Oszuści mają nowy sposób na nękanie. Spam trafia już nie tylko na e-mail
Jeszcze kilka lat temu spam kojarzył się przede wszystkim z zapchaną skrzynką pocztową. Reklamy podejrzanych produktów, fałszywe wygrane, wiadomości od rzekomych milionerów i prośby o pilny przelew można było zwykle znaleźć w jednym miejscu — w folderze „Spam”.
Dzisiaj sytuacja wygląda zupełnie inaczej.
Oszuści przenieśli się na telefony i komunikatory. Wysyłają wiadomości SMS, piszą na WhatsAppie, Messengerze i Telegramie. Coraz częściej próbują też przestraszyć odbiorcę informacją, iż znają jego adres e-mail, numer telefonu, nazwisko albo inne dane.
Wiadomość może wyglądać niewinnie:
„Czy to przez cały czas twój adres e-mail?”
„Mam twoje dane. Musimy porozmawiać”.
„Znam twój adres i wiem, z jakich stron korzystasz”.
„Skontaktuj się ze mną, zanim będzie za późno”.
Taki komunikat ma przede wszystkim wywołać strach i zmusić człowieka do odpowiedzi. Gdy odpowiemy, oszust otrzymuje potwierdzenie, iż numer telefonu jest aktywny, a po drugiej stronie znajduje się prawdziwa osoba.
To, iż oszust zna adres e-mail, nie oznacza włamania
Znajomość naszego adresu e-mail nie pozostało dowodem na przejęcie telefonu lub skrzynki pocztowej.
Adres mógł pochodzić ze starego wycieku danych, sklepu internetowego, newslettera, portalu ogłoszeniowego, publicznego profilu albo książki adresowej innej osoby. Przestępcy kupują i łączą takie bazy, zestawiając numer telefonu z adresem e-mail, imieniem, nazwiskiem, a czasami również miejscem zamieszkania.
Następnie wykorzystują te informacje, aby wiadomość wyglądała na przygotowaną specjalnie dla konkretnej ofiary.
To zwykła manipulacja. Oszust podaje jedną prawdziwą informację, a następnie dopowiada resztę, licząc, iż przestraszony odbiorca uwierzy w przejęcie urządzenia lub konta.
Skala problemu jest ogromna. Według danych Kaspersky spam stanowił w dwa tysiące dwudziestym piątym roku prawie czterdzieści pięć procent światowego ruchu e-mailowego. Systemy firmy zablokowały ponad sto czterdzieści cztery miliony złośliwych załączników oraz ponad pięćset pięćdziesiąt cztery miliony prób wejścia na fałszywe strony.
Anti-Phishing Working Group odnotowała w samym pierwszym kwartale dwa tysiące dwudziestego piątego roku ponad milion ataków phishingowych. Organizacja zwracała też uwagę na masowe wiadomości wykorzystujące kody QR prowadzące do fałszywych stron lub złośliwego oprogramowania.
Oszustwo zaczyna się od krótkiej wiadomości
Pierwsza wiadomość zwykle nie zawiera jeszcze żądania pieniędzy. Ma jedynie sprowokować reakcję.
Może to być pytanie:
„Czy mogę z tobą porozmawiać?”
„Pamiętasz mnie?”
„Mam dla ciebie istotną informację”.
„Czy to twój adres?”
Po odpowiedzi rozpoczyna się adekwatna manipulacja. Oszust może podawać się za pracownika banku, policjanta, kuriera, członka rodziny, potencjalnego klienta albo przedstawiciela znanej firmy.
Czasami rozmowa trwa kilka dni. Przestępca buduje zaufanie, poznaje sytuację swojej ofiary, a dopiero później przesyła link, prosi o kod SMS, namawia do instalacji aplikacji lub żąda pieniędzy.
Jakie wiadomości powinny wzbudzić podejrzenie?
Szczególną ostrożność należy zachować, gdy nadawca:
• twierdzi, iż zna nasze dane lub przejął urządzenie,
• próbuje wywołać strach i wymusza natychmiastową reakcję,
• prosi o kliknięcie linku albo zeskanowanie kodu QR,
• chce otrzymać kod SMS, kod BLIK lub dane logowania,
• namawia do zainstalowania programu do zdalnego sterowania telefonem,
• proponuje łatwy zarobek, inwestycję albo pracę bez doświadczenia,
• informuje o rzekomej paczce, niedopłacie, mandacie lub blokadzie konta,
• prosi o kontynuowanie rozmowy na innym komunikatorze,
• żąda zapłaty w kryptowalucie,
• grozi ujawnieniem zdjęć, historii przeglądania albo prywatnych wiadomości.
W podobnych kampaniach oszuści wykorzystują także fałszywe kody QR, spreparowane zawiadomienia firmowe oraz wiadomości przypominające korespondencję działów księgowości lub kadr.
Ile czasu tracimy na walkę ze spamem?
Spam to nie tylko zagrożenie utratą pieniędzy. To również codzienna strata czasu.
Każdą podejrzaną wiadomość trzeba przeczytać, sprawdzić nadawcę, usunąć, zablokować albo zgłosić. Przedsiębiorca musi dodatkowo uważać, aby przez przypadek nie usunąć prawdziwego zamówienia, faktury czy zapytania klienta.
Poniższa tabela przedstawia prosty model obliczeniowy dla osoby pracującej około dwustu pięćdziesięciu dni w roku.
| 3 minuty | około 1 godziny | 12,5 godziny | około 1,5 dnia |
| 5 minut | około 1 godziny i 40 minut | prawie 21 godzin | ponad 2,5 dnia |
| 10 minut | około 3 godzin i 20 minut | prawie 42 godziny | ponad 5 dni |
| 15 minut | około 5 godzin | 62,5 godziny | prawie 8 dni |
| 20 minut | około 6 godzin i 40 minut | ponad 83 godziny | ponad 10 dni |
| 30 minut | około 10 godzin | 125 godzin | ponad 15 dni |
W jednoosobowej działalności choćby dziesięć minut dziennie oznacza stratę ponad pięciu pełnych dni pracy w ciągu roku.
W firmie zatrudniającej dziesięć osób strata rośnie do ponad czterystu godzin rocznie. To około pięćdziesięciu dni roboczych, podczas których pracownicy zamiast zajmować się klientami, zamówieniami i sprzedażą, przeglądają podejrzane wiadomości.
Do tego należy doliczyć czas poświęcony na zmianę haseł, kontakt z bankiem, odzyskiwanie konta, czyszczenie urządzenia albo wyjaśnianie klientom, iż wiadomość została wysłana przez oszusta.
Jak bronić się przed spamem i oszustami?
Najważniejsza zasada brzmi: nie działaj pod wpływem emocji.
Oszuści chcą, aby ich ofiara przestraszyła się, zdenerwowała albo uwierzyła w wyjątkową okazję. Pośpiech odbiera czas na spokojne sprawdzenie wiadomości.
Nie odpowiadaj na podejrzaną wiadomość
Nawet krótka odpowiedź „kim jesteś?” może potwierdzić, iż numer jest aktywny. Takie numery mogą później trafiać do kolejnych baz wykorzystywanych przez oszustów.
Nie klikaj w link
Adres strony może różnić się od prawdziwego tylko jedną literą. Nie należy też ufać linkowi wyłącznie dlatego, iż wiadomość zawiera logo banku, urzędu, firmy kurierskiej lub znanego sklepu.
Nie skanuj nieznanych kodów QR
Kod QR może prowadzić do fałszywego formularza logowania lub strony instalującej złośliwe oprogramowanie. W dwa tysiące dwudziestym piątym roku wykorzystywanie kodów QR w phishingu i fałszywych wiadomościach było już powszechną metodą omijania zabezpieczeń.
Nigdy nie przekazuj kodów
Kod SMS, kod autoryzacyjny, kod BLIK i kod do odzyskania konta są przeznaczone wyłącznie dla właściciela. Prawdziwy pracownik banku, operatora albo serwisu internetowego nie powinien prosić o ich podyktowanie.
Włącz logowanie dwuetapowe
Szczególnie ważne jest zabezpieczenie skrzynki e-mail, ponieważ to przez nią można odzyskać dostęp do wielu innych kont.
Najlepiej korzystać z aplikacji uwierzytelniającej lub klucza bezpieczeństwa. Sam kod SMS jest lepszy niż brak dodatkowego zabezpieczenia, ale może być podatny na próby wyłudzenia.
Używaj różnych haseł
Jedno hasło używane w kilku serwisach oznacza, iż wyciek z jednej strony może zagrozić wszystkim pozostałym kontom. Pomocny jest menedżer haseł, który tworzy i przechowuje długie, unikalne hasła.
Sprawdzaj informacje innym kanałem
Gdy wiadomość rzekomo pochodzi z banku, należy samodzielnie wpisać adres banku w przeglądarce albo zadzwonić pod oficjalny numer znajdujący się na karcie lub stronie internetowej.
Nie należy korzystać z numeru ani linku podanego w podejrzanej wiadomości.
Oddziel pocztę prywatną od zakupów i zapisów
Dobrym rozwiązaniem jest posiadanie osobnego adresu do bankowości i ważnych kont oraz drugiego do sklepów, newsletterów, konkursów i portali ogłoszeniowych.
Dzięki temu łatwiej rozpoznać oszustwo. o ile wiadomość o rzekomej blokadzie bankowej trafia na skrzynkę przeznaczoną wyłącznie do zakupów, powinna natychmiast wzbudzić podejrzenie.
Aktualizuj telefon i aplikacje
Aktualizacje usuwają błędy bezpieczeństwa wykorzystywane przez cyberprzestępców. Dotyczy to systemu telefonu, przeglądarki, komunikatorów i aplikacji bankowych.
Jak zgłosić podejrzaną wiadomość?
Podejrzanego SMS-a można przekazać do CERT Polska na bezpłatny numer 8080. Najlepiej użyć funkcji „Przekaż” lub „Prześlij dalej” i wysłać całą wiadomość bez usuwania linku.
Na numer 8080 można przesyłać zarówno SMS-y zawierające podejrzany odnośnik, jak i wiadomości bez linku. Podejrzane e-maile, strony internetowe oraz inne incydenty można zgłaszać poprzez formularz CERT Polska albo na adres [email protected].
W komunikatorze należy dodatkowo zablokować nadawcę i użyć funkcji „Zgłoś”.
Co zrobić po kliknięciu podejrzanego linku?
Jeżeli link został tylko otwarty, ale nie podaliśmy żadnych danych, należy zamknąć stronę i nie pobierać żadnych plików.
Jeśli wpisaliśmy hasło, trzeba natychmiast zmienić je na prawdziwej stronie serwisu. Należy także wylogować wszystkie aktywne sesje i sprawdzić ustawienia odzyskiwania konta.
Jeśli podaliśmy dane karty, kod BLIK, kod SMS lub dane bankowe, trzeba jak najszybciej skontaktować się z bankiem. Liczy się każda minuta.
Jeżeli zainstalowaliśmy aplikację wskazaną przez nieznaną osobę, telefon należy odłączyć od internetu i skonsultować jego sprawdzenie ze specjalistą. Szczególnie niebezpieczne są programy umożliwiające zdalne sterowanie ekranem.
Spam ma dziś wiele twarzy
Spam nie jest już tylko irytującą reklamą. Coraz częściej stanowi pierwszy etap oszustwa, kradzieży konta lub próby wyłudzenia pieniędzy.
Przestępcy kontaktują się jednocześnie przez e-mail, SMS i komunikatory. Łączą dane pochodzące z różnych wycieków, aby ich wiadomości wyglądały bardziej wiarygodnie. Korzystają również ze sztucznej inteligencji, dzięki której potrafią tworzyć teksty poprawne językowo i dopasowane do konkretnej osoby.
Dlatego najważniejszym zabezpieczeniem przez cały czas pozostaje ostrożność.
Nie klikaj. Nie odpowiadaj. Nie podawaj kodów. Sprawdź nadawcę innym kanałem. Podejrzaną wiadomość zgłoś i zablokuj.
Kilka minut poświęconych na spokojną weryfikację może uchronić przed utratą konta, danych i pieniędzy.
Najczęściej zadawane pytania
Czy znajomość mojego adresu e-mail oznacza włamanie?
Nie. Adres mógł pochodzić z publicznej strony, newslettera, sklepu internetowego lub wcześniejszego wycieku danych. O włamaniu mogą świadczyć dopiero obce logowania, zmiana hasła, nieznane wiadomości wysyłane z konta albo zmienione ustawienia bezpieczeństwa.
Czy można odpisać oszustowi, żeby przestał pisać?
Lepiej tego nie robić. Odpowiedź potwierdza, iż numer telefonu lub adres e-mail jest aktywny.
Gdzie zgłosić fałszywego SMS-a?
Podejrzany SMS można bezpłatnie przekazać na numer 8080.
Czy bank może prosić o kod SMS?
Kod służący do logowania lub zatwierdzenia operacji powinien pozostać tajny. Nie należy podawać go osobie dzwoniącej ani przesyłać w wiadomości.
Czy spam może przyjść przez WhatsApp lub Messenger?
Tak. Oszuści coraz częściej wykorzystują komunikatory, ponieważ wiadomość na telefonie wydaje się bardziej osobista i może wzbudzić większe zaufanie niż tradycyjny e-mail.
Czy blokowanie numerów ma sens?
Tak, chociaż oszuści często zmieniają numery. Blokowanie ogranicza kolejne wiadomości od tego samego nadawcy i pomaga komunikatorom rozpoznawać nadużycia.
GDZIE TRAFIAJĄ PIENIĄDZE Z PORTU I GAZ SYSTEMU. TRUDNE PYTANIA? NIE. TO ODPOWIEDZI MOGĄ BYĆ TRUDNE
GDZIE JEST TANIE PALIWO W ŚWINOUJŚCIU? ROZLICZAMY WYBORCZĄ OBIETNICĘ JOANNY AGATOWSKIEJ
ŚWINOUJŚCIE 360° – SPACER PO PLAŻY, PROMENADZIE I KOŁO WIATRAKA

Spam

8 godzin temu


![Święto Policji we Włodawie. Awanse dla 26 funkcjonariuszy i medale dla 13 mundurowych [ZDJĘCIA]](https://static2.supertydzien.pl/data/articles/xga-4x3-swieto-policji-we-wlodawie-awanse-dla-26-funkcjonariuszy-i-medale-dla-13-mundurowych-zdjecia-1784458904.jpg)









English (US) ·
Polish (PL) ·
Russian (RU) ·