Na ataki phishingowe jesteśmy narażeni na co dzień korzystając z bankowości elektronicznej, sklepów internetowych czy mediów społecznościowych. Cyberprzestępcy, podszywając się pod zaufane podmioty, wyłudzają dane logowania, numery kart płatniczych czy kody BLIK.
Skutki ataku mogą być dotkliwe i wiązać się z utratą środków finansowych, kradzieżą tożsamości oraz narażeniem na kolejne oszustwa. Dlatego też szybka i świadoma reakcja ma kluczowe znaczenie.
Z uwagi na wielość metod stosowanych przez oszustów oraz dużą innowacyjność w tym zakresie również brak jest jednej skutecznej drogi postępowania, a droga działania w przypadku wykrycia phishingu jest uzależnione od metody zastosowanej przez sprawców. Niemniej poniżej przedstawiam przykładowy katalog kroków jakie warto podjąć celu przeciwdziałania skutkom wyłudzenia danych.
Co zrobić bezpośrednio po wykryciu phishingu?
1. Zabezpieczenie urządzenia oraz dostępu do kont internetowych
Jeśli do incydentu doszło za pośrednictwem Internetu to należy odłączyć zainfekowane urządzenie od sieci, wykonać skanowanie oprogramowaniem antywirusowym, a także usunąć podejrzane oprogramowanie, jeśli do zainstalowania takowego doszło.
Ponadto korzystając z innego urządzenia należy zabezpieczyć swój dostęp do kont internetowych poprzez zmianę haseł, które mogły zostać wykradzione przez oszustów.
2. Zgłoszenie reklamacji do banku lub operatora płatności
Jeśli doszło do ujawnienia danych logowania do banku, karty kredytowej lub zatwierdzenia przelewu, niezwłocznie należy skontaktować się z infolinią banku. Instytucje finansowe mają obowiązek przyjąć zgłoszenie i zwrócić środki w ciągu jednego dnia roboczego, o ile klient nie działał rażąco niedbale (art. 46 ust. 1 ustawy o usługach płatniczych).
3. Zastrzeżenie dokumentów i kart płatniczych
W przypadku ujawnienia danych osobowych takich jak PESEL, seria i numer dowodu lub zdjęcie dokumentu, konieczne jest ich zastrzeżenie w systemie dokumentów zastrzeżonych – np. przez bank lub portal https://www.bik.pl. Podobnie w przypadku kart płatniczych, jeśli doszło do uzyskania ich danych przez osoby trzecie, należy niezwłocznie zgłosić ten fakt w banku i zablokować kartę.
4. Zgłoszenie przestępstwa na Policję
Phishing może stanowić przestępstwo oszustwa (art. 286 Kodeksu karnego) lub oszustwa komputerowego (art. 287 Kodeksu karnego). Zgłoszenia podejrzenia popełnienia przestępstwa oszustwa na Policję lub do prokuratury jest o tyle istotne, że wczesne wykrycie daje większą szansę wykrycia sprawcy. W tym celu warto zabezpieczyć dowody poprzez wykonanie zrzutów ekranu, bądź zapisaniem e-maili oraz treści wiadomości SMS.
5. Informowanie innych i czujność
Jeśli doszło do uzyskania dostępu do poczty elektronicznej lub mediów społecznościowych należy poinformować znajomych, współpracowników lub administratorów portalu, gdyż dostęp do konta internetowego może zostać wykorzystany do rozesłania kolejnych wiadomości phishingowych. Wskazana jest także czujność w najbliższych tygodniach – przestępcy często kontynuują atak, korzystając z raz zdobytych danych.
6. Zgłoszenie próby phishingu do instytucji ostrzegających innych użytkowników
Nawet jeśli nie doszło do faktycznego oszustwa, warto zgłosić próbę phishingu, by ostrzec innych użytkowników i umożliwić reakcję odpowiednim służbom. Można to zrobić m.in. przez formularz na stronie: https://www.incydent.cert.pl. Dotyczy to w szczególności podejrzanych e-maili, stron internetowych oraz SMS-ów.
W przypadku stron lub podmiotów podszywających się pod bank, serwis rządowy, sklep online itp. zgłoś to do banku, operatora domeny czy też na infolinii tego podmiotu. Takie zgłoszenia mogą skutkować zablokowaniem fałszywej strony lub numeru telefonu, co może uchronić innych użytkowników przed utratą danych i pieniędzy.
***
Phishing to realne zagrożenie, ale reakcja na incydent nie wymaga zaawansowanej wiedzy technicznej, ale znajomości podstawowych procedur. Każdy przypadek warto zgłaszać – nie tylko dla odzyskania środków, ale i w celu przerwania działań przestępców.
Jeśli padłeś ofiarą phishingu – działaj natychmiast. Zabezpiecz swoje finanse, dokumenty i dane.
W kolejnym wpisie zostanie podjęta tematyka, jak odzyskać pieniądze po cyber-oszustwie.
Zapraszam do kontaktu 
Cezary Korolczuk
adwokat
