Nowa metoda phishingu. Oszuści atakują tegorocznych maturzystów

Phishing to metoda oszustwa, w której przestępcy podszywają się pod zaufane instytucje, by wyłudzić dane. Zakładamy, że ich ofiary to głównie osoby starsze, tymczasem nowa metoda phishingu jest wycelowana w najmłodszych, spośród tych, którym można już coś ukraść – tegorocznych maturzystów. Jak działa oszustwo "na rekrutację"? Jak rozpoznać podejrzane wiadomości i chronić swoje dane? Sprawdź 5 najważniejszych zasad.

Spis treści:

Czym jest phishing?
Nowa metoda oszustów. "Na rekrutację"
Jak nie paść ofiarą phishingu? 5 kluczowych zasad

Czym jest phishing?

Phishing, przypominający angielskie słowo "fishing" (łowienie ryb), to metoda oszustwa, w której cyberprzestępcy "łowią" swoje ofiary, używając przynęt w postaci SMS-ów (smishing) i e-maili. Podszywają się w nich pod różne instytucje, takie jak firmy kurierskie, urzędy, operatorzy telekomunikacyjni, a ostatnio także uczelnie wyższe.

Phishing to jeden z elementów inżynierii społecznej, czyli technik manipulacyjnych wykorzystywanych do wyłudzania poufnych informacji. Celem oszustów jest nakłonienie ofiary do podjęcia działań zgodnych z ich zamierzeniami, takich jak kliknięcie w link czy zalogowanie się na fałszywej stronie internetowej.

Prowadzi to do kradzieży danych osobowych i haseł, które przestępcy wykorzystują do oszustw finansowych – przysłowiowego "czyszczenia konta".

Nowa metoda oszustów. "Na rekrutację"

24 maja tegoroczni maturzyści zakończyli zmagania w ramach egzaminów dojrzałości. Kolejny etap to rekrutacja na studia, która właśnie rozpoczyna się na polskich uczelniach. Niezdrowe zainteresowanie tym procesem wykazują także oszuści – jak widać cyberprzestępcy nie ograniczają się tylko do okradania mniej biegłych w świecie cyfrowym osób starszych.

Naukowa i Akademicka Sieć Komputerowa (NASK) ostrzega przed nową kampanią phishingową wymierzoną przede wszystkim w studentów (przyszłych i obecnych), choć cierpią na niej także uczelnie wyższe.

Oszuści podszywają się pod administratorów Uniwersyteckich Systemów Obsługi Studiów (USOS) różnych uniwersytetów i wysyłają fałszywe wiadomości e-mail. Wiadomości te mają sprawiać wrażenie "krytycznie ważnych", wymagających natychmiastowej reakcji ze strony potencjalnej ofiary (presja osłabia krytyczne myślenie i wzbudza niepokój, przez co łatwiej ulegamy manipulacji).

Sprawdź: Jak dbać o hasła? Poznaj 10 zasad prawidłowego korzystania z haseł w internecie

Może być to wymóg uzupełnienia jakichś danych na serwerze (pod groźbą usunięcia z rekrutacji, czy wykreślenia z listy studentów) albo konieczności aktualizacji skrzynki pocztowej. Kliknięcie w link (np. "Sprawdź swoje konto" czy "Uzupełnij dane w ciągu 24h") przenosi użytkowników na fałszywą stronę, gdzie oszuści wyłudzają dane takie jak adres e-mail, numer indeksu, hasło, PESEL itd.

pishing zabezpieczenia — Jeśli odruchowo zalogujesz się na podejrzanej stronie jak najszybciej zmień hasło i wyloguj się ze wszystkich urządzeń. Przed wieloma oszustwami, głównie finansowymi, ustrzeże nas też zastrzeżenie numeru PESEL w aplikacji mObywatel / fot. Canva Pro

Wyłudzone w ten sposób dane mogą być wykorzystane do przeróżnych celów, oszustw finansowych, kradzieży tożsamości itd. Dana szajka nie musi wcale sama zajmować się dalszymi etapami procederu – wrażliwe dane same w sobie są cennym "towarem", który potem wykorzystują inne, wyspecjalizowane grupy.

Jak nie paść ofiarą phishingu? 5 kluczowych zasad

Specjaliści NASK uczulają przede wszystkim na treści wywołujące niepokój – to jeden z najlepszych sposobów na odsianie dużej części cyberoszustw, nie tylko w przypadku phishingu "na rekrutację".

Prawdopodobieństwo wpadnięcia w pułapkę zastawioną przez oszustów jeszcze bardziej zmniejszy zapamiętanie czterech innych, prostych zasad.

1. Weryfikuj adresy e-mail. Upewnij się, że adres e-mail nadawcy jest autentyczny i zgodny z domeną organizacji, na którą się powołuje. Zwróć uwagę, czy adres e-mail nie różni się od podpisu pod wiadomością.

2. Oceń jakość e-maila. Sprawdź, czy e-mail wygląda profesjonalnie i czy użyte logotypy oraz stopki z danymi nadawcy są zgodne ze standardami organizacji. Sprawdź poprawność językową tekstu (literówki, brak polskich znaków diakrytycznych, np. „ą” czy „ę”).

3. Zwracaj uwagę na linki. Dokładnie analizuj adresy stron internetowych, na które przenoszą linki i przyciski w e-mailach i sms-ach. Sprawdź, czy strona korzysta z zabezpieczonego protokołu (czy link zaczyna się od https:, a nie http:).

4. Weryfikuj treść wiadomości. Zweryfikuj treść e-maila, np. dzwoniąc do dziekanatu czy odpowiedniej komórki innej instytucji lub wyszukując w Internecie możliwe do ustalenia informacje.

"Jeśli jednak dasz się złapać i podasz swoje dane logowania, jak najszybciej zmień hasło. Jeśli dany portal udostępnia taką opcję – zaznacz, żeby wylogować Cię ze wszystkich urządzeń, na których twoje konto jest obecnie zalogowane. W przypadku poczty może to być komputer, telefon czy tablet" – radzi Piotr Szymański, kierownik Zespołu ds. Cyberbezpieczeństwa Wojskowej Akademii Technicznej (WAT) cytowany na stronach Wojska Polskiego.

W przypadku oszustwa "na rekrutację" i wszelkich innych form phishingu, podejrzane wiadomości należy zgłaszać przez stronę incydent.cert.pl.