04/03/2020

Otrzymałeś wiadomość e-mail? Sprawdź ją 2 razy!

Piszemy o kradzieżach danych (W tym środków finansowych) podczas korzystania z skrzynki e-mail i sposobach na uchronienie się przed tym.

Jeszcze kilkanaście lat temu pracownicy polskich firm bardzo rzadko spotykali się z próbami kradzieży danych z systemów informatycznych, z których korzystają w codziennej pracy. W ostatnich latach sytuacja uległa diametralnej zmianie. W związku ze wzrostem wartości informacji, rozwojem sieci internet oraz ze zwiększeniem aktywności cyberprzestępców, aktualnie do takich ataków w stosunku do jednego użytkownika dochodzi wielokrotnie w ciągu jednej doby. W efekcie każdy z pracowników korzystających z poczty elektronicznej polskich firm, pomimo zastosowania wielu środków bezpieczeństwa w firmowej sieci, co najmniej raz dziennie otrzymuje budzące wątpliwości e-maile od nieznanych nadawców. Niejednokrotnie otwierając tego typu informacje nie zdaje sobie sprawę jak niebezpieczne to może być to dla niego, jak i dla całego systemu informatycznego.

Dlaczego tak się dzieje? Zajęci obowiązkami służbowymi, często tracimy czujność. W szczególności, gdy wiadomości, które otrzymujemy wysyłane są z adresów e-mail, które są bardzo zbliżone do adresów zidentyfikowanych instytucji lub osoby które identyfikujemy. Czasami wręcz „odruchowo” otwieramy załączniki dołączone do przesyłanej nam wiadomości.

Zaledwie w 2019 r. miało miejsce wiele sytuacji, w których przestępcy wysłali wiadomości e-mail, podszywając się pod np. pod Zakład Ubezpieczeń Społecznych, Ministerstwo Finansów lub Generalnego Inspektora Ochrony Danych Osobowych (nazwa GIODO  wciąż jest ropoznawalna i budzi zaufanie pomimo faktu iż sam organ w maju 2018r.  został zastąpiony przez PUODO- Prezesa Urzędu Ochrony Danych).

Każdy z tych podmiotów wydał w tym zakresie stosowne oświadczenia:

https://www.gov.pl/web/finanse/uwaga-na-falszywa-korespondencje-mailowa  (Ministerstwo finansów)

https://www.zus.pl/o-zus/aktualnosci/-/publisher/aktualnosc/1/uwaga-na-oszustow-podszywajacych-sie-pod-zus-/2759396 (ZUS)

https://www.gov.pl/web/finanse/uwaga-na-falszywe-e-maile-o-zamiarze-wszczecia-kontroli-skarbowej (US)

https://uodo.gov.pl/pl/138/1218

Oprócz prób podszywania się pod znane instytucje, otrzymujemy dziesiątki korespondencji e-mail w których przestępcy tworzą fikcyjne dane firmowe lub wykorzystają dane istniejących firm,  najczęściej wzywając do zapłaty lub przesyłając w załączeniu oferty.

Przestępcy często wykorzystują pliki spakowane w formie ZIP lub RAR, aby zainstalować złośliwe oprogramowanie na komputerze.  Warto więc zawsze zwracać uwagę na nazwę pliku oraz rozszerzenie, w jakim jest zapisany (np. pliki z takimi rozszerzeniami jak „exe”, „vbs”, „scr”, „ pdf.exe” , „doc.scr”. „pdf.rar”, „pdf.7z”, „xlsm” ) oraz  na dokładną nazwę adresu e-mail z którego otrzymano korespondencję. Często celowo wprowadzone są „literówki” (zmiana jednej litery) czyli podobieństwo nazwy. Niejednokrotnie adres e-mail nadawcy różni się od adresu autentycznego jedną literą lub skrótem domeny.

Należy również wystrzegać się otwierania linków umieszczonych bezpośrednio w wiadomości e-mail. Przy odbiorze korespondencji elektronicznej, a w szczególności przy otwieraniu załączników, zawsze należy zachować wzmożoną czujność i nie otwierać niezweryfikowanych załączników oraz linków umieszczonych w poczcie e-mail. Dokładnie odczytujmy wiadomość e-mail oraz identyfikujmy adres e-mail, z którego został wysyłany. W przypadku wątpliwości  co do otrzymanej  treści, zawsze warto wcześniej zadzwonić do osoby, która przesłała nam e-mail, skontaktować się z działem informatyki lub osobami odpowiedzialnymi za bezpieczeństwo informacji w firmie.

W związku z powyższym,zwracajmy szczególną uwagę na wiadomości e-mail informujące o otrzymanie oferty czy wyglądające jak powiadomienie lub wezwanie z instytucji publicznych, banków itp. Weryfikacja zawsze jest potrzebna i warto na nią poświęcić kilka dodatkowych minut. Uzasadnione jest również zachowanie środków bezpieczeństwa w stosunku do załączników w postaci faktur przesyłanych fikcyjnych kont.