• Polski
  • English
  • Deutsch
  • Kolejne fałszywe e-maile – tym raz ktoś podszywał się pod Ministerstwo Finansów. Na co zwracać uwagę odbierając pocztę elektroniczną?

    Ostatnimi czasy wiele mówiło się o masowym wysyłaniu do osób lub podmiotów, które rozpoczęły działalność gospodarczą, wezwań do uiszczenia opłaty za ujawnienie ich danych w rejestrach (ewidencjach) przedsiębiorców.

    Dopiero dokładne zapoznanie się z treścią przesyłanych pism pozwalało na stwierdzenie, że rzeczywistym nadawcą nie jest ani Centralna Ewidencja i Informacja o Działalności Gospodarczej, ani Krajowy Rejestr Sądowy, a podmioty podszywające się pod te instytucje państwowe. Opłaty, do zapłaty których wzywani byli przedsiębiorcy, oscylowały zazwyczaj wokół kwoty 100 – 200 zł i zgodnie z treścią wezwań miały stanowić wynagrodzenie należne za wpis do prywatnych rejestrów prowadzonych przez nadawców korespondencji. Listy zawierające tego typu wezwania były na tyle sugestywne, że niestety spora część ich adresatów zdecydowała się na uiszczenie kwot objętych wezwaniami. Z pewnością, olbrzymie znaczenie odgrywało posługiwanie się przez nadawców tego typu korespondencji nazwami niemalże identycznymi do państwowych rejestrów – jako przykłady wskazać można Krajowy Rejestr Sądowny czy Centralny Rejestr Firm i Działalności Gospodarczej.

    Poczta elektroniczna – doskonałe narzędzie dla oszustów

    O opisanych powyżej nieuczciwych praktykach przypominamy nie bez przyczyny. Na łatwowierności, nieostrożności, by nie rzec naiwności ludzkiej żerują również oszuści posługujący się w ramach swojej przestępczej działalności nowymi technologiami.

    Ostatnie doniesienia medialne wskazują na to, że prym w zakresie wykorzystywanych przez oszustów metod wiedze właśnie podszywanie się pod instytucje (organy) publiczne w masowo wysyłanych wiadomościach e-mail. Metoda ta nazywana jest powszechnie „phishingiem”. Podstawowym celem oszustów w tego typu przypadkach jest wyłudzenie od odbiorcy komunikatu określonych informacji (np. danych logowania do banku czy szczegółów karty kredytowej) lub nakłonienie go do podjęcia określonych działań (np. otwarcia załącznika zawierającego złośliwe oprogramowanie czy kliknięcia w przesłany link odsyłając do zainfekowanej strony internetowej).

    Wspólnym mianownikiem fałszywej korespondencji elektronicznej jest umiejętne dobranie tematu kierowanych komunikatów mailowych. W większości przypadków dotyczą one bowiem aspektów kluczowych i newralgicznych z perspektywy interesów odbiorców, co niestety negatywnie odbija się na czujności i zdrowym rozsądku adresatów.

    Fałszywe e-maile dotyczące kontroli podatkowej

    Jednym z ostatnich, głośnych przypadków phishingu było podszywanie się przez oszustów pod Ministerstwo Finansów. W tej konkretnej sprawie, autor fałszywych komunikatów informował o „wyznaczeniu kontroli dochodów” lub „ukrywaniu dochodów”. Do e-maila załączony był plik zawierający złośliwe oprogramowanie, którego otworzenie groziło zainfekowaniem komputera oraz utratą wszystkich zapisanych na nim danych.

    W treści wysyłanych maili znalazła się informacja sugerująca, że organy podatkowe wykryły  ukrycie przez adresata dochodów oraz wyznaczeniu w związku z takim działaniem kontroli podatkowej. Szczegółowe dane dotyczące planowanej kontroli oraz informacja o „sankcji” grożącej za niezgodne z prawem postępowanie miały, zgodnie z treścią wiadomości, znajdować się w załączonym do maila dokumencie.

    Na szczęście, proceder został dość szybko zauważony przez Ministerstwo Finansów, które na swojej stronie internetowej ostrzegało przed próbą oszustwa, przestrzegając przed otwieraniem załączonego do maila pliku.

    Opisany powyżej przypadek jest podręcznikowym przykładem podszywania się pod instytucje państwowe na potrzeby phishingu.

    Na co zwrócić uwagę odbierając pocztę elektroniczną?

    Rosnąca skala opisywanego zjawiska nie oznacza jednak, że jesteśmy bezbronni wobec phishingu. Podstawowym orężem w tego typu przypadkach jest wiedza i świadomość użytkownika na co zwracać szczególną uwagę w odbieranej poczcie elektronicznej.

    Przede wszystkim, jeżeli otrzymasz podejrzaną wiadomość e-mail, nigdy nie działaj pochopnie. Zanim odpowiesz na maila czy otworzysz przesłany załącznik, sprawdź następujące elementy wiadomości:

    • adres poczty elektronicznej, z którego wysłano wiadomość – osoby podszywające się pod instytucje publiczne nie mają dostępu do oficjalnych serwerów poczty elektronicznej tych instytucji. Jednakże w celu uwiarygodnienia wysyłanej wiadomości najczęściej dobierają identyfikator użytkownika (część adresu przed znakiem @) o nazwie zbliżonej do nazwy instytucji, pod która się podszywają. W celu wykrycia phishingu należy porównać pełną nazwę domenową serwera poczty wychodzącej (część adresu za znakiem @) z oficjalnymi domenami instytucji publicznych (organy władzy publicznej posługują się oficjalną domeną gov.pl) – jakiekolwiek rozbieżności powinny wzbudzić nasze podejrzenia;
    • treść wiadomości – dokładnie zapoznaj się z treścią przesłanego komunikatu. Twoje podejrzenia wzbudzić powinny prośby o podanie w odpowiedzi danych dostępowych do rachunku bankowego, szczegółów dotyczących karty kredytowej czy żądanie otwarcia załącznika;
    • język wiadomości – często zdarza się, że komunikaty przygotowane na potrzeby phishingu tłumaczone są na język polski przez automatyczne translatory, co powoduje, że treść maila zawiera wiele błędów językowych, w szczególności gramatycznych;
    • plik wykonywalny jako załącznik – pliki zawierające złośliwe oprogramowanie załączone do maili stanowią najczęściej tzw. pliki wykonywalne, a więc pliki, które mogą być uruchomione bezpośrednio w środowisku systemu operacyjnego. Tego typu pliki wyróżniają się rozszerzeniem .exe.

    Niezależnie od skontrolowania wiadomości elektronicznej, sugeruje się sprawdzenie czy na stronach internetowych podmiotów, rzekomo przesyłających maile, nie ma informacji o wysyłaniu fałszywych komunikatów elektronicznych.

    Jeżeli po dokładnej weryfikacji maila, wciąż istnieją wątpliwości co do jego autentyczności, dla zapewnienia bezpieczeństwa należy taką wiadomość usunąć.

    Jak uchronić się przed potencjalnymi konsekwencjami?

    Podstawowym sposobem na uchronienie siebie lub swojego przedsiębiorstwa przed negatywnymi konsekwencjami phishingu jest budowane i ciągłe rozwijanie świadomości w zakresie prawidłowego i bezpiecznego korzystania poczty elektronicznej.

    Skutecznym sposobem poszerzania wiedzy może być m.in. udział w specjalistycznych szkoleniach z zakresu bezpieczeństwa informacji, podczas których szczególną uwagę zwraca się na zagrożenia związane z korzystaniem z Internetu, w tym poczty elektronicznej. W tego typu przypadkach lepiej nie uczyć się na swoich błędach.

    Wróć do listy
    dr Dominik Lubasz

    dr Dominik Lubasz

    • Wspólnik
    • Radca prawny
    Skontaktuj się z autorem

    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    O czym warto pamiętać delegując pracownika za granicę?

    Rozwijając prowadzoną przez siebie działalność, przedsiębiorcy coraz częściej świadczą usługi na rzecz podmiotów z różnych krajów. Niejednokrotnie rozwój ten pociągać za sobą może także oddelegowanie swoich pracowników do pracy za …

    Obowiązek rzetelnego informowania konsumentów o ofertach promocyjnych.

    W wyroku z dnia 3 października 2014 r. (VI ACa 1954/13) Sąd Apelacyjny w Warszawie potwierdził istnienie po stronie przedsiębiorcy obowiązku rzetelnego, prawdziwego i wyczerpującego informowania konsumentów o ofertach promocyjnych. Orzeczenie …

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl