W naszym bezpłatnym poradniku „ABC cyberbezpieczeństwa”, dostępnym na OSE IT Szkole, znajdziecie ponad 150 pigułek wiedzy na temat wirtualnych zagrożeń, nowych technologii i pozytywnych, cyfrowych praktyk. Dobra wiadomość jest taka, że przygotowujemy dla Was kolejne definicje! Śledźcie nasze aktualności i bądźcie na bieżąco z wiadomościami na temat bezpieczeństwa w sieci.

W pierwszym odcinku naszej serii przybliżyliśmy Wam cztery pigułki wiedzy. Dowiedzieliście się więcej o bankowości internetowej, kluczu U2F, ochronie urządzeń mobilnych i socjotechnice. Nadróbcie zaległości, jeśli nie udało Wam się zajrzeć do naszego słownika (tekst znajdziecie na portalu w zakładce „Aktualności”).

Dziś omawiamy kolejne cyberzagadnienia. Uczulamy Was na popularne metody wyłudzania pieniędzy za pośrednictwem płatności mobilnych. Podpowiadamy, jak poszukując miłości w sieci, nie wpaść w pułapkę catfishera. Wyjaśniamy, na czym polega typosquatting i jak się chronić przed fałszywymi panelami logowania. Ponadto przybliżamy, w jaki sposób lista ostrzeżeń przed niebezpiecznymi stronami, tworzona przez ekspertów CERT Polska, chroni nas przed atakami cyberprzestępców. Zapraszamy do lektury!

BLIK

Wraz z rozwojem e-usług swoją ofertę wzbogaca też bankowość internetowa. Pojawiają się nowe formy płatności online – jedną z nich jest BLIK. Aby skorzystać z tego udogodnienia, nie potrzebujecie karty płatniczej, a tym bardziej portfela. Trzeba jedynie zainstalować na swoim smartfonie aplikację banku, w którym posiadacie konto. Za każdym razem, gdy będziecie chcieli dokonać płatności BLIK-iem, wystarczy, że wygenerujecie 6-cyfrowy kod, który jest aktywny przez dwie minuty. Następny krok to wpisanie kodu we wskazanym miejscu podczas płatności. Na końcu akceptujecie całą operację w aplikacji banku i gotowe!

BLIK-iem możecie nie tylko płacić za zakupy w sklepach online, ale też wypłacać gotówkę z bankomatu oraz rozliczać się z innymi przelewem na telefon. Ta szybka, intuicyjna i z zasady bezpieczna forma płatności mobilnych stała się bardzo popularna, co oczywiście nie umknęło uwadze cyberprzestępców.

W oszustwie na BLIK schemat działania złodziei jest bardzo podobny. Włamują się na czyjeś konto w mediach społecznościowych, podszywają się pod prawowitego właściciela profilu i próbują wyłudzić kod BLIK od jego znajomych. Wysyłają wiadomość za pomocą komunikatora, w której zazwyczaj piszą o nagłej sytuacji, prosząc o pożyczkę. Obiecują szybki zwrot pieniędzy, ale oczywiście kontakt z oszustem się urywa po otrzymaniu kodu BLIK i zatwierdzeniu całej transakcji przez ofiarę.

Pamiętajcie, że transakcji dokonanych za pomocą kodu BLIK nie można cofnąć. Aby ustrzec się przed działaniem cyberprzestępców, trzymajcie się podstawowych zasad bezpieczeństwa w sieci.

Nie klikajcie w linki przesłane w nietypowych wiadomościach i e-mailach, nie odpowiadajcie na dziwne SMS-y – to może być phishing, czyli próba wyłudzenia poufnych danych, np. logowania do serwisów społecznościowych.
Stosujcie silne hasła, a najlepiej uwierzytelnianie dwuskładnikowe – 2FA (hasło i kod np. SMS lub klucz U2F).
Chrońcie swoje urządzenia mobilne przed nieuprawnionym dostępem. Stosujcie blokadę ekranu nieużywanego sprzętu, włączcie w ustawieniach opcję szyfrowania urządzeń mobilnych (złodziej nie będzie mógł dostać się do pamięci urządzenia) i zdalne zarządzanie sprzętem (daje ona możliwość blokady dostępu do smartfona, wyczyszczenia jego pamięci lub namierzenia lokalizacji), co jest przydatne szczególnie w przypadku kradzieży.
Nie działajcie pod wpływem emocji. Jeśli znajomy pisze do Was z prośbą o kod BLIK, upewnijcie się, czy to rzeczywiście on potrzebuje Waszej pomocy. Wystarczy zadzwonić i porozmawiać.
Ostrzeżcie innych przed działaniem oszusta. Gdy tylko zorientujecie się, że ktoś włamał się na Wasze konto w mediach społecznościowych, natychmiast poinformujcie o tym swoich znajomych. Wyślijcie wiadomość, ale też napiszcie post o tym zdarzeniu.

Więcej o bezpiecznych płatnościach znajdziecie w naszych artykułach: „Bezpieczni w sieci z OSE: BLIK i płatności internetowe” i „Bezpieczni w sieci z OSE na wakacje: bankowość mobilna”. Śledźcie też bieżące informacje o popularnych oszustwach na stronie Waszego banku oraz CERT Polska.

Catfishing

Żyjemy w czasach, w których wiele sfer naszego życia przeniosło się do sieci. Internet ułatwia pracę, naukę, komunikację. W sieci robimy zakupy, załatwiamy sprawy urzędowe, płacimy rachunki, spędzamy czas na rozrywce, ale też szukamy znajomości, a nawet miłości.

Poznanie drugiej połówki online nikogo już nie dziwi. Portale randkowe to dla wielu szansa na zbudowanie nowej relacji. Niestety, nie wszystkie internetowe znajomości kończą się happy endem, szczególnie że przestępcy nie mają skrupułów i wykorzystają każdą okazję do realizacji swoich niecnych celów. Fascynacja czy zauroczenie nowo poznaną osobą dodatkowo potrafi uśpić naszą czujność. Trafieni strzałą Amora, możemy nie zorientować się, że znajomy z internetu wcale nie jest tym, za kogo się podaje. Tworzenie fałszywych profili w celu złowienia potencjalnej ofiary w sidła miłości to catfishing.

Czym dokładnie jest? Catfishing to podszywanie się w internecie pod istniejącą lub nieistniejącą osobę. Oszust najczęściej kradnie czyjąś tożsamość, tworzy fałszywe konto i umieszcza na nim cudze zdjęcia. Przyciąga potencjalną ofiarę, prezentując idealny obraz swojej osoby, rozkochuje ją w sobie, a następnie dopuszcza się przestępstwa. Wyłudza od niej pieniądze czy ważne dane, może też ją szantażować, grożąc ujawnieniem pozyskanych wcześniej intymnych materiałów.

Jak rozpoznać catfishing? Kilka szczegółów powinno wzbudzić Wasze podejrzenia:

Zbyt piękne, aby było prawdziwe. Idealny wygląd, wymarzona praca, częste podróże, wystawny tryb życia… Warto krytycznie ocenić, czy taki profil w mediach społecznościowych jest prawdziwy. Sprawdźcie, kiedy został założony, czy jego właściciel ma wielu znajomych, czy fotografuje się z nimi. Pomocne może być też skorzystanie z opcji wyszukiwania obrazem w sieci. Być może znajdziecie prawdziwe źródło zdjęć wykorzystanych przez potencjalnego oszusta.
Rozmowa tak, ale nie wideo. Oszust chętnie nawiązuje kontakt na czacie, telefoniczny czy mailowy, ale jak ognia unika spotkania online z włączoną kamerą, nie mówiąc już o randce w realu. Takie zachowanie oznacza, że próbuje ukryć swoją prawdziwą tożsamość.
Zbytnia wylewność. Jeśli nowo poznana osoba bardzo szybko deklaruje miłość, dzieli się swoimi sekretami i poufnymi informacjami, to znak, by zachować ostrożność. Na pewno nie należy odwzajemniać się ujawnianiem wrażliwych danych o sobie.
Prośba o intymne materiały. To kolejny znak, że znajomość zmierza w złą stronę. Przesłane zdjęcia, filmiki o charakterze erotycznym (sexting) mogą posłużyć oszustowi do szantażu (sextortion), a w konsekwencji – wyłudzania pieniędzy!
Prośba o pieniądze. Jeśli internetowy znajomy prosi Was o pieniądze na leczenie czy spłatę długów, to kolejny sygnał ostrzegawczy. Zazwyczaj chodzi o większe sumy, dlatego zanim przelejecie swoje oszczędności, zastanówcie się, czy należy pożyczać pieniądze osobie, której nawet nie widzieliście na oczy.

Catfishing nie jest przestępstwem. Podawanie zmyślonych danych w sieci nie podlega karze. Natomiast karalne są działania będące skutkiem catfishingu. Przestępstwem jest kradzież tożsamości zmierzająca do wyrządzenia osobie, której wizerunek jest wykorzystany, szkody majątkowej lub osobistej. Karze podlegają też: wyłudzenie pieniędzy, kradzież danych, w tym osobowych, szantaż lub nękanie w sieci (cyberstalking). Jeśli doświadczyliście catfishingu i cyberataków, koniecznie zgłoście ten fakt na policję! Pamiętajcie, żeby wcześniej skopiować i zabezpieczyć całą korespondencję – to ważny dowód w sprawie.

O zagrożeniach związanych z budowaniem relacji online przeczytacie w naszych aktualnościach na stronie ose.gov.pl: „Walentynki online? Sexting – niebezpieczny trend”, „Wirtualna miłość – realne zagrożenie”.

Fałszywe panele logowania

Tworzenie fałszywych stron, na które mają zalogować się użytkownicy sieci, to znany proceder. Cyberprzestępcy preparują panele logowania do popularnych witryn, w szczególności do poczty e-mail, bankowości internetowej i portali społecznościowych, by w ten sposób wyłudzić pieniądze lub uzyskać dostęp do Waszych danych.

Fałszywe panele logowania do złudzenia przypominają te oryginalne – wykorzystują tę samą szatę graficzną, logotypy, czcionki – ale konsekwencje zalogowania się w oknie spreparowanej strony mogą być fatalne.

Uzyskanie przez przestępców dostępu do e-konta bankowego wiąże się z utratą środków – często oszczędności życia. Włamanie się do Waszego e-maila oznacza otwarcie furtki do przesyłania spamu czy ataków phishingowych z Waszego adresu. To też droga do kradzieży wielu cennych danych. Pewnie nie pamiętacie, że to właśnie w skrzynce pocztowej przechowujecie np. skany dokumentów czy korespondencję zawierającą poufne informacje. Przejęcie konta w portalu społecznościowym wykorzystywane jest natomiast do dalszych przestępczych działań: publikowania wpisów z linkami, które kierują do innych fałszywych paneli logowania, lub wysyłania wiadomości do znajomych z prośbą o pieniądze – kod BLIK czy przelew (najczęściej za pośrednictwem fałszywej bramki płatności).

Na co powinniście zwrócić uwagę, zanim wpiszecie login i hasło w panelu logowania?

Adres internetowy fałszywej domeny zazwyczaj zawiera błąd w nazwie – literówkę lub zmienioną kolejność wyrazów (o typosquattingu piszemy poniżej).
Niepoprawna polszczyzna, brak polskich znaków, nieaktualny logotyp – to też sygnały, żeby opuścić daną stronę.
Często próbując wejść w jakąś zakładkę w spreparowanym portalu, użytkownik zostaje przeniesiony na zupełnie inną stronę – śledźcie więc adres w pasku przeglądarki.
Zielona kłódka obok adresu w przeglądarce nie gwarantuje już bezpieczeństwa. Certyfikat TLS, oznaczający, że połączenie z serwerem jest szyfrowane, można łatwo uzyskać. Cyberprzestępcy również korzystają z tego rozwiązania.

Jak zawsze przed cyberzagrożeniami może Was uchronić zdrowy rozsądek. Nie klikajcie w przypadkowe linki, nie działajcie pod wpływem emocji, na bieżąco aktualizujcie swoje sprzęty, korzystajcie z oprogramowania antywirusowego.

Jeśli traficie na fałszywą stronę, zgłoście to do CERT Polska. Wystarczy wypełnić formularz dostępny na CERT.PL – zgłoś incydent. Eksperci przyjmą i przeanalizują każde zgłoszenie, a podejrzaną domenę zamieszczą na liście ostrzeżeń przed niebezpiecznymi stronami. Możecie też przesłać wiadomość SMS, zawierającą potencjalnie groźny link. W tym celu skorzystajcie z bezpłatnego numeru 8080 i funkcji „przekaż” albo „udostępnij”.

Typosquatting

To kolejne popularne internetowe oszustwo, które związane jest z opisanym wyżej procederem tworzenia fałszywych paneli logowania. Pojęcie typosquatting zostało stworzone poprzez połączenie dwóch angielskich słów typo (literówka) oraz squatting (czaić się), co doskonale oddaje istotę problemu.

Na czym dokładnie polega typosquatting, zwany też URL hijackingiem (dosłownie oznaczającym porwanie adresu URL)? Cyberprzestępcy rejestrują fałszywe strony, wykorzystując nazwy powszechnie znanych firm, choć nieco zmienione. Warto więc uważnie przyglądać się adresowi, jaki widnieje w polu przeglądarki. Fałszywa domena może mieć w nazwie trudny do wychwycenia błąd: zawierać literówkę lub dodatkowy znak, np. kropkę lub łącznik (uważajcie też na brakujące znaki!)

Spreparowane strony na ogół na pierwszy rzut oka nie wzbudzają podejrzeń. Wyglądają tak samo jak ich oryginalne odpowiedniki: kolorystyka, krój czcionek, grafika, elementy nawigacji – niby wszystko się zgadza. Problem zaczyna się, gdy zalogujecie się na przygotowaną przez cyberoszustów witrynę: do poczty elektronicznej, banku, e-sklepu, mediów społecznościowych. Cena, jaką zapłacicie za chwilę nieuwagi, jest dość wysoka.

Skorzystanie z fałszywych paneli logowania wiąże się z utratą poufnych danych, loginów, haseł, numerów kart płatniczych, numerów PESEL czy dowodów osobistych, a co za tym idzie również z kradzieżą środków finansowych. Ponadto witryny wykorzystujące typosquatting zazwyczaj zainfekowane są złośliwym oprogramowaniem (malware), co oznacza, że niepostrzeżenie możecie pobrać na swój sprzęt np. ransomware, adware czy spyware, otwierając tym samym cyberprzestępcom wirtualne drzwi do Waszych urządzeń. Warto pamiętać, że typosquatting uderza też w firmy, których markę wykorzystują oszuści. Straty wizerunkowe, ale też finansowe, to częsta konsekwencja URL hijackingu.

Jak się przed nim bronić? Jak zwykle sprawdzi się zachowywanie podstawowych zasad bezpieczeństwa w sieci.

Pamiętajcie o bieżącej aktualizacji przeglądarki internetowej, oprogramowania i oprogramowania antywirusowego.
Pobierajcie aplikacje i programy tylko z wiarygodnych źródeł.
Sprawdzajcie, dokąd prowadzą otrzymane linki, np. najeżdżając kursorem myszki na adres URL.
Jeśli jakaś wiadomość SMS lub e-mail wydadzą Wam się podejrzane, nie klikajcie w przesłane linki i załączniki – to może być phishing.
Uważnie wpisujcie adres do przeglądarki i sprawdzajcie, czy jesteście na oryginalnej stronie.
Korzystajcie z uwierzytelniania dwuskładnikowego – 2FA, wszędzie tam, gdzie to możliwe.

Jeśli macie podejrzenie, że jakaś witryna internetowa wykorzystuje typosquatting w celu wyłudzenia danych lub pieniędzy, koniecznie zgłoście to do CERT Polska. Eksperci ocenią, czy wypisać ją na listę ostrzeżeń przed niebezpiecznymi stronami.

Lista ostrzeżeń przed niebezpiecznymi stronami

Linki prowadzące do niebezpiecznych stron mogą do Was trafić różnymi kanałami: przez SMS, e-mail lub media społecznościowe. Akcje phishingowe, które mają skłonić ofiary do szybkiego i nieprzemyślanego działania, a w konsekwencji do wyłudzenia danych osobowych oraz uwierzytelniających do kont bankowych czy serwisów społecznościowych, to wciąż częste zagrożenie, z jakim możemy spotkać się w sieci. Dlatego CERT Polska od marca 2020 r. prowadzi „Listę ostrzeżeń przed niebezpiecznymi stronami”. Eksperci 24 godziny na dobę, 7 dni w tygodniu, analizują zgłaszane podejrzane strony, a te szkodliwe zapisują na liście.

Korzystają z niej m.in. operatorzy telekomunikacyjni, firmy, organizacje i wszyscy administratorzy sieci, dla których ważne jest bezpieczeństwo ich użytkowników. Dzięki liście ostrzeżeń dostęp do złośliwych stron może być blokowany automatycznie, czyli podczas próby skorzystania ze szkodliwej witryny dostaniecie komunikat „Uwaga, ta strona stanowi zagrożenie”. Tylko w 2022 r., dzięki liście ostrzeżeń, zablokowanych zostało blisko 21 milionów prób wejścia na strony, które łudząco przypominają popularne portale.

Niebezpieczne strony pojawiają się jak grzyby po deszczu. Często wykorzystywane są przez cyberprzestępców tylko przez chwilę, następnie są porzucane lub usuwane. W to miejsce tworzone są nowe niebezpieczne adresy. Bądźcie więc czujni! Uważajcie na podejrzane panele logowania i potencjalnie fałszywe domeny – zwracajcie uwagę na szczegóły: błędne adresy (regulamin-wirtualnapolska.com, 24platnosci.online) czy literówki w adresie (inP0ST.pl) – o typosquattingu przeczytacie powyżej. Jeśli dostaniecie wiadomość, w której pod presją czasu macie podjąć jakieś działanie, np. kliknąć w załączony link, by dokonać szybkiej dopłaty za paczkę, nie reagujcie! To może być próba cyberataku.

Jakaś strona wzbudza Wasze podejrzenia? Zgłoście incydent za pośrednictwem formularza internetowego dostępnego na stronie CERT Polska. Niepokojące SMS-y, zawierające potencjalnie groźne linki, przesyłajcie na numer 8080, korzystając funkcji „przekaż” albo „udostępnij”.

Inne aktualności

Zobacz więcej

Programowanie dla każdego

06.06.2025

Już wkrótce – bo 8 czerwca – Dzień Informatyka. To dobra okazja, by zastanowić się, jak najlepiej przygotować dzieci do życia w świecie, który z roku na rok staje się coraz bardziej cyfrowy.

Temat lekcji: cyberzagrożenia

30.05.2025

Wirtualny świat kusi, ale bywa też miejscem, w którym łatwo się zagubić, zostać zranionym lub zmanipulowanym. Rolą nauczyciela jest nie tylko pokazywać możliwości globalnej sieci, lecz także uczyć uważności, odpowiedzialności i troski o cyfrowe bezpieczeństwo.

Temat lekcji: cyfrowy ślad

14.05.2025

Czy warto dbać o anonimowość w sieci? Jak wspierać uczniów w świadomym kreowaniu swojej obecności w internecie? Skorzystajcie z naszych materiałów edukacyjnych i przeprowadźcie lekcję na temat zarządzania swoimi cyfrowymi śladami!

Gdy korzystasz z naszych serwisów, gromadzimy informacje o Twojej wizycie i sposobie poruszania się w naszych serwisach. W tym celu stosujemy pliki cookies. Plik cookies zawiera dane informatyczne, które są umieszczone w Twoim urządzeniu końcowym - przeglądarce internetowej, z której korzystasz.

Pliki cookies używane w naszych serwisach wykorzystywane są między innymi do bieżącej optymalizacji serwisów oraz ułatwiania Twojego z nich korzystania. Niektóre funkcjonalności dostępne w naszych serwisach mogą nie działać, jeżeli nie wyrazisz zgody na instalowanie plików cookies.

Instalowanie plików cookies lub uzyskiwanie do nich dostępu nie powoduje zmian w Twoim urządzeniu ani w oprogramowaniu zainstalowanym na tym urządzeniu.

Stosujemy dwa rodzaje plików cookies: sesyjne i trwałe. Pliki sesyjne wygasają po zakończonej sesji, której czas trwania i dokładne parametry wygaśnięcia określa używana przez Ciebie przeglądarka internetowa oraz nasze systemy analityczne. Trwałe pliki cookies nie są kasowane w momencie zamknięcia okna przeglądarki, głównie po to, by informacje o dokonanych wyborach nie zostały utracone. Pliki cookies aktywne długookresowo wykorzystywane są, aby pomóc nam wspierać komfort korzystania z naszych serwisów, w zależności od tego czy dochodzi do nowych, czy do ponownych odwiedzin serwisu.

Pliki cookies wykorzystywane są w celach statystycznych oraz aby usprawnić działanie serwisów i zwiększyć komfort z nich korzystania, m.in:

pozwalają sprawdzić jak często odwiedzane są poszczególne strony serwisów - dane te wykorzystujemy do optymalizacji serwisów pod kątem odwiedzających;
umożliwiają rozpoznanie rodzaju Twojego urządzenia, dzięki czemu możemy lepiej dopasować sposób i format prezentowania treści oraz funkcjonalności serwisów;
poprawiają wydajność i efektywność serwisów dla korzystających.

Jeśli nie chcesz, by pliki cookies były instalowane na Twoim urządzeniu, możesz zmienić ustawienia swojej przeglądarki w zakresie instalowania plików cookies. W każdej chwili możesz też usunąć z pamięci swojego urządzenia pliki cookies zapisane w trakcie przeglądania naszych serwisów. Pamiętaj jednak, że ograniczenia w stosowaniu plików cookies mogą utrudnić lub uniemożliwić korzystanie z tych serwisów.

Niektóre pliki cookies są tworzone przez podmiot, z usług których korzystamy, np.

Google Inc.

W naszych serwisach wykorzystujemy narzędzie Google Analytics do analizy ruchu na stronie internetowej oraz aktywności dotyczących jej przeglądania. Wykorzystujemy je w szczególności do celów statystycznych, aby sprawdzić jak często odwiedzane są poszczególne serwisy. Dane te wykorzystujemy również do optymalizacji i rozwoju serwisów. Więcej informacji na temat narzędzia Google Analytics znajdziesz na stronie: https://policies.google.com/technologies/cookies

Facebook

Więcej informacji o zasadach plików cookies możesz znaleźć na:
https://pl-pl.facebook.com/policies/cookies/

Twitter

Więcej informacji o zasadach plików cookies możesz znaleźć na:
https://help.twitter.com/en/rules-and-policies/twitter-cookies

Youtube

Więcej informacji o zasadach plików cookies możesz znaleźć na:
https://policies.google.com/privacy?hl=pl&gl=pl

ABC cyberbezpieczeństwa 2.0: odcinek 2

BLIK

Catfishing

Fałszywe panele logowania

Typosquatting

Lista ostrzeżeń przed niebezpiecznymi stronami