Cyberprzestępcy rozpoczęli rok 2025 z niebywałą intensywnością ataków. W samym styczniu zgłoszono rekordową liczbę 4895 niebezpiecznych domen phishingowych, których celem było wyłudzenie danych osobowych oraz środków finansowych od niczego niepodejrzewających użytkowników. Eksperci ds. cyberbezpieczeństwa alarmują, iż oszuści nieustannie udoskonalają swoje metody, czyniąc je coraz trudniejszymi do rozpoznania.
Fot. Pixabay
Największą grupę oszustw w styczniu stanowiły fałszywe inwestycje promowane głównie za pośrednictwem mediów społecznościowych, ze szczególnym uwzględnieniem Facebooka. Cyberprzestępcy wykorzystują zaawansowane techniki targetowania reklam, aby trafić do osób zainteresowanych pomnażaniem oszczędności. Mechanizm oszustwa jest perfidnie prosty – po kliknięciu w atrakcyjną reklamę obiecującą wysokie zyski, użytkownicy trafiają na profesjonalnie wyglądające strony internetowe, gdzie proszeni są o pozostawienie swoich danych kontaktowych.
To jednak dopiero początek starannie zaprojektowanej pułapki. W kolejnym etapie oszuści kontaktują się telefonicznie z potencjalnymi ofiarami, podszywając się pod doświadczonych doradców finansowych. Podczas rozmowy używają profesjonalnego żargonu i prezentują rzekomo ekskluzywne okazje inwestycyjne dostępne tylko dla wybranych klientów. Ich celem jest wzbudzenie zaufania i przekonanie ofiary do przelania pieniędzy na wskazane konto bankowe. Niestety, każda wpłacona kwota bezpowrotnie trafia do kieszeni oszustów, a obiecane inwestycje nigdy nie istniały.
Drugą istotną kategorią styczniowych ataków były oszustwa wymierzone w użytkowników bankowości elektronicznej. Szczególnie aktywne były kampanie podszywające się pod Alior Bank, gdzie przestępcy wysyłali fałszywe SMS-y informujące o rzekomej blokadzie konta. Wiadomości zawierały link prowadzący do spreparowanej strony łudząco przypominającej oficjalny serwis banku. Nieświadomi zagrożenia użytkownicy wprowadzali swoje dane logowania, które natychmiast trafiały w ręce oszustów. Ci z kolei wykorzystywali zdobyte informacje do przejęcia kontroli nad kontami bankowymi i wypłacenia wszystkich dostępnych środków.
Tego typu ataki, określane w branży jako smishing (phishing prowadzony dzięki wiadomości SMS), są szczególnie skuteczne, ponieważ wiele osób wciąż darzy wiadomości tekstowe większym zaufaniem niż e-maile. Ponadto ograniczona długość SMS-ów utrudnia dokładną weryfikację nadawcy, co dodatkowo zwiększa skuteczność tego rodzaju ataków.
Na czołowych pozycjach styczniowego rankingu oszustw znalazły się również ataki podszywające się pod Pocztę Polską. W tym przypadku cyberprzestępcy rozsyłali fałszywe wiadomości e-mail informujące o konieczności uregulowania zaległej opłaty za przesyłkę. Link zawarty w wiadomości kierował na spreparowaną stronę, gdzie ofiary były proszone o podanie pełnych danych karty płatniczej, włącznie z kodem CVV. Zdobyte w ten sposób informacje pozwalały oszustom na natychmiastowe dokonywanie nieautoryzowanych transakcji.
Szczególnie niepokojący jest fakt, iż cyberprzestępcy coraz częściej korzystają z zaawansowanych technologii, takich jak sztuczna inteligencja, do tworzenia bardziej przekonujących i personalizowanych treści phishingowych. Wykorzystują również techniki psychologiczne, takie jak wywoływanie poczucia pilności i strachu, aby skłonić ofiary do podejmowania pochopnych decyzji bez należytej weryfikacji.
Eksperci ds. cyberbezpieczeństwa podkreślają, iż kluczowa w walce z phishingiem jest edukacja użytkowników. Podstawowe zasady bezpieczeństwa mogą znacząco zmniejszyć ryzyko padnięcia ofiarą oszustwa. Przede wszystkim, nigdy nie należy podawać swoich danych logowania ani informacji o kartach płatniczych na stronach, do których dotarliśmy poprzez link otrzymany w wiadomości e-mail lub SMS. Zawsze warto samodzielnie wpisać adres instytucji w przeglądarce lub skorzystać z oficjalnej aplikacji.
Równie ważna jest dokładna weryfikacja nadawcy wiadomości. Cyberprzestępcy często używają adresów e-mail lub numerów telefonu łudząco podobnych do tych używanych przez prawdziwe instytucje, jednak zawsze istnieją drobne różnice, które można zauważyć przy uważnej analizie. W przypadku jakichkolwiek wątpliwości najlepiej skontaktować się bezpośrednio z daną instytucją, korzystając z oficjalnych numerów telefonu lub adresów e-mail dostępnych na jej stronie internetowej.
Niezbędnym elementem ochrony przed atakami phishingowymi jest również korzystanie z aktualnego systemu antywirusowego oraz regularne aktualizowanie wszystkich programów i systemów operacyjnych. Włączenie uwierzytelniania dwuetapowego, gdzie to możliwe, stanowi dodatkową warstwę zabezpieczeń, która może uchronić nas przed konsekwencjami potencjalnego wycieku danych.
Warto również zwrócić uwagę na rosnącą rolę społeczności internetowej w walce z cyberprzestępcami. Zgłaszanie podejrzanych stron i wiadomości odpowiednim służbom czy zespołom ds. cyberbezpieczeństwa pomaga nie tylko w ich szybszym usuwaniu, ale również w identyfikowaniu nowych trendów i metod wykorzystywanych przez oszustów. Tylko dzięki wspólnej czujności możemy skutecznie ograniczać skalę phishingu i innych cyberzagrożeń.
W obliczu rosnącej liczby i coraz większej wyrafinowania ataków phishingowych, najważniejsze staje się przyjęcie podejścia opartego na nieufności wobec niespodziewanych wiadomości i prośb o podanie danych. Pamiętajmy, iż legalne instytucje nigdy nie proszą o poufne informacje za pośrednictwem e-maili czy SMS-ów. Zachowanie zdrowego sceptycyzmu i stosowanie podstawowych zasad bezpieczeństwa może uchronić nas przed poważnymi konsekwencjami finansowymi i psychologicznymi związanymi z padnięciem ofiarą cyberprzestępców.
