Oszustw telefoniczne (tzw. vishing),w których sprawcy podszywają się m.in. pod instytucje publiczne lub zespoły wsparcia IT, przypominamy o zasadach bezpiecznego postępowania.
Ataki tego typu są coraz lepiej przygotowane i mogą wykorzystywać presję czasu, autorytet instytucji lub obawy przed konsekwencjami. Należy zachować ostrożność, jeżeli rozmowa dotyczy np.:
1. rzekomego incydentu bezpieczeństwa,
2. rzekomo nieprawidłowo wystawionej recepty,
3. blokady dostępu,
4. konieczności podania danych osobowych, danych dostępowych,
5. pilnej kontroli.
Należy także zwrócić uwagę na numer telefonu rozmówcy, w tym numer kierunkowy. Zdarza się, że oszuści posługują się kartami SIM zarejestrowanymi poza Polską.
1. Postępowanie w trakcie rozmowy telefonicznej
W przypadku rozmów, w których rozmówca żąda natychmiastowych działań, prosi o dane lub instruuje do wykonania określonych czynności, należy zachować szczególną ostrożność.
Nie należy przekazywać przez telefon żadnych informacji poufnych, w szczególności:
1. haseł, kodów SMS, kodów jednorazowych, PIN-ów,
2. numerów kart płatniczych,
3. numeru PESEL ani danych dokumentów,
4. danych dostępowych do systemów służbowych lub medycznych.
Nie należy instalować aplikacji, klikać w linki ani wykonywać poleceń dotyczących przelewów, zatwierdzania operacji lub zmian ustawień systemowych.
W przypadku wątpliwości rozmowę należy niezwłocznie zakończyć. Prawdziwe instytucje nie wywierają presji czasu i nie wymagają takich działań telefonicznie.
Zespoły reagowania na incydenty, w tym CSIRT CeZ, nigdy nie wymagają w trakcie rozmowy telefonicznej:
1. pilnego instalowania dodatkowych aplikacji lub narzędzi,
2. podawania haseł, PIN-ów, kodów jednorazowych czy innych danych uwierzytelniających,
3. udostępniania zdalnego dostępu do komputera,
4. wykonywania przelewów lub zatwierdzania operacji finansowych,
5. przekazywania danych osobowych lub danych pacjentów.
W przypadku kontaktu telefonicznego, który budzi jakiekolwiek wątpliwości co do autentyczności, tożsamość pracowników CSIRT CeZ można zawsze zweryfikować poprzez samodzielny kontakt z oficjalną infolinią CeZ.
2. Weryfikacja tożsamości rozmówcy
Jeżeli rozmówca podaje się za przedstawiciela instytucji:
weryfikację należy przeprowadzić samodzielnie, korzystając z oficjalnych numerów kontaktowych (np. ze strony internetowej),
zaleca się potwierdzenie informacji innym, niezależnym kanałem (np. infolinia, aplikacja, kontakt wewnętrzny w placówce).
Nie należy korzystać z numerów telefonów ani linków podanych przez rozmówcę.
3. Zgłaszanie podejrzanych sytuacji
W przypadku otrzymania podejrzanej wiadomości, połączenia telefonicznego lub zaobserwowania innych zdarzeń mogących stanowić próbę oszustwa należy niezwłocznie przekazać informację zgodnie z poniższymi zasadami:
1) Formularz zgłoszeniowy (rekomendowany):
https://cez.gov.pl/pl/page/zglos-incydent
2) Adres e-mail do zgłoszeń:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
3) Podejrzane SMS-y należy zgłaszać do CERT Polska (CSIRT NASK) na numer 8080, używając funkcji "Przekaż" w telefonie.
Informacja końcowa
Oszustwa typu vishing są coraz częściej wspierane przez nowoczesne technologie, w tym narzędzia sztucznej inteligencji. Mogą dotyczyć każdego, niezależnie od doświadczenia zawodowego.
Zgłoszenie podejrzanej rozmowy jest działaniem właściwym i oczekiwanym. Brak zgłoszenia może zwiększyć ryzyko dla bezpieczeństwa informacji oraz ciągłości działania organizacji.
W przypadku dodatkowych pytań lub potrzeby wsparcia, pozostajemy do Państwa dyspozycji pod adresem: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..
