CSIRT NASK, zespół ekspertów zajmujących się bezpieczeństwem cybernetycznym, wydał ostrzeżenie o nowym ataku phishingowym skierowanym przeciwko klientom banku BNP Paribas. Cyberprzestępcy próbują wyłudzić dane logowania do kont bankowości internetowej, podszywając się pod administratorów systemu bankowego.
Schemat ataku phishingowego
Atak przypomina wiele wcześniejszych prób przejęcia dostępu do kont bankowości elektronicznej. Przestępcy stosują następującą taktykę:
* Masowe rozsyłanie wiadomości e-mail, licząc na dotarcie do klientów BNP Paribas.
* Treść maila informuje o rzekomym zagrożeniu zamknięcia konta bankowego z powodu niezastosowania się do „wymogów regulacyjnych”.
* Wywieranie presji czasu, zachęcając do natychmiastowego działania.
* Umieszczenie w wiadomości linku prowadzącego do fałszywej strony, która wyłudza dane logowania do bankowości internetowej.
Jak rozpoznać oszustwo?
NASK zwraca uwagę na kilka kluczowych elementów, które powinny wzbudzić czujność odbiorców:
* Adres mailowy nadawcy: „Adres mailowy zupełnie niepodobny do oficjalnej nazwy rzekomego nadawcy (lub nawet 'trochę podobny’, ale jednak tylko podobny) to ważny czynnik alarmujący, że możesz mieć do czynienia z oszustwem” – ostrzega NASK.
* Treść wzbudzająca emocje: Wiadomości mające na celu wywołanie pozytywnych lub negatywnych emocji są typowym zabiegiem socjotechnicznym stosowanym przez przestępców.
* Presja czasu: Naleganie na natychmiastowe działanie to kolejna taktyka mająca na celu skłonienie ofiary do pochopnych decyzji.
Jak się chronić?
NASK zaleca następujące środki ostrożności:
* Uważne sprawdzanie adresów nadawców otrzymywanych wiadomości e-mail, szczególnie jeśli ich treść wzbudza niepokój lub zawierają załączniki.
* Zachowanie szczególnej ostrożności wobec wiadomości wywierających presję czasu lub wzbudzających silne emocje.
* W przypadku podejrzanych wiadomości, zaleca się zgłoszenie ich poprzez stronę incydent.cert.pl.
Chronić swoje dane
Klienci wszystkich banków, nie tylko BNP Paribas, powinni zachować szczególną czujność przy odbieraniu wiadomości e-mail rzekomo pochodzących od ich instytucji finansowych. Pamiętajmy, że banki nigdy nie proszą o podanie danych logowania poprzez e-mail czy link w wiadomości. W razie jakichkolwiek wątpliwości, najlepszym rozwiązaniem jest bezpośredni kontakt z bankiem poprzez oficjalną infolinię lub wizyta w oddziale.
Według danych z 2020 roku, straty finansowe z powodu phishingu wyniosły w Polsce ponad 130 milionów złotych (Źródło: Kaspersky Lab). Jednocześnie, z badań przeprowadzonych przez Cybersecurity Ventures wynika, że Polska jest jednym z krajów najbardziej narażonych na ataki cybernetyczne w Europie (Źródło: Cybersecurity Ventures).
Bądźmy czujni i chronić swoje dane przed cyberprzestępcami.
