W ostatnich dniach pojawiły się doniesienia o wiadomościach SMS, które rzekomo miała wysyłać Polska Grupa Energetyczna. Dotyczyły "uregulowania należności", a komunikat zawierał informację o "zaplanowanym odłączeniu energii elektrycznej". To zaplanowana operacja cyberprzestępców. - W treści SMS-a mamy informację o nieopłaconym rachunku, by u odbiorcy wzbudzić poczucie strachu, poczucie paniki, że jeżeli on za ten rachunek nie zapłaci, to odetną mu prąd. Stosują sztuczkę psychologiczną, polegającą na tym, żeby użytkownika nastraszyć. Wiedzą, że jeżeli się przestraszy, będzie działał pod presją, szybko. Wtedy jest duża szansa, że uda się go oszukać - wyjaśnia Paweł Piekutowski z CSIRT KNF, czyli zespołu reagowania na incydenty bezpieczeństwa przy Komisji Nadzoru Finansowego. Przestępcom zależy, by potencjalna ofiara działała bez namysłu, w pośpiechu. Wówczas istnieje szansa, że odbiorca fałszywej wiadomości ulegnie taktyce oszustów. SMS od PGE. Schemat działania cyberprzestępców W treści wiadomości SMS najczęściej jest link, który prowadzi do fałszywej strony PGE oraz do fałszywej strony bankowości elektronicznej. - Jeżeli użytkownik na fałszywej stronie bankowości wprowadzi swój login i hasło, w tym samym momencie oszuści logują się na jego konto bankowe i próbują je wyczyścić - mówi Piekutowski. Następnie użytkownik otrzymuje kolejną wiadomość SMS, którą ma potwierdzić transakcję. Bank wysyła taką wiadomość w momencie, kiedy przestępcy, zalogowani zdobytymi danymi, zlecają wykonanie przelewu. Ofiara ataku wprowadza znajdujący się w wiadomości kod, a bank realizuje płatność. Przed atakiem można się jednak uchronić, zwracając uwagę na trzy szczegóły. Obrona przed atakiem. Trzy kroki - Po pierwsze, użytkownik powinien zachować szczególną czujność, zanim kliknie w link. Następnie powinien zwrócić szczególną uwagę zanim wprowadzi login i hasło do bankowości elektronicznej - podkreśla Piekutowski. - Jeżeli wprowadza te dane, to zawsze powinien się upewnić czy znajduje się na stronie banku i czy ktoś mu tej strony nie podsunął właśnie za pośrednictwem podejrzanego SMS-lub wiadomości mailowej - dodaje. W momencie wyboru sposobu płatności użytkownik znajduje się na stronie z nietypowym adresem witryny. Te jednak, podobnie jak sama witryna, coraz częściej do złudzenia przypominają prawdziwe strony bankowości. Dlatego bardzo ważny jest trzeci krok. Za każdym razem, kiedy realizujemy transakcję, przychodzi do nas SMS lub prośba o jej potwierdzenie w aplikacji. Zawiera dokładną informację o płatności. Na przykład przelew w kwocie tysiąca złotych na dane konto. - Natomiast, jeżeli dochodzi do fałszywej transakcji, to tam znajdują się bardzo duże kwoty i próba wyczyszczenia całego naszego konta, więc użytkownik powinien też dokładnie czytać te potwierdzenia. Jeżeli wykonuje operację na 50 złotych czy 1 zł, powinien zweryfikować czy na potwierdzeniu jest ta złotówka, a nie na przykład 20 tysięcy - tłumaczy Piekutowski. Ataki cyberprzestępców. Różne scenariusze działania - Kampania z podszywaniem się pod PGE wraca do nas cyklicznie, jak bumerang. To atak, który utrzymuje się od ponad roku. SMS-y są rozsyłane do kilkunastu, kilkudziesięciu tysięcy użytkowników - zaznacza nasz rozmówca. CSIRT KNF śledzi takie działania dzięki zgłoszeniom, które otrzymuje oraz własnym systemom, automatycznie wychwytującym podejrzaną aktywność. Przestępcy podszywają się pod firmy, które mają wielu klientów. - Mają też inne scenariusze. Teraz bardzo częstym jest podszywanie się pod firmy kurierskie jak Inpost czy DHL, gdzie oszuści wysyłają analogicznego SMS, tylko z informacją, że na przykład paczka nie dotarła i musimy dopłacić złotówkę. Cel jest taki sam. Wysłać linka, żeby ktoś w niego kliknął i wprowadził login i hasło do bankowości - dodaje Piekutowski. Walka z internetowymi oszustami Przestępcy rozsyłają wiadomości w sposób masowy. Skąd zatem mają numery telefonów użytkowników? - Oszuści numery telefonów biorą najczęściej z wycieków z różnego rodzaju portali. Był taki wyciek na przykład na portalu Facebook, gdzie wiele numerów telefonów użytkowników wyciekło i później z tych baz danych korzystają oszuści - podkreśla Piekutowski. By walczyć z przestępcami CSIRT KNF współpracuje z CERT Polska, czyli z działającym od 1996 roku zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo sieci. CERT Polska funkcjonuje w strukturach NASK - Państwowego Instytutu Badawczego. Prowadzi listę domen, które są wykorzystywane przy cyberataków. Zespoły wspólnie uzupełniają tę listę, a wówczas niebezpieczne strony są blokowane. - Jeżeli użytkownik kliknie w link do takiej domeny, dostanie komunikat z informacją, że strona została zablokowana przez CERT Polska - mówi Piekutowski. CSIRT KNF w mediach społecznościowych prowadzi profil, na którym publikuje informacje o kolejnych oszustwach. Kolejnym narzędziem do walki ma być ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Projekt jest obecnie opiniowany, ma zostać przyjęty przez Radę Ministrów w trzecim lub czwartym kwartale 2022 roku. Zakłada między innymi, że przedsiębiorcy telekomunikacyjni będą zobowiązani do: podejmowania proporcjonalnych środków technicznych i organizacyjnych mających na celu przeciwdziałanie nadużyciom w komunikacji elektronicznej;blokowania krótkich wiadomości tekstowych, które zawierają treści zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK;blokowania połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję.Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych.Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wskazujące na wystąpienie smishingu. Smishing to atak socjotechniczny, który ma skłonić odbiorcę do określonego działania, polegający na wysyłaniu wiadomości SMS.Dostawcy poczty elektronicznej dla co najmniej 500 000 użytkowników, 500 000 aktywnych kont lub podmiotów publicznych, będą obowiązani stosować mechanizm uwierzytelnienia poczty elektronicznej. Ustawa pozwoli ograniczyć wysyłkę fałszywych wiadomości SMS. Pozostaje jednak problem ujęcia sprawców. Paweł Piekutowski przyznaje, że to "bardzo ciężki temat". - W internecie jest stosunkowo łatwo działać w sposób zanonimizowany. Po drugie dochodzi tutaj problem transgraniczności. W większości za tymi atakami stoją zagraniczne grupy zza wschodniej granicy. Trudno jest ścigać takie osoby w praktyce - mówi Interii. Problem cyberprzestępczości i fałszywych wiadomości jest poważny, ponieważ jak zaznacza Piekutowski, "zawsze na kilka tysięcy osób złapie się kilka, którym uda się wyczyścić konto, więc oszuści naprawdę czerpią z tego bardzo wymierne korzyści". PGE walczy z oszustami Ze skali problemu zdaje sobie również sprawę Polska Grupa Energetyczna. "W ostatnich dniach obserwujemy nasilającą się wysyłkę fałszywych wiadomości, w których oszuści podszywają się pod markę PGE. PGE Polska Grupa Energetyczna nie odpowiada za dystrybucję wspomnianych wiadomości" - zaznacza Biuro Prasowe PGE w odpowiedzi na nasze pytania o podejrzane wiadomości SMS. W poprzednich atakach cyberoszustów, których celem było zdobycie danych o kontach użytkowników, "zespół PGE-CERT był w stanie określić, gdzie te dane były przechowywane. Raport ze szczegółami był przekazany organom ścigania. Obecna kampania jest w trakcie analizy" - podkreśla spółka. Ponadto PGE oprócz informowania odpowiednich służb, prowadzi własne działania z zakresu cyberbezpieczeństwa i działania edukacyjne w swoich mediach społecznościowych. Co szczególnie istotne, spółka zaznacza, że kiedy wysyła informacje z przypomnieniami dotyczącymi płatności, można je w łatwy sposób zweryfikować. "W korespondencji PGE przypominającej o zaległych płatnościach oraz zamiarze wstrzymania dostaw energii elektrycznej zawsze podany jest numer klienta, numer faktury, wraz z terminem płatności i kwotą do zapłaty. Nie ma tam natomiast linku kierującego bezpośredniego do systemów płatności internetowych" - zaznacza Biuro Prasowe Polskiej Grupy Energetycznej.