Zamiast hulajnogi wyłudzenie danych – ryzykowny sposób powiadamiania o nagrodzie
O wygranej w loterii szczepionkowej Totalizator Sportowy powiadomi szczęśliwców SMS-em. Dla uproszczenia, opatrzonym linkiem do oświadczenia, które trzeba wypełnić, by otrzymać nagrodę. Tyle że taki pomysł może się okazać gratką dla oszustów – wiadomość łatwo spreparować, a formularz podrobić. Wiele podobnych przekazów codziennie atakuje użytkowników smatfonów.
Nie ze mną takie numery, hakerze – mówiła w powtarzanej do znudzenia radiowej reklamie „księgowa z długoletnim stażem”, odmawiając kliknięcia fałszywego linka do rzekomo niezapłaconej faktury. Ciekawe jednak, ile osób zgłaszających się do loterii wykaże się podobną czujnością.
Wiadomość tylko z numeru “Loteria”
Z regulaminu loterii szczepionkowej wynika, że laureat dostanie SMS-a z informacją o wygranej – do wiadomości “dołączony jest link umożliwiający wypełnienie właściwego oświadczenia w wersji elektronicznej”. A zatem z smsa o wygranej od razu będzie można przejść do strony, na której podamy swoje dane.
Czy akurat Totalizatorowi Sportowemu, to już odrębna kwestia. Zresztą już samo nieuważne kliknięcie potencjalnie może narazić użytkownika na kłopoty – np. może pobrać na telefon szkodliwe oprogramowanie. Oczywiście w regulaminie znajdziemy informację, że jako nadawca SMS-a musi figurować numer o nazwie „Loteria”. I tak, każdy uczestnik skrzętnie potwierdził, że regulamin przeczytał i zrozumiał – pytanie tylko, ilu zrobiło to rzeczywiście i ze zrozumieniem.
Rząd ostrzega przed phishingiem
O wyłudzaniu danych i pieniędzy przy pomocy linków prowadzących do podstawionych podmiotów ostrzega Kancelaria Prezesa Rady Ministrów na swoich stronach internetowych. W komunikacie podkreśla m.in., że oszuści podszywają się pod firmy kurierskie, energetyczne, portale ogłoszeniowe, a nawet Policję po to, by wyłudzić dane i pieniądze.
Radzi, by nie dać się ponieść emocjom i weryfikować strony, co oczywiście w przypadku Narodowej Loterii Szczepionkowej jest możliwe, pytanie tylko, czy przy tak masowej akcji nie powinno istnieć zabezpieczenie, które ochroni przed pochopnym kliknięciem osoby, które nie są biegłe w kwestiach technologicznych albo zaślepione perspektywą olśnienia sąsiadów nową hulajnogą w ogóle nie spojrzą na numer nadawcy. Na pytanie Prawo.pl o taki potencjalny bezpiecznik Totalizator Sportowy odpowiada, że informacjom dotyczącym SMS-ów poświęcił znaczną część komunikatu prasowego, a akcję komunikacyjną w tym zakresie prowadzi również PKO BP.
Pomysł jednak ryzykowny
Jak ocenia Natalia Polańska, prawniczka w Kancelarii APLaw specjalizującej się m.in. w kwestiach cyberbezpieczeństwa, wspomniany sposób może być wykorzystywany przez przestępców, w tym za pomocą mechanizmu tzw. phishingu, czyli podszywania się pod inne podmioty, w celu wyłudzenia informacji.
– Wysłanie SMS z linkiem, kierującym do fałszywego formularza wyłudzającego dane nie stanowi obecnie problemu. Sposób powiadamiania uczestników o wygranej wydaje się zatem bardzo ryzykowny – uważa. Dodaje, że według obserwacji specjalistów CSIRT NASK, w porównaniu z rokiem 2019 liczba odnotowanych ataków phishingowych w Polsce wzrosła w 2020 roku o 117 proc.
– Skoro uczestnik Loterii może wziąć w niej udział logując się do swojego internetowego konta pacjenta, to wydaje się, że i do celu związanego z odbiorem nagrody można było wykorzystać ten portal. Znacznie bardziej bezpieczne byłoby bowiem powiadomienie uczestników o wygranej SMSem, ale niezawierającym żadnego linka, a jedynie instrukcję o konieczności zalogowania się do IKP. Przy takim mechanizmie uczestnik musiałby sam wejść na odpowiednią stronę internetową, bez korzystania z linka zawartego w SMS-ie – mówi.
Ekspertka podkreśla, że pozorne ułatwienie proponowane przez organizatorów Loterii może przyczynić się do licznych incydentów, w tym do potencjalnego wyłudzenia danych osobowych od milionów uczestników. Pewnym ratunkiem jest możliwość zweryfikowania na stronie organizatora, czy ten numer faktycznie został wylosowany – tyle że to opcja jedynie dla bardziej uważnych użytkowników. Na pewno nie wykluczy to wysokiego ryzyka skutecznego działania przestępców.
Article:
https://www.prawo.pl/prawo/loteria-narodowego-programy-szczepien-a-ryzyko-phishingu,509263.html