Podszywanie się pod instytucje i usługi publiczne

W ostatnich miesiącach często wraca jeden schemat: podszywanie się pod instytucje i usługi publiczne – czyli pod zaufane źródła. To nie są jakieś wyrafinowane techniki, a raczej wykorzystanie marki, którą odbiorca kojarzy i której nie chce dodatkowo weryfikować.

Przykładowo, Ministerstwo Cyfryzacji ostrzegało przed próbami podszywania się pod mObywatela
w reklamach w mediach społecznościowych.

CERT/CSIRT NASK raportował także o kolejnych osłonach kampanii podszywających się pod serwisy w domenie gov.pl (np. „nowa sesja na urządzeniu”, „oficjalne powiadomienie”). To dobry moment, żeby przypomnieć sobie prostą zasadę:

Zaufanie do instytucji ≠ zaufanie do linku

Szybka checklista cyberhigieny dla zespołów:

• linki otwieramy dopiero po weryfikacji domeny i kontekstu,
• aplikacje instalujemy tylko z oficjalnych źródeł
• nie podajemy danych/logowania po rzekomo „pilnym” komunikacie
• w organizacji ustalamy prostą ścieżkę: gdzie zgłosić podejrzaną wiadomość
• ćwiczymy rozpoznawanie wzorców phishingu (to nadal daje bardzo duży zwrot).

Podszywanie jako stały element

Pamiętajcie o tych prostych zasadach, bo to one w dużej mierze ograniczają ryzyka incydentów. Podszywanie się pod oficjalne domeny to temat, który niestety będzie wracał bardzo często.