Na początku maja złożyłem zamówienie w popularnym sklepie internetowym. Urządzenie, które chciałem kupić, nie było akurat dostępne w moim mieście, musiałem więc poczekać, aż obsługa przeszuka dla mnie magazyny w Polsce. Zajęło to kilka dobrych dni. Gdy urządzenie się odnalazło, zapłaciłem i wybrałem termin dostawy, dokładność podanych przeze mnie danych sprawdziłem kilka razy, aby uniknąć nieprzyjemnych sytuacji. Nikt przecież nie lubi długo czekać na swoją przesyłkę, a podanie złych danych mogłoby znacznie wydłużyć dostawę. W przeszłości miałem już kilka incydentów z kurierami, ale tym razem nie zawinił kurier. Dlaczego to wszystko wyjaśniam? O tym za chwilę.
Oszustwo "na Pocztę Polską". Prawie dałem się nabrać
Uzgodniłem ze sklepem, że przesyłka ma dotrzeć do mnie danego dnia między godziną 9:00 a 19:00. Czekałem więc w domu - nie ukrywam, że bardzo zależało mi na zamówionym urządzeniu, które, jak się okazało, nie jest tak łatwo dostępne. Jednak o godz. 9:30 niespodziewanie dostałem SMS-a, że dostawa mojej paczki została zatrzymana z powodu błędnego adresu. Poproszono mnie również, żebym jeszcze raz podał adres zamieszkania. W SMS-ie był link (zasłaniamy go ze względów bezpieczeństwa), który kierował mnie na stronę rzekomo należącą do Poczty Polskiej, gdzie mogłem wpisać swoje dane. Przeczytałem tam, że kurier będzie następnie próbował jeszcze raz dostarczyć mi przesyłkę, a im szybciej podam dane, tym lepiej dla mnie.
Oszust napisał do mnie, podał się za Pocztę Polską Dominik Moliński / Gazeta.pl
Nie ukrywam, że byłem zirytowany całą sytuacją - tego dnia jeszcze przed rozpoczęciem pracy chciałem załatwić kilka spraw na mieście. Ostatecznie emocje wzięły górę - kliknąłem link na stronie internetowej, a w formularzu podałem swoje dane: wpisałem imię i nazwisko oraz mój dokładny adres zamieszkania, a także numer telefonu i adres e-mail. Wówczas pojawił się drugi formularz i zacząłem się zastanawiać, jak długo potrwa wypełnianie tych wszystkich okienek. Przeczytałem, że mam dokonać niewielkiej opłaty za to, że kurier nie mógł dostarczyć przesyłki za pierwszym razem. Pomyślałem sobie: "Dobra, zapłacę te kilka złotych. Chcę już mieć to z głowy". Dopiero w ostatnim momencie zorientowałem się, że podaję numer karty i datę jej ważności, chociaż link do strony wygląda podejrzanie. Ale dopiero na samym końcu zauważyłem rzecz najważniejszą - strona internetowa przypominała stronę Poczty Polskiej, a przecież paczkę miał mi dostarczyć kurier firmy InPost.
)
Czekałem na paczkę. Wtedy napisał do mnie oszust
Odłożyłem telefon, schowałem kartę płatniczą i jeszcze przez chwilę miałem wątpliwości, ale po kilku minutach dotarło do mnie, że napisał do mnie oszust, a ja prawie dałem się nabrać. Przecież wiele razy robiłem zakupy przez internet i nikt nie oczekiwał ode mnie, abym w takiej sytuacji podawał tak newralgiczne dane. Zresztą pod żadnym pozorem nie wolno podawać numeru PESEL czy numerów karty płatniczej. Wiele razy pisałem o oszustwach na łamach next.gazeta.pl, a teraz niewiele brakowało, abym to ja padł ofiarą oszustwa "na Pocztę Polską". Chwila dzieliła mnie od tego, aby oszust wyczyścił mi konto bankowe lub wziął na mnie kredyt. Poniekąd wstyd mi się do tego przyznawać, ale zrozumiałem, że to może spotkać każdego.
Poczta Polska niejednokrotnie ostrzegała przed tego typu oszustwami. "Nigdy nie odpowiadaj na żądania podania danych personalnych, haseł i/lub loginów do kont. Uważaj na błędy w treściach odnośników (np. zamieniona kolejność liter lub podstawienie innych liter, cyfr), jeśli takie znajdziesz, prawdopodobnie jest to oszustwo" - ostrzegano. W komunikacie Poczta podała również kilka przykładów. Oszuści mogą podmieniać znaki na inne, które są do siebie bardzo podobne, np. cyfrę 1 jako małą literę "L" lub dużą literę "i" jako małe "L". Jednak w moim przypadku, gdy w pośpiechu górowały emocje, tych drobnych szczegółów po prostu nie zauważyłem.
)
Phishing wciąż jest bardzo skuteczny. Ekspertka z CERT Polska: Oszuści są sprytni, ale my musimy być sprytniejsi
Tylko skąd oszust mógł wiedzieć, że akurat tego dnia czekałem na przesyłkę od kuriera? - Myślę, że tutaj zaszła koincydencja czasowa, gdyż kampanie phishingowe [podszywanie się pod inną osobę lub instytucję - przyp. red.] mają charakter masowy i trafiają jednocześnie do wielu osób - powiedziała w rozmowie z Gazeta.pl Iwona Prószyńska z CERT Polska - zespołu, który zajmuje się monitorowaniem sytuacji w cyberprzestrzeni i reagowaniem na incydenty. Ekspertka ds. cyberbezpieczeństwa wyjaśniła mi, że kampanie o charakterze phishingowym są jednocześnie adresowane do kilkuset tysięcy, a nawet do kilku milionów osób. - Statystyka mówi, że za każdym razem oszust trafi na kogoś, kto właśnie czeka np. na paczkę. To jest "metoda talerza spaghetti" - jeśli rzuci się nim o ścianę, to coś się przyklei. Zawsze znajdzie się osoba, która jest w takiej sytuacji, do której wiadomość cyberprzestępcy będzie nawiązywać. To jest siła phishingu, czyli socjotechnika i sprzyjające okoliczności - podkreśliła.
)
Iwona Prószyńska przypomniała również o opublikowanym niedawno raporcie CERT Polska pt.: "Krajobraz bezpieczeństwa polskiego Internetu w 2022 roku". - W ubiegłym roku odebraliśmy 322 tys. zgłoszeń. To się przełożyło na przeszło 39 tys. obsłużonych incydentów, z czego ponad 25 tys. do był phishing - wyjaśniła ekspertka. - Oprócz tego, że cyberprzestępcy doskonalą techniki z zakresu psychologii i pojawiają się nowe elementy, które mają uśpić naszą czujność, strony internetowe oszustów są tak dobrze przygotowane, że na oszustwie często łapią się nawet osoby znające się na cyberbezpieczeństwie - zaznaczyła.
Jak możemy się chronić przed phishingiem? Oczywiście należy zwracać uwagę na każdy szczegół w wiadomości otrzymanej od oszusta, ale jak pokazał mój przypadek, trzeba również zachować zimną krew. - Oszuści są sprytni, ale my musimy być sprytniejsi. Kluczem jest edukacja. Jeśli będziemy mieli świadomość, że phishingu wciąż jest tak dużo, na jakie elementy musimy zwracać uwagę, to będziemy mogli skuteczniej z nim walczyć - powiedziała ekspertka z CERT Polska.
Iwona Prószyńska przypomniała, że zgłaszając podejrzane linki, chronimy również inne osoby przed oszustami. - W CERT Polska zawsze udzielamy odpowiedzi na SMS-y z linkami. Jeśli link kieruje do strony o charakterze phishingowym, wpisujemy ją na listę ostrzeżeń, co doprowadza do jej zablokowania i w ten sposób chronimy inne osoby. W 2022 r. zablokowaliśmy łącznie ponad 20 milionów prób wejścia na strony oszustów, które zostały wpisane na listę dzięki zgłoszeniom i proaktywnym działaniom analityków CERT Polska. Ten wynik pokazuje, że 20 milionów razy uchroniliśmy kogoś przed przykrymi konsekwencjami - podkreśliła ekspertka ds. cyberbezpieczeństwa.
