5 sierpnia 2021

Polak złodziei danych się nie boi (bo przecież okradają tylko tych znanych i bogatych). Lecz gdy zobaczy fałszywy e-mail… Ciekawe wyniki badań

Polak złodziei danych się nie boi (bo przecież okradają tylko tych znanych i bogatych). Lecz gdy zobaczy fałszywy e-mail… Ciekawe wyniki badań

Bolesne: tylko co czwarty internauta w Polsce bez problemów odróżnia „prawdziwy” e-mail od sprzedawcy prądu, firmy telekomunikacyjnej czy platformy e-commerce od porządnie zrobionej „fałszywki”, która jest tylko próbą wyłudzenia danych. Większość z nas nie wierzy, że może być atrakcyjnym celem dla złodziei danych i pieniędzy – wynika z badań Surfshark. Uważamy, że źli ludzie atakują tylko „ważniaków”, a nie nas, zwykłych ludzi. Tymczasem prawie 30 mln polskich adresów e-mail rocznie jest obiektem ataków phishingowych

Wakacje to czas, w którym rozluźniamy wszelkie zasady, od tych związanych z finansami (częściej wydajemy więcej pieniędzy, niż powinniśmy) po te dotyczące bezpieczeństwa (zmieniamy miejsca pobytu, częściej podłączamy się do przypadkowych sieci wi-fi, częściej kupujemy przez internet w zagranicznych e-sklepach, o których wcześniej nie słyszeliśmy).

Zobacz również:

Nieprzypadkowo właśnie lato jest jednym z ulubionych okresów aktywności ludzi, którzy wyłudzają od nas dane, kradną pieniądze albo nas szantażują („zdobyłem twoje hasła i dane, zapłać mi, to ich nie upublicznię”).

Prawie każdemu Polakowi próbowali już ukraść dane. Ile razy się udało?

Bolesna prawda jest taka, że większość naszych adresów e-mail jest już w rękach złych ludzi. Firmy zajmujące się bezpieczeństwem szacują liczbę „zaatakowanych” w ostatnim roku adresów e-mail na 39,7 mln. To prawie tyle, ilu jest w Polsce obywateli (oczywiście, trzeba pamiętać, że niektórzy nie mają żadnego konta e-mail, a inni mają po kilka).

Z danych, które podaje firma ACME Labs, wynika, że już sześć na dziesięć otrzymywanych przez nas e-maili i SMS-ów sygnowanych nazwami instytucji to próby oszustwa. Już 90% wirusów trafia na nasze komputery jako załączniki do e-maili, które nieopatrznie otwieramy. A z kolei prognozy organizacji Xopero wskazują, iż w 2021 r. na całym świecie tylko ataki z wykorzystaniem komunikacji elektronicznej (czyli e-maili i telefonów) spowodują na całym świecie 20 mld dolarów strat (równowartość jednej piątej polskiego budżetu państwa).

Nie wiemy, jaki procent tych prób wyłudzenia danych przez e-mail był skuteczny, ale eksperci policzyli, że złodzieje wyłudzili aż 78 różnych danych (od imienia i nazwiska po nasze hasła do ważnych miejsc w internecie).

W bankach ostatnio zapanowała panika, bowiem pojawiły się próby oszustw opartych na adresach e-mail i numerach telefonów ukradzionych z baz danych mediów społecznościowych – głównie Facebooka i Linkedina. Mając te dane, złodzieje najpierw wysyłają fałszywe e-maile, a potem podszywają się pod pracowników infolinii i próbują ukraść nam pieniądze. W maju i w czerwcu była to prawdziwa plaga i nawet ostrzegaliśmy przed tym na „Subiektywnie o Finansach”.

Jak się bronić? Niedawno opisywałem na „Subiektywnie o Finansach” pomysł jednej z firm technologicznych, która chce oznaczać e-maile specjalnym eZnaczkiem. Wcześniej każdy klient sam sobie go definiuje i dzięki temu wie, że jeśli przesyłka od jakiejś firmy nie zawiera eZnaczka to jest przestępstwem. Bankowcy z kolei próbują skanalizować korespondencję z klientami w aplikacji mobilnej – czyli klient i bank mają pewność, że nikt się pod nich nie podszywa, bo są w „bezpiecznej przestrzeni” po zalogowaniu, często biometrycznym.

Bankowcy twierdzą, że o ile ich klienci są już trochę bardziej odporni na próby phishingu (wyłudzanie danych za pomocą e-maili), to wobec podszywania się przez złodziei za pracowników banków są bezradni. Zbyt wielu klientów nie jest w stanie uwierzyć, że bardzo dobrze spreparowany telefon „z infolinii” może być próbą kradzieży danych lub pieniędzy.

Czytaj więcej o tym: Wysłała 122 000 zł do złodzieja. Tyle że w przelewie wszystko się zgadzało (subiektywnieofinansach.pl)

Przeczytaj koniecznie: Wyjątkowo podstępny phishing. A banki zapominają o zabezpieczeniu (subiektywnieofinansach.pl)

Badanie Surfshark o phishingu: jeśli jest dobry, dajemy się nabrać

Z badań przeprowadzonych ostatnio niestety nie wynika, byśmy byli mniej podatni na phishing e-mailowy. Niedawno zapytała o to losowo wybranych Polaków firma Surfshark, która oferuje w Polsce bezpieczny dostęp do internetu za pomocą połączenia VPN.

Badanie było przeprowadzone z udziałem 1124 respondentów w wieku od 18 do 64 lat (zróżnicowanych pod względem miejsca zamieszkania, płci, wykształcenia, dochodów i wieku) w formie ankiety internetowej (metodą CAWI). Pytano na temat bezpieczeństwa i prywatności w sieci.
Jakie wyniki? Niezbyt krzepiące. Co prawda prawie 90% internautów w Polsce twierdzi, że prywatność i bezpieczeństwo w sieci są ważne, ale większość z nich (94%) nie potrafiła wskazać największych zagrożeń, które na nich czyhają (brak szyfrowania wiadomości e-mail, otwarte sieci wi-fi, phishing, ransomware itp.).

To jednak jest jakoś tam wytłumaczalne. Nie musimy umieć nazwać zagrożeń, żeby wiedzieć, że np. nie należy otwierać załączników w mailach od nieznanych osób, że warto aktualizować na bieżąco oprogramowanie antywirusowe oraz pilnować haseł. Gorzej, że z badań wyszło, iż słabo „czytamy” zagrożenia wynikające z fałszywych e-maili. Respondentom pokazano trzy wiadomości e-mail: dwie próbujące wyłudzić informacje i jedną uczciwą. Następnie poproszono ich o wskazanie tej wiadomości, która nie była phishingiem.

Tylko 23% respondentów podało prawidłową odpowiedź! Dodatkowo wszystkie odpowiedzi uzyskały podobny wynik, więc nie można wykluczyć, że część osób wskazała prawidłową odpowiedź ponieważ… strzelała. Ale nawet jeśli tak nie jest, to bardzo niedobrze, że tylko co czwarty Polak jest w stanie odróżnić phishing od zwykłego e-maila.

Tak naprawdę bowiem korespondencja od złodziei i oszustów zwykle powinna budzić podejrzenia (niepoprawna polszczyzna, podejrzane prośby kierowane do odbiorcy, próba pozyskania danych, których żadna uczciwa firma od nas nie może wymagać…). W tym konkretnym przypadku (badania na zlecenie Surfshark) podsunięto ludziom relatywnie dobrze zrobiony phishing. Lepszy niż przeciętny. Ale warto pamiętać, że przestępcy, którzy zajmują się jego „produkcją” też idą z duchem czasu i phishing będzie coraz bardziej profesjonalny i podobny do „prawdziwych” e-maili.

Phishing - badanie Surfshark
Phishing – badanie Surfshark

„Kto by tam chciał mnie okraść?”. Niepokojące wyniki badań Surfshark

Jeżeli chodzi o podejmowanie działań w celu zapewnienia sobie bezpieczeństwa w sieci, tylko jeden internauta na pięciu przyznał, że poszukuje w internecie informacji na temat tego, jak się chronić. Jednocześnie 38% respondentów przyznało, że nie wiedzieliby co zrobić, gdyby ktoś ich zhakował, czyli po prostu złamał hasła i przechwycił wrażliwe dane.

Co zrobić jeśli ktoś mnie zhakował?
Co zrobić jeśli ktoś mnie zhakował?

To oczywiście nie jest proste pytanie, ale jest pewien katalog czynności „higienicznych”, których wykonanie zalecają w takich sytuacjach eksperci. Po pierwsze oczywiście zmiana haseł. Po drugie jeśli mogły wyciec dane umożliwiające zaciągnięcie na nasze dane kredytów bankowych – wykupienie usług monitoringu. Po trzecie wzmocnienie zasieków, czyli zdefiniowanie dla najważniejszych usług dwuczynnikowej autoryzacji logowania.

Inny kłopot, który wyszedł w badaniach, polega na tym, że internauci nie doceniają wartości swoich danych osobowych. Z jednej strony nie cenią zbyt wysoko dyrektywy RODO, która ma je chronić, a z drugiej strony uważają, że ryzyko ich zaatakowania jest mniejsze niż w rzeczywistości. Badanym wydaje się, że złodzieje nie czyhają na ich dane („bo i po co?”), lecz na dane osób zamożnych lub wpływowych.

Kto chciałby okraść mnie z danych? Badania Surfshark
Kto chciałby okraść mnie z danych? Badania Surfshark

Co ciekawe, więcej osób obawia się inwigilacji ze strony rządu (65%) niż wycieku swoich prywatnych zdjęć. Wyniki wyraźnie pokazują, że internauci nie doceniają wartości swoich danych osobowych. Wielu z nas po prostu nie wierzy, że źli ludzie mogliby się po nie schylić. A to niestety się dzieje. Pełne wyniki badań przeprowadzonych dla Surfskark znajdziecie tutaj.

Przeczytaj również: Nas również dopadł wyciek danych z Facebooka

Czytaj teżPrywatność w sieci. Jak chronić ją przed hakerami, złodziejami, szpiegami i… rządem?

Źli ludzie testują naszą naiwność. Jeśli trafią na ofiarę, łatwo się nie odczepią

Każdego dnia mam na biurku kilka e-maili od ludzi okradzionych przez internet. Pierwszym krokiem do takiej kradzieży bardzo często jest phishing. Udane pozyskanie czyichś danych przez e-mail sprawia, że dana osoba jest na celowniku złodzieja i będzie on próbował różnymi ścieżkami pozyskać kolejne dane.

Większość osób nie zdaje sobie jeszcze sprawy z tego, że handel danymi to świetnie prosperujący biznes. Na nielegalnych stronach internetowych handluje się danymi osobowymi, które osiągają ceny od kilkudziesięciu złotych do kilkunastu tysięcy złotych za komplet danych o konkretnej osobie. Opłaca się więc nas „atakować” i wyłudzać dane.

Często bowiem jest tak, że zupełnie inna grupa wyłudza od nas dane, a zupełnie inna – taka, która je odkupiła – zajmuje się próbą zaciągnięcia na nasze dane kredytu albo ukradnięcia nam pieniędzy. DLatego to wszytsko nie jest takie proste. Łatwiej zapobiegać, niż leczyć… jak to się mówi.

———

WYJEŻDŻASZ NA WAKACJE? NIE ZAPOMNIJ O KARCIE WIELOWALUTOWEJ

Wyjeżdżasz na wakacje za granicę? Potrzebujesz karty wielowalutowej. To najtańsza metoda płatności za zakupy w walutach obcych. Od niedawna taką kartę oferuje m.in. platforma walutowa Cinkciarz.pl (Partner bloga „Subiektywnie o Finansach”). Dostępna jest fizyczna karta (15 zł za wydanie, bez opłat za obsługę) lub wirtualna karta (za darmo, służy do płatności w internecie oraz zbliżeniowych płatności telefonem czy zegarkiem). W obu wariantach kartą można płacić w złotych i 160 innych walutach – bez wysokich spreadów prowizji i ukrytych opłat. Zapraszam do wypróbowania karty. Konto na Cinkciarz.pl oraz wielowalutową kartę na wakacje MOŻNA ZAMÓWIĆ TUTAJ. Warto to zrobić z wyprzedzeniem, żeby karta zdążyła dotrzeć do portfela przed wyjazdem. Pod tym linkiem jest recenzja tej karty, którą zamieściliśmy na „Subiektywnie o Finansach” zaraz po jej debiucie.

NA WAKACJACH NIE DAJ SIĘ INWIGILOWAĆ

Na wakacje jedź z VPN-em. Chcesz chronić swoją prywatność podczas przeglądania stron internetowych? Bezpieczeństwo i dyskrecję w sieci level hard za rozsądną cenę znajdziesz z usługą VPN od Surfshark. Przetestowałem to rozwiązanie na sobie i polecam. Zobacz, przed jakimi niebezpieczeństwami chroni Cię VPN. Zapraszam też do poczytania, jak chronić swoją prywatność przed złodziejami, hakerami, szpiegami i… rządem.

——–

źródło obrazka tytułowego: Bermix Studio/Unsplash

Subscribe
Powiadom o
6 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Radek
1 rok temu

„ Na nielegalnych stronach internetowych”

Jest jakiś katalog takich nielegalnych stron? Kto i na jakiej podstawie stwierdził ich nielegalność? Polskie sądy czy międzynarodowy trybunał? W jaki sposób to się odbywa?

Lesko
1 rok temu

Proszę pokazać ten obrazek z testem emaili phisingowych w pełnej rozdzielczości tak żeby się dało przeczytać treść tych emaili to sobie czytelnicy bloga zrobią test. Teraz nic się nie da z tego obrazka przeczytać.

Jacek
1 rok temu

(…)Jak się bronić? Niedawno opisywałem na „Subiektywnie o Finansach” pomysł jednej z firm technologicznych, która chce oznaczać e-maile specjalnym eZnaczkiem. (…)
A czytelnicy ufają bardziej PGP…

Jacek
1 rok temu

(…)Na nielegalnych stronach internetowych handluje się danymi osobowymi, które osiągają ceny od kilkudziesięciu złotych do kilkunastu tysięcy złotych za komplet danych o konkretnej osobie.(…)
Coś mi się nie klei… dane dostępowe do kont mailowych kosztuje parę centów za 10 tys. kont.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!