Zdecydowana większość z nas uważa, że potrafi rozpoznać wiadomości pochodzące od cyberprzestępców. Czyżby? Wyniki badania zrealizowanego przez SMSAPI dowodzą, że to optymistyczne założenie nijak ma się do rzeczywistości. 

Według danych zgromadzonych przez zespół CERT Polska doszło w naszym kraju w 2022 r. do prawie 40 tys. incydentów naruszenia cyberbezpieczeństwa. Aż 64 proc. z nich zaliczało się do kategorii tzw. phishingu, czyli wysyłki sfałszowanych wiadomości e-mail lub SMS, które służą do kradzieży tożsamości i wyłudzenia danych bankowych.

Cyberprzestępcy stosujący phishing podszywają się m.in. pod firmy kurierskie lub sklepy internetowe i tworzą wiadomości do złudzenia przypominające oryginalną korespondencję. Ukryto w nich jednak także elementy, które mogą wskazywać na próbę oszustwa. Czy potrafimy je rozpoznać? Odpowiedź na to pytanie przynosi opracowany przez SMSAPI raport „Bezpieczeństwo cyfrowe Polaków”.

Nadmierna pewność siebie

Autorzy badania zapytali 1000 pełnoletnich respondentów m.in. o to, czy w ciągu ostatnich sześciu miesięcy otrzymali wiadomość zawierającą podejrzane treści. Odpowiedzi twierdzącej udzieliło prawie 54 proc. ankietowanych. Stwierdzili oni, że regularnie są wysyłane do nich wiadomości pochodzące rzekomo z banków lub urzędów, a także niespodziewane wezwania do zapłaty.

Informacje tego typu rozpowszechnia się wieloma kanałami równocześnie, a najwięcej niebezpiecznych treści jest przekazywanych przy pomocy SMS-ów (ponad 75 proc. wskazań) oraz e-maili (49 proc.).

Najbardziej interesujący wniosek z raportu dotyczy jednak przekonania o własnej zdolności do rozpoznawania fałszywych i potencjalnie niebezpiecznych wiadomości.

Prawie 62 proc. ankietowanych zadeklarowało, że jest w stanie zidentyfikować treści pochodzące od cyberprzestępców, co skłoniło ekspertów SMSAPI do przeprowadzenia dodatkowego eksperymentu. Respondentom pokazano cztery wiadomości SMS, spośród których aż trzy były przykładem oszustwa. Do uczestników badania należało prawidłowe wskazanie wszystkich fałszywek. 

Efekt? Mimo optymistycznych zapewnień zadanie wykonało poprawnie zaledwie 30 proc. respondentów. Ponad połowa badanych (53 proc.) uznała poprawną wiadomość za próbę podszywania się, a przeszło 47 proc. osób stwierdziło, że niebezpiecznie brzmią wszystkie zaprezentowane SMS-y.

Stary aforyzm mówi, że pycha kroczy przed upadkiem, i zasada ta dobrze sprawdza się w odniesieniu do zagrożeń w cyberprzestrzeni. Nasze badanie w brutalny sposób zweryfikowało powszechne przekonanie o umiejętności trafnego rozpoznawania fałszywych wiadomości. W innym pytaniu respondenci słusznie wskazywali elementy wiadomości, które powinny budzić czujność odbiorcy, np. ponaglenia do szybkiego działania, brak naszych danych osobowych, nieznany nadawca lub numer, błędy składniowe lub ortograficzne. W praktyce jednak zignorowali te elementy w podanych przykładach wiadomości. Nadmierna pewność siebie może mieć bardzo zgubne konsekwencje i prowadzić np. do utraty środków zgromadzonych na koncie bankowym.

Maja Wiśniewska-Hardek, head of marketing w SMSAPI

Warto dzielić się wiedzą

Oprócz ostrożności ważna jest także wiedza. Większość uczestników badania (69 proc.) zadeklarowała, że informacje na temat cyberbezpieczeństwa zdobywa za pośrednictwem mediów. Co ciekawe, połowa respondentów przyznała również, że dowiaduje się o zagrożeniach od członków rodziny i znajomych. To bardzo ważny wniosek, ponieważ zdaniem ekspertów SMSAPI rozmowa, wymiana informacji i dzielenie się doświadczeniami odgrywają bardzo dużą rolę w zwalczaniu cyberprzestępczości. Specjaliści radzą też, aby ostrzeżenia przed fałszywymi wiadomościami przekazywać dalej.

Jeżeli dostajemy podejrzaną wiadomość, w pierwszej kolejności warto poinformować o tym osoby z naszego najbliższego otoczenia. O próbach podszywania się pod instytucje powszechnie darzone zaufaniem, jak bank, poczta czy dostawca energii, warto szczególnie informować osoby starsze, które często są mniej świadome cyfrowych wyłudzeń. 

Maja Wiśniewska-Hardek, head of marketing w SMSAPI

Edukacja w zakresie rozpoznawania i przeciwdziałania oszustwom w sieci to działanie wielowymiarowe. Potrzebujemy chęci użytkowników do pozyskiwania nowej wiedzy oraz doskonalszych, bardziej zrozumiałych komunikatów np. w naszych social mediach. Ale udzielanie pomocy w rozpoznaniu to jeden aspekt naszej pracy, drugim jest przeciwdziałanie zagrożeniom, np. w postaci Listy Ostrzeżeń. Do tego potrzebujemy też zgłoszeń od osób, które rozpoznają zagrożenia samodzielnie. Z tego powodu chcielibyśmy, żeby w kolejnej edycji badania znacznie więcej osób zadeklarowało zgłaszanie zagrożeń. Godne pochwały są natomiast deklaracje blisko połowy respondentów, którzy ostrzegają znajomych i rodzinę.

Szymon Sidoruk, specjalista ds. analizy zagrożeń w CERT Polska

Samo usunięcie fałszywego SMS-a lub e-maila to za mało, aby skutecznie zwalczać problem cyberprzestępczości. Wszystkie incydenty najlepiej zgłosić odpowiedniej instytucji. Specjalnie do tego celu utworzono numer 8080 oraz formularz zgłoszeń na stronie incydent.cert.pl. Próbę oszustwa można też zgłosić policji lub operatorowi telekomunikacyjnemu.

Marka SMSAPI od ponad 17 lat dostarcza profesjonalne rozwiązania w zakresie masowej wysyłki wiadomości SMS dla firm i instytucji publicznych w Polsce i na całym świecie. Mamy certyfikat ISO 27001, jesteśmy na liście integratorów Urzędu Komunikacji Elektronicznej, ściśle współpracujemy z CERT, policją i operatorami sieci komórkowych. To w połączeniu z naszymi filtrami antyspamowymi i pracującym bez przerwy działem monitoringu może dać naszym klientom poczucie, że zarówno jakość naszych usług, jaki i bezpieczeństwo są na najwyższym poziomie. Trzeba podkreślić, że dokonujemy też krzyżowej, kompleksowej weryfikacji wiarygodności każdego potencjalnego klienta, np. poprzez pierwszą płatność z konta firmowego.

Wojciech Kaczmarek, managing director w LINK Mobility Poland

Pełny raport Bezpieczeństwo cyfrowe Polaków pobrać można za darmo ze strony SMSAPI: https://www.smsapi.pl/raport2024.

Partnerami badania są: Marketer+, E-commerce w Praktyce, sprawny.marketing, , Biostat, WithSecure, 4Prime i ChronPESEL.pl.