale, îți solicită să descarci un atașament sau să deschizi un link, utilizează un limbaj care sugerează urgența", spun cei de la Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO).
De multe ori, par să vină de la parteneri, clienți, colegi de muncă sau chiar șefi, prieteni și cunoscuți, inclusiv de la instituții publice (e-mailuri de la Fisc, de la Registrul Comerțului, de pildă) - expeditori de la care ne așteptăm să primim chestiuni reale, legitime.
Un exemplu relativ recent de e-mailuri de tip phishing îl găsim în materia utilizatorilor și titularilor de mărci de la noi; sub aparențe legitime, atacatorii au trimis e-mailuri care par să vină de la OSIM/EUIPO, cu linkuri și atașamente virusate. Oficiul a anunțat deja de aproape două săptămâni cu privire la tentativele de phishing, doar că anunțurile de acest fel vin destul de târziu, când deja o mulțime de e-mailuri ajung în căsuțele profesioniștilor și, probabil, destul de mulți cad pradă înșelăciunii.
Care sunt riscurile la care se expun cei care dau curs, care accesează linkurile primite, răspund expeditorilor ș.a. asemenea? Divulgarea unor date și informații confidențiale, date bancare, date de logare în anumite sisteme profesionale sau chiar cele de ordin personal ș.a.m.d.. Un alt risc este acela de a virusa sistemul de lucru, iar asta poate însemna uneori pierderea unor documente și resurse de muncă extrem de importante.
Recomandările CERT-RO:
- Actualizează permanent programele calculatorului, inclusiv sistemul de operare.
- Fii extrem de atent dacă primești mesaje ”din partea băncii” prin care ți se solicită date sensibile (date despre cont, parole etc.).
- Citește cu atenție mesajele - compară adresa expeditorului cu cea din corespondențele anterioare.
- Verifică eventuale greșeli de exprimare
- Nu răspunde la mesaje dubioase. Eventual, le poți retransmite băncii tale, scriind adresa.
- Nu deschide link-urile și nu descărca atașamentele din astfel de mesaje.
- Dacă ai dubii cu privire la o tranzacție, efectuează verificări suplimentare.
- Atenție la folosirea dispozitivelor mobile. Poate fi mai dificil de depistat o încercare de phishing pe telefonul mobil sau pe tabletă!
Dacă vorbim de phishingul prin SMS (smishing), CERT-RO atenționează: "prin mesajul text, autorii, de obicei, îți solicită să apelezi un număr de telefon sau să accesezi un link prin care ”îți verifici, actualizezi, reactivezi” contul. Dar...în realitate ești direcționat către un site fals sau un operator-complice, pretins reprezentant al băncii.
- Nu acționa în grabă. Ia-ți timp și verifică informațiile înainte de a trimite un eventual răspuns.
- Niciodată nu răspunde unui SMS prin care ți se solicită codul PIN, parole de acces la contul de online banking ori alte credențiale de siguranță.
- Contactează imediat banca, dacă știi că ai răspuns unui astfel de mesaj și ai furnizat detalii bancare în aceste condiții."
De multe ori, atrag atenția specialiștii, cu un minim de atenție putem să depistăm tentativele de phishing înainte de a le da curs: greșelile de scriere ori gramaticale sunt o marcă a acestora, formulele de adresare impersonală (dear customer), site-uri cu un aspect neglijent. Cât despre mesajele sau solicitările care par că vin de la bancă, cel mai facil mod de a depista phishingul e să ne aducem aminte că băncile nu ne cer, din senin, datele de logare în Internet Banking, de pildă. Iar cel mai bun mod de a verifica e să contactăm direct banca, furnizorul, colegul sau șeful de la care se presupune că vine respectiva comunicare.
Apelurile telefonice de tip phishing (vishing), atenționează CERT-RO: "apelând telefonic victima și folosind diverse pretexte, o conving să divulge date personale și/sau financiare ori să le transfere bani. Recomandări:
- Fii prudent cu privire la apelurile telefonice primite de la necunoscuți
- Cere numărul apelantului și spune-i că revii tu cu un apel.
- Pentru verificarea identității acestuia, apelează organizația în numele căreia pretind că sună.
- Chiar dacă îți transmit un număr la care îi poți contacta, nu considera asta ca formă de verificare a realității expuse.
- Autorii pot găsi informații despre tine în mediul online, în special pe rețele sociale. Nu lua de bun orice telefon, doar pentru că apelantul știe câte ceva despre tine.
- Nu transmite prin telefon codul PIN ori parola de la contul de Internet Banking. Niciodată banca nu ți le va solicita în acest mod.
- Nu transfera bani către necunoscuți care îți solicită asta.
- Dacă ai bănuieli, contactează banca."
Site-urile bancare false
Comunicările de tip phishing includ uneori link-uri care ne duc către site-uri bancare care par legitime, dar nu sunt. Acolo ni se solicită datele personale și financiare.
Problema, la prima vedere, e că aceste site-uri contrafăcute seamănă destul de mult cu cele reale. Dar le putem depista dacă reținem câteva lucruri:
"Cel mai des, aceste site-uri te conduc către o fereastră pop-up, unde ți se cer credențialele bancare. Site-urile reale nu folosesc astfel de ferestre.
Ferestre tip pop-up: sunt de obicei folosite pentru culegerea datelor tale. Nu le accesa și evită introducerea datelor personale în astfel de ferestre.
Ele au un design defectuos: fiți atenți la site-urile care conțin greșeli gramaticale ori de exprimare.
Niciodată nu accesa site-ul băncii tale prin link-uri trimise pe e-mail. Tastează manual adresa băncii când vrei să accesezi site-ul acesteia.
Dacă banca are ceva important să îți comunice, vei fi notificat după ce îți vei accesa contul online.
Folosește browsere care permit blocarea ferestrelor pop-up", ne învață cei de la CERT-RO.
Spear-phishingul constă în folosirea unor tehnici de manipulare a identității unor persoane sau organizații pentru obținerea unor avantaje materiale sau informații confidențiale.
O experiență personală: acum doi ani, când subiectul GDPR era în floare, întrucât regulamentul european abia intrase în vigoare, am fost sunată de cineva care pretindea că este angajat al rețelei de telefonie mobilă la care am abonament. Motivul apelului: actualizarea datelor personale, în contexul noului regulament. Mi se cereau toate datele din buletin, locul de muncă, banca la care am deschis contul curent ș.a. asemenea. Numărul apelant: ascuns. Știind că nu am ce date să actualizez, cu atât mai mult cu cât schimbasem abonamentul cu doar câteva luni în urmă și, prin urmare, operatorul avea deja datele mele actualizate, am refuzat și am spus că le voi actualiza într-un centru, fizic, când o să am timp. După numeroase insistențe, domnișoara de la celălalt capăt al firului a renunțat. Deznodământul: m-am deplasat la un centru al operatorului de telefonie, ca să aflu că nimeni nu făcea în acea perioadă solicitări de actualizare de date personale la telefon și că, cel mai probabil, a fost o tentativă de phishing. Așadar, prudența este esențială. |
Comentarii articol (1)