Jak działa oszustwo?
Fałszywe wiadomości SMS informują, że "Twój profil zaufany wygasa w dniu 03-07-24. Odnów jego ważność po zalogowaniu się na swoje konto. Więcej informacji i podstawa prawna: hxxps://mojego-rzadu[.]com/login/login". Już sama domena w treści wiadomości jest olbrzymią czerwoną flagą. Kliknięcie w podany link prowadzi do strony, która wygląda niemal identycznie jak prawdziwa strona logowania do usług rządowych, szczególnie w sekcji „Bankowość elektroniczna”. Prawdziwa witryna oferuje dodatkowy wybór metod logowania, który oszuści pominęli, ponieważ fałszywe bramki logowania do banków są łatwe do podrobienia i szybko przynoszą oszustom zyski.
Domena mojego-rzadu[.]com została założona zaledwie dzień przed rozpoczęciem ataków, w kalifornijskiej firmie OwnRegistrar, a jej adres IP wskazuje na Cloudflare. Prawdopodobnie jest to jedna z wielu domen, które oszuści mogą wykorzystać w kolejnych atakach. Dlatego ważne jest, by być czujnym i ostrzegać znajomych, którzy mogą nieświadomie paść ofiarą oszustwa.
Profil Zaufany a certyfikat mObywatel
Obecna kampania oszustów jest szczególnie niebezpieczna, ponieważ zbiega się z wprowadzeniem mObywatela 2.0 na początku lipca 2023 roku. Użytkownicy musieli wtedy utworzyć nowe certyfikaty, które są ważne przez rok i lada moment zaczną wygasać. Certyfikat mObywatel jest przypisany do konkretnego urządzenia, więc jeśli zmieniliście telefon, czas ważności certyfikatu również się przedłużył. Datę wygaśnięcia certyfikatu można znaleźć w menu aplikacji w sekcji „więcej/wydane certyfikaty”.
Profil Zaufany, w przeciwieństwie do certyfikatu mObywatel, jest ważny przez trzy lata. Informacje o jego wygaśnięciu mogą być faktyczne, jednak rządowe powiadomienia przychodzą z nadpisu zastrzeżonego dla oficjalnej korespondencji, a nie z zwykłego numeru telefonu. Przedłużenia Profilu Zaufanego dokonuje się na stronie https://pz.gov.pl/. Datę wygaśnięcia można sprawdzić na stronie Profilu Zaufanego w sekcji „Szczegóły profilu” na samym dole.
Jak chronić się przed smishingiem?
Smishing, czyli phishing za pomocą SMS-ów, to coraz powszechniejsza metoda oszustwa. Otrzymując SMS z prośbą o kliknięcie w link lub podanie danych, należy zawsze zweryfikować nadawcę wiadomości. Oficjalne instytucje, takie jak banki czy urzędy, zazwyczaj wysyłają wiadomości z dedykowanych, zaufanych numerów lub nadpisów SMS. Wiadomość z nieznanego numeru powinna wzbudzić podejrzenia i skłonić do dalszej weryfikacji.
Oszustwa smishingowe często charakteryzują się błędami językowymi, literówkami lub nietypowym formatowaniem tekstu. Należy dokładnie przeczytać treść wiadomości i zwrócić uwagę na jakiekolwiek niespójności. Fałszywe wiadomości często używają technik zastraszania lub wywierania presji czasowej, aby skłonić do natychmiastowego działania bez zastanowienia.
Najważniejszą zasadą jest unikanie klikania na linki zawarte w podejrzanych SMS-ach. Nawet jeśli wiadomość wydaje się pochodzić od zaufanej instytucji, lepiej otworzyć stronę internetową bezpośrednio poprzez przeglądarkę, wpisując adres ręcznie lub korzystając z zakładek. Linki w SMS-ach mogą prowadzić do stron, które wyglądają jak prawdziwe, ale są stworzone wyłącznie w celu kradzieży danych.
Zabezpieczenie urządzeń mobilnych
Korzystanie z programów antywirusowych na urządzeniach mobilnych może pomóc w wykrywaniu i blokowaniu podejrzanych linków oraz aplikacji. Regularne aktualizowanie systemu operacyjnego i aplikacji również zwiększa poziom ochrony przed znanymi zagrożeniami. Ponadto, warto włączyć funkcje, które informują o potencjalnie niebezpiecznych wiadomościach i połączeniach.
Stałe podnoszenie świadomości na temat zagrożeń związanych ze smishingiem jest ważne. Regularne szkolenia i informowanie pracowników oraz członków rodziny o najnowszych metodach oszustw mogą znacznie zmniejszyć ryzyko stania się ofiarą ataku. Wiedza na temat typowych technik stosowanych przez oszustów oraz sposobów ich unikania to najlepsza broń w walce z smishingiem.
Włączanie dwustopniowej weryfikacji (2FA) dla wszystkich możliwych kont internetowych znacząco zwiększa poziom bezpieczeństwa. Nawet jeśli oszust zdobędzie login i hasło, potrzebny będzie drugi poziom uwierzytelnienia, zazwyczaj kod wysyłany na telefon lub generowany przez aplikację uwierzytelniającą.
Zgłaszanie podejrzanych wiadomości do odpowiednich instytucji, takich jak CERT Polska, pomaga w monitorowaniu i zwalczaniu smishingu. Dzięki zgłoszeniom, organy odpowiedzialne za bezpieczeństwo mogą szybko reagować na nowe zagrożenia, blokować podejrzane domeny i informować społeczność o aktualnych metodach oszustów.
Należy zawsze zachować ostrożność przy podawaniu danych osobowych lub finansowych, nawet w odpowiedzi na wiadomości, które wydają się pochodzić od zaufanych źródeł. Warto zawsze zweryfikować żądanie przez bezpośredni kontakt z daną instytucją, korzystając z oficjalnych kanałów komunikacji.
