{"id":2692,"date":"2021-07-06T16:01:45","date_gmt":"2021-07-06T16:01:45","guid":{"rendered":"https:\/\/aplaw.pl\/?p=2692"},"modified":"2021-07-06T16:06:32","modified_gmt":"2021-07-06T16:06:32","slug":"przyjety-przez-rzad-sposob-o-powiadamianiu-o-wygranej-w-loterii-szczepionkowej-moze-byc-wykorzystywany-przez-przestepcow-w-tym-za-pomoca-mechanizmu-tzw-phishingu-komentuje-natalia-polanska-na-praw","status":"publish","type":"post","link":"https:\/\/aplaw.pl\/en\/publications\/przyjety-przez-rzad-sposob-o-powiadamianiu-o-wygranej-w-loterii-szczepionkowej-moze-byc-wykorzystywany-przez-przestepcow-w-tym-za-pomoca-mechanizmu-tzw-phishingu-komentuje-natalia-polanska-na-praw\/","title":{"rendered":"The method adopted by the government about communicating the prize in the national vaccine lottery can be used by hackers for phishing – Natalia Pola\u0144ska comments on prawo.pl"},"content":{"rendered":"

Zamiast hulajnogi wy\u0142udzenie danych – ryzykowny spos\u00f3b powiadamiania o nagrodzie<\/strong><\/p>\n

O wygranej w loterii szczepionkowej Totalizator Sportowy powiadomi szcz\u0119\u015bliwc\u00f3w SMS-em. Dla uproszczenia, opatrzonym linkiem do o\u015bwiadczenia, kt\u00f3re trzeba wype\u0142ni\u0107, by otrzyma\u0107 nagrod\u0119. Tyle \u017ce taki pomys\u0142 mo\u017ce si\u0119 okaza\u0107 gratk\u0105 dla oszust\u00f3w – wiadomo\u015b\u0107 \u0142atwo spreparowa\u0107, a formularz podrobi\u0107. Wiele podobnych przekaz\u00f3w codziennie atakuje u\u017cytkownik\u00f3w smatfon\u00f3w.
\nNie ze mn\u0105 takie numery, hakerze \u2013 m\u00f3wi\u0142a w powtarzanej do znudzenia radiowej reklamie \u201eksi\u0119gowa z d\u0142ugoletnim sta\u017cem\u201d, odmawiaj\u0105c klikni\u0119cia fa\u0142szywego linka do rzekomo niezap\u0142aconej faktury. Ciekawe jednak, ile os\u00f3b zg\u0142aszaj\u0105cych si\u0119 do loterii wyka\u017ce si\u0119 podobn\u0105 czujno\u015bci\u0105.<\/p>\n

Wiadomo\u015b\u0107 tylko z numeru “Loteria”<\/strong><\/p>\n

Z regulaminu loterii szczepionkowej wynika, \u017ce laureat dostanie SMS-a z informacj\u0105 o wygranej – do wiadomo\u015bci “do\u0142\u0105czony jest link umo\u017cliwiaj\u0105cy wype\u0142nienie w\u0142a\u015bciwego o\u015bwiadczenia w wersji elektronicznej”. A zatem z smsa o wygranej od razu b\u0119dzie mo\u017cna przej\u015b\u0107 do strony, na kt\u00f3rej podamy swoje dane.<\/p>\n

Czy akurat Totalizatorowi Sportowemu, to ju\u017c odr\u0119bna kwestia. Zreszt\u0105 ju\u017c samo nieuwa\u017cne klikni\u0119cie potencjalnie mo\u017ce narazi\u0107 u\u017cytkownika na k\u0142opoty \u2013 np. mo\u017ce pobra\u0107 na telefon szkodliwe oprogramowanie. Oczywi\u015bcie w regulaminie znajdziemy informacj\u0119, \u017ce jako nadawca SMS-a musi figurowa\u0107 numer o nazwie \u201eLoteria\u201d. I tak, ka\u017cdy uczestnik skrz\u0119tnie potwierdzi\u0142, \u017ce regulamin przeczyta\u0142 i zrozumia\u0142 \u2013 pytanie tylko, ilu zrobi\u0142o to rzeczywi\u015bcie i ze zrozumieniem.<\/p>\n

Rz\u0105d ostrzega przed phishingiem<\/strong><\/p>\n

O wy\u0142udzaniu danych i pieni\u0119dzy przy pomocy link\u00f3w prowadz\u0105cych do podstawionych podmiot\u00f3w ostrzega Kancelaria Prezesa Rady Ministr\u00f3w na swoich stronach internetowych. W komunikacie podkre\u015bla m.in., \u017ce oszu\u015bci podszywaj\u0105 si\u0119 pod firmy kurierskie, energetyczne, portale og\u0142oszeniowe, a nawet Policj\u0119 po to, by wy\u0142udzi\u0107 dane i pieni\u0105dze.<\/p>\n

Radzi, by nie da\u0107 si\u0119 ponie\u015b\u0107 emocjom i weryfikowa\u0107 strony, co oczywi\u015bcie w przypadku Narodowej Loterii Szczepionkowej jest mo\u017cliwe, pytanie tylko, czy przy tak masowej akcji nie powinno istnie\u0107 zabezpieczenie, kt\u00f3re ochroni przed pochopnym klikni\u0119ciem osoby, kt\u00f3re nie s\u0105 bieg\u0142e w kwestiach technologicznych albo za\u015blepione perspektyw\u0105 ol\u015bnienia s\u0105siad\u00f3w now\u0105 hulajnog\u0105 w og\u00f3le nie spojrz\u0105 na numer nadawcy. Na pytanie Prawo.pl o taki potencjalny bezpiecznik Totalizator Sportowy odpowiada, \u017ce informacjom dotycz\u0105cym SMS-\u00f3w po\u015bwi\u0119ci\u0142 znaczn\u0105 cz\u0119\u015b\u0107 komunikatu prasowego, a akcj\u0119 komunikacyjn\u0105 w tym zakresie prowadzi r\u00f3wnie\u017c PKO BP.<\/p>\n

Pomys\u0142 jednak ryzykowny<\/strong><\/p>\n

Jak ocenia Natalia Pola\u0144ska, prawniczka w Kancelarii APLaw specjalizuj\u0105cej si\u0119 m.in. w kwestiach cyberbezpiecze\u0144stwa, wspomniany spos\u00f3b mo\u017ce by\u0107 wykorzystywany przez przest\u0119pc\u00f3w, w tym za pomoc\u0105 mechanizmu tzw. phishingu, czyli podszywania si\u0119 pod inne podmioty, w celu wy\u0142udzenia informacji.<\/p>\n

– Wys\u0142anie SMS z linkiem, kieruj\u0105cym do fa\u0142szywego formularza wy\u0142udzaj\u0105cego dane nie stanowi obecnie problemu. Spos\u00f3b powiadamiania uczestnik\u00f3w o wygranej wydaje si\u0119 zatem bardzo ryzykowny \u2013 uwa\u017ca. Dodaje, \u017ce wed\u0142ug obserwacji specjalist\u00f3w CSIRT NASK, w por\u00f3wnaniu z rokiem 2019 liczba odnotowanych atak\u00f3w phishingowych w Polsce wzros\u0142a w 2020 roku o 117 proc.<\/em><\/p>\n

– Skoro uczestnik Loterii mo\u017ce wzi\u0105\u0107 w niej udzia\u0142 loguj\u0105c si\u0119 do swojego internetowego konta pacjenta, to wydaje si\u0119, \u017ce i do celu zwi\u0105zanego z odbiorem nagrody mo\u017cna by\u0142o wykorzysta\u0107 ten portal. Znacznie bardziej bezpieczne by\u0142oby bowiem powiadomienie uczestnik\u00f3w o wygranej SMSem, ale niezawieraj\u0105cym \u017cadnego linka, a jedynie instrukcj\u0119 o konieczno\u015bci zalogowania si\u0119 do IKP. Przy takim mechanizmie uczestnik musia\u0142by sam wej\u015b\u0107 na odpowiedni\u0105 stron\u0119 internetow\u0105, bez korzystania z linka zawartego w SMS-ie \u2013 m\u00f3wi.<\/em><\/p>\n

Ekspertka podkre\u015bla, \u017ce pozorne u\u0142atwienie proponowane przez organizator\u00f3w Loterii mo\u017ce przyczyni\u0107 si\u0119 do licznych incydent\u00f3w, w tym do potencjalnego wy\u0142udzenia danych osobowych od milion\u00f3w uczestnik\u00f3w. Pewnym ratunkiem jest mo\u017cliwo\u015b\u0107 zweryfikowania na stronie organizatora, czy ten numer faktycznie zosta\u0142 wylosowany \u2013 tyle \u017ce to opcja jedynie dla bardziej uwa\u017cnych u\u017cytkownik\u00f3w. Na pewno nie wykluczy to wysokiego ryzyka skutecznego dzia\u0142ania przest\u0119pc\u00f3w.<\/p>\n

Article:
\nhttps:\/\/www.prawo.pl\/prawo\/loteria-narodowego-programy-szczepien-a-ryzyko-phishingu,509263.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[\u2026]<\/span><\/p>\n","protected":false},"author":1,"featured_media":2693,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-2692","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-publications"],"_links":{"self":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/comments?post=2692"}],"version-history":[{"count":0,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2692\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media\/2693"}],"wp:attachment":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media?parent=2692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/categories?post=2692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/tags?post=2692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}