14 maja 2024

Smishing to odmiana phishingu polegająca na umieszczaniu w wiadomościach SMS 'linków’ podobnych do prawdziwych.

Sprawiają 'one’ wrażenie, jakby pochodziły np. od instytucji publicznej. Kliknięcie jednak w taki 'link’ rodzi zagrożenia kradzieży danych osobowych albo środków pieniężnych ofiary.

Jak poinformowało Ministerstwo Cyfryzacji, ruszył właśnie system telegraf.cert.pl służący do zgłaszania wzorców fałszywych wiadomości SMS. Do systemu podłączyli się już przedsiębiorcy telekomunikacyjni, którzy będą blokować oszukańcze SMS-y.

Funkcjonowanie nowego systemu opiera się na zgłaszaniu podejrzanych SMS-ów na numer 8080. Na tej podstawie opracowywany jest wzorzec fałszywej wiadomości SMS, za co odpowiadają eksperci CSIRT NASK. Następnie wzorce trafiają do podłączonych do systemu operatorów sieci komórkowych. Ci kolei wprowadzają je do swoich systemów w celu ich blokowania. W konsekwencji SMS-y zgodne z wzorcem są blokowane już na etapie ich wysyłania przez operatora i nie trafiają do odbiorcy.

Jak się chronić przed atakami typu smishing?

• Podobnie jak w przypadku phishingu tradycyjnego, rozsyłanego pocztą email musimy pamiętać o zasadzie ograniczonego zaufania. Zanim wejdziemy w link przesłany w wiadomości zweryfikujmy, czy jest ona prawdziwa.
• Najlepszą metodą na weryfikację, czy przesłana wiadomość jest prawdziwa, jest kontakt z podmiotem/firmą, od której ją otrzymaliśmy. Aby uniknąć kontaktu z oszustem, nie należy dzwonić ani odpisywać na otrzymaną wiadomość. Najlepiej sprawdzić kontakt na oficjalnej stronie usługodawcy.
• Zawsze sprawdzaj, czy adres strony, na której jesteś, jest prawdziwy. Jeśli zawiera literówkę lub różni się od tego, z którego zawsze korzystałeś, zamknij przeglądarkę.
• Uważaj na wiadomości, które wzbudzają w Tobie strach, panikę lub ponaglają Cię do podjęcia szybkich działań.
• Żaden bank ani inna instytucja nie będzie Cię prosić o podanie danych logowania, zwłaszcza haseł. Jeśli otrzymasz takie żądania bądź czujny – to oszuści.
• Korzystaj z uwierzytelniania dwuskładnikowego we wszystkich usługach, w jakich masz taką możliwość, a zwłaszcza w bankowości elektronicznej.  W ten sposób zwiększasz bezpieczeństwo swoich danych oraz uniemożliwiasz przestępcom przejęcie twojego konta.
• Jeśli, otrzymasz fałszywą wiadomość SMS, zgłoś ją do zespołu CERT Polska na numer 799-448-084.

Zapraszam do obejrzenia krótkiego filmiku o tym, jak bronić się przed smishing’iem: https://youtu.be/k0xGvsH_J6A?feature=shared

Autor: dr Marlena Płonka – Pełnomocnik ds. Zarządzania Systemem Bezpieczeństwa Informacji

Źródło: Strona internetowa oraz kanał YouTube Ministerstwa Cyfryzacji, poradyodo.pl

26 września 2023

Aktualnie głównymi instrumentami weryfikacji nadawcy poczty są SPF, DMARC i DKIM. Niepoprawne skonfigurowanie tychże mechanizmów (podnoszących bezpieczeństwo poczty elektronicznej) naraża podmioty na duże ryzyko – daje bowiem sygnał cyberprzestępcom, że możliwe jest podszywanie się pod wiadomości dowolnego nadawcy.

 A dlaczego te mechanizmy są tak ważne?

Otóż jeżeli podmiot z nich nie korzysta, to naraża się na wysokie ryzyko. Daje bowiem cyberprzestępcom możliwość wysyłania fałszywych wiadomości, w których mogą oni podszyć się pod dowolnego nadawcę z domeny tego podmiotu. Właśnie dlatego niektórzy dostawcy poczty traktują jako SPAM e-maile przychodzące z domen niewykorzystujących tych mechanizmów.

 A czy przepisy regulują kwestię tychże mechanizmów?

Owszem, od 25 września 2023 roku obowiązuje ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Jej przepisy – po pierwsze, nakładają na przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej obowiązki związane z tymi mechanizmami. Po drugie, podmioty realizujące zadania publiczne zobowiązane są do korzystania z poczty elektronicznej stosującej mechanizmy SPF, DKIM oraz DMARC weryfikujące nadawcę wiadomości.

 A co w ogóle oznaczają te mechanizmy?

 SPF (ang. Sender Policy Framework) to mechanizm bezpieczeństwa poczty elektronicznej, który chroni przed podszywaniem się pod nadawcę wiadomości e-mail.

 DMARC (ang. Domain-based Message Authentication, Reporting and Conformance) to z kolei protokół uwierzytelniania wiadomości e-mail. Został on tak zaprojektowany, by dać właścicielom domen poczty e-mail możliwość jej ochrony przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail.

 DKIM (ang. Domain Keys Identified Mail) to metoda uwierzytelniania wiadomości e-mail, która pozwala nadawcom zapobiegać zmianie treści wiadomości podczas procesu dostarczania.

Autor: dr Marlena Płonka – Pełnomocnik ds. Zarządzania Systemem Bezpieczeństwa Informacji

Źródło: CERT Polska

12 sierpnia 2022

O bezpieczeństwo danych osobowych należy dbać zawsze, w tym będąc na wakacjach – oszuści w tym czasie są bowiem szczególnie aktywni … wykorzystując rozemocjonowanych podróżujących, by przechwycić ich dane czy pieniądze.

Warto więc podczas wakacji stosować kilka podstawowych zasad, by nie narazić swoich ani firmowych danych na niebezpieczeństwo:

• Zrób kopię zapasową przed wyjazdem – W przypadku kradzieży, zagubienia czy zniszczenia urządzenia, na którym masz zapisane dane, odzyskasz je z kopii;
• Zaszyfruj telefon/komputer – Wyjazd z urządzeniem, które nie jest zabezpieczone hasłem, może umożliwić dostęp do zapisanych na urządzeniu informacji osobom nieuprawnionym;
• Stosuj możliwie złożone hasła – Rekomenduje się długi ciąg znaków, w tym cyfry, duże litery i znaki specjalne … przy czym stosuj różne hasła do zasobów firmowych, mediów społecznościowych czy bankowości internetowej – w przypadku bowiem kradzieży jednego hasła, pozostałe Twoje zasoby zabezpieczone innym hasłem będą bezpieczne;
• Unikaj publicznego Wi-Fi – Wprawdzie publiczne Wi-Fi nie jest czymś obiektywnie złym, jednak należy uwzględnić pewne ryzyko, dlatego warto zwiększyć bezpieczeństwo instalując VPN, który pozwala na szyfrowanie połączenia z siecią;
• Unikaj publicznych komputerów – Dostęp do nich mogą mieć przecież także osoby o złych intencjach, dlatego też należy zredukować liczbę wpisywanych na nich danych do minimum;
• Służbowy laptop „na plaży” to raczej nie najlepszy pomysł – Warto przed wyjazdem skonsultować to z pracodawcą stosując się jednocześnie do wdrożonych w Twojej firmie wytycznych dot. cyberbezpieczeństwa. Utrata bowiem danych firmowych może być podwójnie kosztowna i bolesna – dla podróżującego i dla pracodawcy.

Autor: dr Marlena Płonka – Pełnomocnik ds. Zarządzania Systemem Bezpieczeństwa Informacji