Tematem kluczowym w dziedzinie cyberbezpieczeństwa jest problem phishingu, który mimo licznych kampanii edukacyjnych wciąż stanowi poważne zagrożenie. Phishing polega na podszywaniu się pod zaufane instytucje w celu wyłudzenia danych, najczęściej przez e-maile z linkami kierującymi na fałszywe strony logowania. Pomimo postępów w edukacji użytkowników, wiele firm nadal wysyła wiadomości e-mail z linkami prowadzącymi bezpośrednio do stron płatności czy logowania, co jest niebezpieczne.
Edukacja w zakresie unikania phishingu koncentruje się na tym, by użytkownicy nie wchodzili na strony logowania przez linki w e-mailach. Jednak praktyka wielu firm, jak pokazują przykłady Grupy Lux Med, Vectry czy PGNiG, często przeczy zaleceniom specjalistów. Wysyłanie przez nie wiadomości zawierających odsyłacze do logowania lub płatności nie tylko wprowadza klientów w błąd, ale także zwiększa podatność na ataki phishingowe.
Problematyczne Praktyki Biznesowe
Przykład Lux Med pokazuje, że komunikacja z klientami może wprowadzać w błąd, kierując ich na strony płatności poprzez łańcuch przekierowań, co jest typowym schematem phishingowym stosowanym w oszustwach na „dopłatę”. Podobnie jest w przypadku Vectry, której klienci kierowani są najpierw do panelu klienta, potem do bramki płatności, co również jest niebezpieczne bez odpowiedniego uwrażliwienia użytkowników. PGNiG z kolei do niedawna używało sformułowania „Zapłać online”, co mogło wprowadzać klientów w błąd, chociaż link rzeczywiście prowadził najpierw do panelu klienta.
Reakcje Przedsiębiorstw
Firmy, jak Vectra i PGNiG, deklarują działania mające na celu redukcję liczby takich linków w korespondencji e-mailowej. Mimo to, jak zauważa Vectra, zmiana przyzwyczajeń użytkowników i wdrożenie alternatywnych kanałów komunikacji, jak np. eBok z dodatkowym uwierzytelnieniem (2FA), wymaga czasu i zgrywa się z oczekiwaniami i poziomem świadomości klientów.
Jak Minimalizować Ryzyko?
Nie wpisuj danych logowania ani nie dokonuj płatności po kliknięciu w linki w wiadomościach e-mail. Najlepszą praktyką jest ręczne wpisanie adresu strony internetowej w przeglądarce i samodzielne zalogowanie się na konto danego serwisu. To pozwala na upewnienie się, że znajdujemy się na prawidłowej stronie. Sprawdzaj adresy URL, z szczególnym uwzględnieniem drobnych literówek czy dziwnych rozszerzeń domen. Jeśli formularz płatności lub logowania wygląda podejrzanie, zweryfikuj szczegóły płatności, takie jak odbiorca i kwota.
Wnioski i Dalsze Kroki
Jest trudne do zrozumienia, dlaczego niektóre firmy, świadome zagrożenia ze strony phishingu, nadal pozwalają na praktyki, które potencjalnie narażają klientów na ataki. Świadomość zagrożeń, a także ich konsekwencje dla bezpieczeństwa danych osobowych i finansowych, muszą być częścią codziennego postępowania firm i ich klientów. Ostatecznie, bezpieczeństwo w sieci jest wspólną odpowiedzialnością obu stron.
Uczestnictwo w szkoleniach z cyberbezpieczeństwa pomaga zwiększyć świadomość i umiejętności w obszarze obrony przed zagrożeniami. Regularne aktualizacje zabezpieczeń w oprogramowaniu, stosowanie dwuetapowego uwierzytelnienia (2FA) oraz utrzymanie podstawowej ostrożności wobec nieznanych komunikatów to elementy, które mogą znacząco zwiększyć bezpieczeństwo w świecie cyfrowym.
