Chyba każde popularny serwis był, jest, albo prędzej czy później znajdzie się, na celowniku cyberoszustów. Tym razem padło na Spotify. NASK ostrzega, aby nie dać się okraść przestępcom. Rozsyłają oni bowiem maile phishingowe, by wyłudzić pieniądze od użytkowników platformy. Wyjaśniamy, jak je rozpoznać.
Spis treści
Jak wygląda scenariusz ataku?
Schemat jest następujący: oszuści wysyłają maile z informacją, że nastąpił problem z autoryzacją płatności za dostęp do serwisu. Część z nich zapewne trafia do faktycznych użytkowników Spotify Premium. Odbiorców zmylić ma nie tylko treść maila, ale także informacje sugerujące, że nadawcą maila jest Spotify.
W treści wiadomości znajduje się link do strony, która – udając stronę serwisu Spotify – wyłudza dane konta, karty kredytowej i kod uwierzytelniający. Jeśli odbiorca maila kliknie link, a później poda dane swojej karty, przestępcy wykorzystają je do kradzieży pieniędzy z konta ofiary.
Co zrobić z taką wiadomością?
Przede wszystkim – zachować spokój. Phishing wykorzystuje negatywne emocje, które mają sprawić, że zapomnimy o zdrowym rozsądku. Dlatego przede wszystkim trzeba uważnie sprawdzać nazwy i adresy e-mail nadawców podejrzanych wiadomości. Zwykle wyświetlana nazwa znanego serwisu nie jest tożsama z adresem, z którego otrzymaliśmy wiadomość.
Po drugie zawsze trzeba zwracać uwagę na adresy stron, na które przekierowują linki lub przyciski zawarte w tych wiadomościach. Jest to szczególnie ważne tam, gdzie będą wpisywane dane do logowania, hasła czy jakiekolwiek informacje związane z finansami (numer karty, kod BLIK itp.). Najlepiej przyjąć zasadę, by po prostu w nic przysyłanego mailem nie klikać, a wszelkich płatności dokonywać za pośrednictwem systemów poszczególnych platform.
Trzeba też mieć na uwadze, że każdą informację można zweryfikować za pomocą innego kanału komunikacji (np. skorzystać z mediów społecznościowych lub zadzwonić) i nigdy nie próbować dokonywać żadnych płatności klikając w linki z maila. Jeśli rzekomy serwis Spotify straszy zawieszeniem subskrypcji lub Allegro ostrzega o zablokowaniu konta za brak wpłaty – nie należy kierować się emocjami, a w przypadku jakichś wątpliwości, skontaktować się oficjalną drogą z supportem danej usługi.
Pierwszym odruchem jest chęć kliknięcia podsuniętego w wiadomości przycisku lub linku. Nie róbcie tego. Samodzielnie wpiszcie w przeglądarce adres serwisu. I dopiero tam, po zalogowaniu się na konto, zweryfikujcie, czy faktycznie jest jakaś zaległość. Oczywiście NASK zaleca też, aby wszelkie podejrzane wiadomości i strony zgłaszać poprzez serwis Zgłoś incydent.
Zakupy w sieci? Tylko z odpowiednią apką! To nieoceniona pomoc dla każdego. Jeśli z niej korzystasz, wypełnij naszą ankietę. Dziękujemy!
Źródło: Raport CSIRT NASK. Zdjęcie otwierające: Charles McClintock Wilson / Shutterstock
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.