W ostatnim czasie odnotowano w Polsce 2 niebezpieczne ataki phishingowe, które podszywały się pod ZUS oraz Ministerstwo Finansów. Kliknięcie w link zawarty w wiadomościach tekstowych mogło skutkować przekazaniem wrażliwych danych w niepowołane ręce. To nie pierwszy przypadek, gdy przestępcy korzystają z ważnej dla przedsiębiorców nazwy instytucji. Kilka miesięcy wcześniej polskie firmy mogły odczuć ataki phishingowe podszywające się pod banki. Nowy przypadek jest o tyle ciekawy, iż uderza we wrażliwy element prowadzenia własnej działalności.
Podejrzany SMS od Ministerstwa Finansów
Fałszywa wiadomość SMS zawierała informację o długu skarbowym i numerze sprawy wraz z linkiem do zewnętrznej strony internetowej. Ministerstwo Finansów poinformowało, że nie jest nadawcą wiadomości i nie przekazuje w ten sposób informacji o należnościach skarbowych, a wiadomość wraz z linkiem odsyłającym jest fałszywa. Resort dodatkowo podkreślił jak duże znaczenie dla bezpieczeństwa danych ma ostrożne i rozważne podchodzenie do tego typu wiadomości SMS i email.
Przykładowa treść fałszywej wiadomości SMS brzmiała i wyglądała następująco:
Dług skarbowy nr 2891/18
zostanie wkrótce przekazany
do egzekucji. Kwota do spłaty
6,85 zł., aby uniknąć zajęcia
konta (link do strony www)
Wiadomość email od ZUS z wezwaniem do zapłaty zaległych składek – to phishing
Drugim, równie interesującym atakiem był email z ZUS, z którego przedsiębiorca mógł dowiedzieć się o zaległych składkach. Instytucja wydała już stosowny komunikat, w którym informuje, że nie przekazuje w ten sposób danych rozliczeniowych oraz wezwań do zapłaty. Ponadto, phishingowy mail był wysyłany z adresów:
- kancelaria.zus@wp.pl;
- zus-skladki@wp.pl;
- zus._kontakt@wp.pl;
- ZUS@gov.pl_zus_info@wp.pl.
Jedyną formą komunikacji elektronicznej zawierającej tego typu dane, wykorzystywanej przez ZUS jest Platforma Usług Elektronicznych (ZUS PUE). Jednak tylko w przypadku, gdy płatnik wyraził na to zgodę. Dodatkowo każda informacja przekazana przez ZUS jest opatrzona imieniem i nazwiskiem konkretnego pracownika ubezpieczalni.
W przypadku otrzymania maila od ZUS z informacją o niedopłacie składek, pod żadnym pozorem nie wolno odpowiadać ani otwierać załączników zawartych w wiadomości. Może to doprowadzić do wycieku danych oraz zainfekowaniu komputera złośliwym oprogramowaniem.
Podobne informacje spotkały również w przeszłości użytkowników serwisów społecznościowych m.in na Facebooku.
Jak chronić się przed phishingiem?
W przypadku podejrzenia, że otrzymana wiadomość może być fałszywa, należy bezwzględnie nie klikać w załączniki oraz linki, które zawiera. Dodatkowo warto skontaktować się z podmiotem, który podany jest jako nadawca w celu potwierdzenia autentyczności otrzymanej wiadomości.
Niezależnie od dobrych praktyk warto posiadać dodatkowo zainstalowaną ochronę antywirusową z modułem antyphishingowym. Zwłaszcza, gdy korzystasz z komputera służbowo lub dokonujesz na nim opłat i autoryzujesz się do prywatnych kont. Sprawdź polecane oprogramowanie antywirusowe, które wzmocni bezpieczeństwo i ochronę przed phishingiem.
