W czerwcu 2016 roku kilka godzin przed sesją zaliczeniową na uczelni SGGW Pan Paweł, korzystając z ostatnich chwil przed egzaminem, nerwowo przegląda swoje notatki na nowo zakupionym smartfonie. Zjawia się wykładowca...
W związku z tym, że student był niebywale przejęty wynikiem testu, roztrzęsiony, w pośpiechu skrzętnie chowa do torby wszystkie pomoce naukowe. Swój telefon wkłada do kieszeni. Niestety wypada on na podłogę. Niczego nieświadomy, zestresowany Pan Paweł wchodzi do sali egzaminacyjnej. Dopiero po ukończonym teście orientuje się, iż nie ma swojego nowego iPhona wartego bagatela 3 500 zł.
Po chwili zastanowienia student uświadamia sobie, iż podczas konfiguracji aparatu nie wyłączył darmowej usługi Find My iPhone, która pozwala nie tylko na zlokalizowanie swojego telefonu, ale również na zablokowanie go z dowolną wiadomością na ekranie lub całkowite wymazanie jego pamięci. Pan Paweł jest świadomy, iż osoba, która znalazła jego telefon, bez znajomości hasła Apple ID prawowitego właściciela sprzętu nie jest w stanie nic z nim zrobić, a jego sprzedaż na części nie przyniesie jej wiele dochodu. W związku z tym loguje się na iCloud.com i decyduje się wyświetlić na ekranie swojego zgubionego telefonu informację: „W przypadku znalezienia proszę o kontakt pod numerem XXX”.
Po kilku godzinach na podany numer telefonu Pan Paweł otrzymuje wiadomość SMS z usługi Find My iPhone z informacją o dokładnym modelu jego telefonu, datą i orientacyjną godziną jego zagubienia oraz prośbą o zalogowanie się pod podanym linkiem w celu jego zlokalizowania.
Jak się później okazuje Pan Paweł pada ofiarą phisingu. Podana witryna internetowa w wiadomości była łudząco podobna do strony iCloud.com, jednak z tą różnicą, iż wszelkie podane przez niego dane uwierzytelniające zostały ujawnione i przesłane do przestępcy. Złodziej, korzystając z ich znajomości, wymazał telefon, zmienił hasła dostępowe i teraz w pełni może się cieszyć nowym aparatem.
Co zrobić, gdy staniesz się ofiarą pishingu?
- niezwłocznie prześlij wiadomość phishingową i linki do firmy, której wizerunek został wykorzystany,
- zgłoś dane strony wyłudzającej do google oraz zespołu reagowania na incydenty CERT Polska,
- skontaktuj się ze służbami ochrony porządku publicznego,
- dobrym uczynkiem obywatelskim jest również poinformowanie o sytuacji UOKiK.
Niestety przypadków podobnych do Pana Pawła jest coraz więcej. Cyberprzestępcy wykorzystują fakt, że nasze społeczeństwo posiada niski poziom świadomości z zakresu metod wykorzystywanych przez przestępców podczas podszywania się pod różne firmy i instytucje. Warto być świadomym czyhających niebezpieczeństw i informować o nich swoich znajomych, ponieważ najskuteczniejszą bronią w walce z takimi cyberprzestępcami jesteśmy my sami.
