V únoru letošního roku odhalili specialisté digitálního expertního centra Roskachestvo celou podvodnou kampaň zaměřenou na uživatele portálu Gosuslugi, a to více než 126 mil. Ruští občané. Používá několik technik sociálního inženýrství najednou, přičemž různé e-maily mohou přijít několikrát za sebou stejnému uživateli.
Všechny e-maily jsou navrženy stejným způsobem a napodobují původní e-maily z portálu Gosusluditel: rozvržení, logo, písmo a struktura písmen jsou zcela realistické a zobrazují zprávu ze skutečné služby. Obsah e-mailů je však jedním z několika klasických phishingových schémat. Kvalita textu v mailu je poměrně nízká a při pozorném čtení je zřejmé, že se jedná o soubor volně spojených vět. Jsou navrženy tak, aby působily na emoce a přiměly čtenáře k cílené akci: kliknutí na odkaz a přechod na externí webovou stránku, která rovněž napodobuje design portálu veřejných služeb, kde budou odcizeny osobní a platební údaje uživatele.
Příklad phishingového textu z kampaně, který obsahuje pravopisné, stylistické a logické chyby
„Dobrý den! V novém roce 2023 zůstanete věrnými uživateli těchto webových stránek. Na oslavu dostanete dotaci v podobě volného přístupu do tomboly, kterou podporuje oficiální divize. Akce bude probíhat od 1. února 2023 do 28. února a umožní vám přístup k této nabídce. Chcete-li se zúčastnit, postupujte podle pokynů na oficiálních internetových stránkách: Získat přístup k losování G0CL0T0 Přístup platí tři dny. Počet dotací je omezen. Pokud po přečtení této nabídky nezareagujete, může být váš přístup zrušen. Aktivujte dopis a přejděte na oficiální webové stránky. klikněte na tlačítko „povolit“ v horní části e-mailu nebo na tlačítko „Nevyhazovat spam“, abyste odkaz aktivovali!“ „
Do očí bije několik detailů: absurdní záminka k napsání dopisu, odvolání se na omezený čas, neexistující loterie G0CL0T0, a dokonce hrozba „zrušení přístupu v případě, že nebude reagováno“. Všimněte si také, že vládní služby nejsou službou, ale „oficiálním internetovým portálem pro vládní služby“. Další phishingové texty ze stejné série, které zkoumali experti Roskachestva, údajně nabízejí získání sociálních dávek od státu zároveň je pro přesvědčivost poukázáno na některá čísla dokumentů a vyhlášek, jména státních úředníků buď neexistují, nebo jsou náhodně převzata z internetu .
Ilja Loevsky, zástupce ředitele společnosti Roskatchestvo
„Bez ohledu na podobu e-mailu a použitou záminku mají phisheři jediný cíl: přimět oběť phishingu, aby klikla na odkaz na externí webovou stránku a tam zadala své údaje z portálu státních služeb což samo o sobě představuje hrozbu ztráty osobních údajů . Kromě toho se kyberzločinci obvykle snaží své oběti také „obelstít“ o peníze, například o vyplacení „provize“ za výhru v loterii. Využijí jakoukoli záminku, aby vylákali údaje o kartě oběti. Vaším úkolem je nenaletět podvodníkům, a proto se je musíte naučit rozpoznat.
Roskatchestvo Digital Expertise Centre připomíná
Nechoďte na portály včetně webových stránek veřejných služeb a online obchodů pomocí externích odkazů z e-mailů, i když vypadají přesvědčivě. Tyto odkazy se zpravidla uvádějí ve zkrácené podobě např. bit.Uživatel nevidí, kam jde, a adresa webu je podobná té skutečné. Pokud chcete přejít na portál a zkontrolovat dostupnost nabídky uvedené v dopise, zadejte adresu webové stránky do adresního řádku ručně.
Pečlivě si přečtěte tělo e-mailu, a pokud máte sebemenší pochybnosti, že se jedná o skutečnou nabídku, odešlete ji do spamu. Podvodníci zpravidla používají stejnou sadu psychologických triků s příslibem výhry nebo sociálních dávek – jedním slovem, tlačí na emoce.
Dejte si pozor na HTTPS, zkontrolujte vlastnosti bezpečnostního certifikátu a zjistěte, jak dlouho je platný pokud je starý několik dní nebo týdnů, je velká pravděpodobnost, že je web podvodný .
Použití antivirového programu. Tyto programy často upozorňují na pokus o návštěvu podvodné stránky.
Online podvodů je mnoho. Nemůžete se naučit rozpoznat všechny na první pohled. Jedinou zbraní proti podvodným sítím je znalost základních pravidel digitální gramotnosti a jejich uplatňování vždy, když otevřete e-mail, webovou stránku nebo zdánlivě jednoduchou zprávu v Messengeru. Zkrátka a dobře, při práci na internetu je vždy třeba dbát zvýšené opatrnosti, zejména pokud se jedná o emoce – sociální inženýrství se podvodníkům vyplácí.
Můžeš mi prosím vysvětlit, co je to phishingový systém na portálu státních služeb? Chtěl bych se dozvědět, jak se ochránit a nenechat se chytit do pasti. Jaké varovné znaky můžu rozpoznat a jak se vyhnout odeslání svých citlivých údajů zlodějům? Díky za jakoukoliv informaci, kterou mi poskytneš!