Większość Polaków obawia się, że w dobrej wierze przekaże swoje dane cyberoszustom

Polacy w ramach realizowanego dla BIK badania „Cyberbezpieczeństwo Polaków” wskazali, że zagrożenie phishingiem rośnie. Niemal 7 na 10 respondentów obawia się, że oszuści podszyją się pod jakąś instytucję albo osobę, a oni w dobrej wierze odpowiedzą i przekażą im swoje dane czy dostęp do konta.

"Okres składania rocznych zeznań podatkowych to dla cyberprzestępców dodatkowa okazja do nasilenia ataków z wykorzystaniem tej oszukańczej techniki" - ostrzegał Andrzej Karpiński, dyrektor Departamentu Bezpieczeństwa Grupy BIK, komentując dla PAP wyniki badania. W tym czasie, jak przestrzegł, przestępcy udają administrację skarbową. "Robią to na dużą skalę, bo z wyłudzaniem +na PIT+ spotkało się w ubiegłym roku aż 15 proc. Polaków" - dodał.

Typowe przykłady kampanii phishingowej

Wykorzystywanie wizerunku Urzędu Skarbowego to typowy przykład kampanii phishingowej – potwierdza Państwowy Instytut Badawczy NASK. Według jego analityków ataki z wykorzystaniem tej metody nasilają się zwłaszcza w okresie zbliżającego się terminu rozliczenia rocznych zeznań podatkowych. "Dlatego, bardzo ważna jest ostrożność i unikanie podawania swoich danych w reakcji na sms lub telefon o rzekomej nadpłacie lub niedopłacie podatku. Celem cyberprzestępców nie jest pomoc, lecz kradzież pieniędzy" - podkreślił Karpiński.

Z badania wynika, że według ankietowanych w największym stopniu nasiliło się zagrożenie wyłudzeniami metodą podszywania się pod instytucję publiczną (68 proc.) oraz zagrożenie phishingiem (68 proc.). Od jesieni do wiosny odsetek ankietowanych obawiających się phishingu wzrósł z 60 do 68 proc. Z próbami wyłudzeń na PIT, kontaktem w sprawie nadpłaty lub niedopłaty podatku zetknęło się w poprzednim roku 15 proc. badanych. Z kolei prób wyłudzenia z wykorzystaniem phishingu doświadczył co trzeci ankietowany.

Andrzej Karpiński zauważył, że z roku na rok oszuści usprawniają swoje metody przestępcze i coraz częściej łączą technologię z socjotechniką. Schemat, jak tłumaczy ekspert, jest jednak ten sam. Chodzi o to, by ofiara uwierzyła, że ma do czynienia z prawdziwą instytucją i kliknęła w link bądź ściągnęła sugerowaną aplikację. W ten sposób przestępcy mogą przechwycić jej dane osobowe albo przedostać się do systemu transakcyjnego jej konta.

"Typowe przypadki wyłudzeń to przede wszystkim manipulacja socjotechniczna w rozmowie telefonicznej, w której oszust podszywa się pod pracowników banku, firmy telekomunikacyjnej, policji, znanej instytucji finansowej czy firmy, wywołująca u rozmówcy poczucie zagrożenia, strach" – wyjaśnił Andrzej Karpiński z BIK. Zaznaczył, że w takiej sytuacji "jesteśmy skłonni do podania wrażliwych danych osobom, które oferują nam pomoc".

Okazuje się, że nawet część danych wystarczy do podjęcia próby zaciągnięcia kredytu czy podpisania umowy abonamentowej z dostawcą usług telekomunikacyjnych na cudze nazwisko. "Przestępcom nie zależy, aby proceder szybko wyszedł na jaw, więc mogą podać wymyślony adres do korespondencji. Nie dowiemy się prędko, że padliśmy ofiarą oszustwa, bowiem harmonogram spłaty rat czy wezwania do zapłaty nie trafią na nasz adres" - zwrócił uwagę Karpiński. W najgorszym scenariuszu o tym, że jesteśmy dłużnikami, dowiemy się od komornika, który zajmie nam pensję lub przyjdzie do domu zabezpieczyć wartościowe przedmioty - dodał.

Autorzy badania przywołali dane z raportu InfoDok przygotowanego dla Związku Banków Polskich, z którego wynika, że kwota udaremnionych prób wyłudzeń z wykorzystaniem danych osobowych utrzymuje się na poziomie 48 mln zł kwartalnie.

Forma elektroniczna jest najwygodniejszym sposobem rozliczenia PIT; pozwala m.in. oczekiwać szybszego otrzymania zwrotu podatku. Zwrócił na to uwagę Andrzej Karpiński: "Na tym żerują przestępcy. Podstawiają fałszywy komunikat o mniej lub bardziej spodziewanym zwrocie podatku lub koniecznej dopłacie. Ich próby padają na podatny grunt, szczególnie, gdy adresat działa odruchowo".

Karpiński zauważył, że "wabikiem" może być też informacja, iż niezwłoczne przekazanie im danych sprawi, że przelew z nadpłatą podatku zostanie zlecony jeszcze dziś.

Fiskus może przysłać maila np. z informacją, co podatnik powinien skorygować czy dosłać, ale zalecenia urzędnika należy realizować na rządowej stronie - zaznaczył Karpiński. Ostrzegł jednak, by nie klikać w załączonego nawet w takiej informacji linka. "Może on bowiem prowadzić do strony łudząco podobnej do rządowej. Nie wolno również otwierać załączników – można w ten sposób zainstalować sobie złośliwe oprogramowanie" - wyjaśnił.

Dodał, że administracja skarbowa, podobnie jak bank, nigdy nie żąda podawania danych osobowych poprzez mail czy telefon; dotyczy też to loginów czy haseł. "Przestępcy jednak wykorzystują socjotechniczne chwyty, abyśmy zapomnieli o tych zasadach" - wskazał.

Według Karpińskiego technologia umożliwia oszustom podszywanie się pod znane nam numery telefonów urzędów czy instytucji finansowych. "Mogą dać się złapać najbardziej zapobiegliwi, którzy pofatygują się, by sprawdzić numer na stronie internetowej urzędu. Pewni, że kontakt pochodzi od zaufanej strony, mogą podać kluczowe dla przestępczej działalności informacje" - wskazał. Według niego najbezpieczniej jest nie kontynuować rozmowy, nie korzystać z opcji „oddzwoń” w telefonie, ani nie odpowiadać na SMS-y z linkami. "Należy samemu wykonać połączenie na numer podany na oficjalnej stronie internetowej" – podkreślił szef bezpieczeństwa Grupy BIK.

Trzeba sprawdzić nadawcę

Z kolei w przypadku kontaktu mailowego, trzeba sprawdzić nadawcę. Nie tylko nazwę jaka się wyświetla, ale przede wszystkim adres. Jak przypomnieli eksperci, żaden urząd ani poważna instytucja nie wysyła informacji z darmowej skrzynki popularnych dostawców usług mailowych, na pewno też nie będzie się posługiwać domenami zarejestrowanymi w egzotycznych krajach. Np. rządowe adresy kończą się na „gov.pl”. Banki po "@" mają najczęściej swoją domenę, czyli adres swojej strony internetowej.

Joanna Charlińska z BIK wskazała, że w czasach, gdy większość spraw załatwiamy przez internet, wygodnym narzędziem prewencyjnym są automatyczne powiadomienia ostrzegawcze - "zwłaszcza gdy w grę wchodzi bezpieczeństwo naszych pieniędzy". Zaznaczyła, że "nawet najlepsze narzędzia informatyczne nie wystarczą, jeżeli sami nie zadbamy o swoje dane i podstawy bezpiecznego zachowania w sieci".

Badanie „Cyberbezpieczeństwo Polaków” wykonano w okresie marzec-kwiecień 2023 r. metodą CAWI na reprezentatywnej grupie 1057 Polaków w wieku 18 plus.