NOTA PRAWNA: Rozwiązania prezentowane na niniejszej stronie stanowią własność ACME LABS Sp. z o.o. i podlegają ochronie prawnej w Polsce oraz za granicą, na gruncie praw własności intelektualnej i przemysłowej.

eZNACZEK wspiera WOŚP!

Wygramy! Tak zaczynają się podziękowania za wygraną w licytacji finału Wielkiej Orkiestry Świątecznej Pomocy w 2021r. Wspierając WOŚP, wygrywamy o wiele więcej niż tylko licytację! 😉

Podczas ostatniego finału WOŚP, eZNACZEK (czyli ACME LABS Sp. z o.o.) na emocjonującej aukcji wylicytował spinki do mankietów, przekazane na potrzeby WOŚP przez Przemysława Gdańskiego, Prezesa Zarządu BNP Paribas Bank Polska S.A.

Dla wszystkich, którzy również na nie polowali – głowa do góry. Wylicytowane przez eZNACZEK spinki wrócą do puli licytacyjnej WOŚP w finale w 2022r., a jak z pewnością zauważyliście na dołączonych zdjęciach – spinki oraz certyfikat WOŚP zostały podpisane przez Prezesa Gdańskiego.

Panie Prezesie – dziękujemy!

Już teraz zachęcamy do udziału w kolejnej licytacji!

Zespół eZNACZKA.

Cyberbezpieczeństwo na wakacjach – bądź czujny i nie daj się oszukać! Część 1: przed wakacjami.

Powoli zapominamy o obostrzeniach i zaczynamy planować wakacyjne wyjazdy – przeglądamy strony w poszukiwaniu korzystnych ofert, wspólnie z rodziną omawiamy plany i destynacje i oczami wyobraźni widzimy, jak w końcu po całym roku zawirowań związanych z pandemią – odpoczniemy!

Brzmi jak idealny scenariusz, prawda? Jest również druga strona, dla której jest to plan jak z bajki: dla złodzieja, który czyha na moment Twojej nieuwagi lub uśpioną czujność. Dziś przedstawimy, na co warto uważać podczas planowania kolejnego letniego wyjazdu i jakie zagrożenia czekają na nas podczas rezerwacji upragnionych wakacji.

KORZYSTNA OFERTA – uważnie sprawdzaj e-mail nadawcy, adres strony na którą kieruje nas oferta oraz domenę. Często bardzo atrakcyjne oferty, ukryte pod plakietką ‘post-pandemicznych’ mogą być łatwym sposobem na phishing. Najlepiej informacje pozyskane w wiadomości sprawdź w innym źródle – np. na stronie internetowej biura podróży. To właśnie ten sposób na kradzież w sieci może być szczególnie popularny w 2021 r. Nasza czujność jest uśpiona po czasach pandemii: wyjątkowo tanią ofertę na atrakcyjnych warunkach można łatwo usprawiedliwić chęcią powrotu branży turystycznej do czasów przed pandemią. Właśnie dlatego teraz koniecznie musisz podjąć dodatkowe środki bezpieczeństwa.

SZYBKA PŁATNOŚĆ – masz nocleg, teraz czas na przelot i auto! Jeszcze tylko ostatni przelew i… coś wzbudza Twoje wątpliwości? Być może strona nie wygląda profesjonalnie, nie posiada ‘https’ przed adresem lub podejrzanie długo się ładuje? Skontaktuj się bezpośrednio z firmą i upewnij się, czy aby na pewno taka oferta istnieje. Dzięki temu będziesz mieć pewność, że Twoje pieniądze rzeczywiście dotrą w bezpieczne miejsce i czeka Cię zasłużony urlop a nie próby odkręcania skutków padnięcia ofiarą oszustwa internetowego.

A Ty – miał*ś okazję natknąć się na wakacyjne, podejrzanie atrakcyjne oferty? Podziel się z nami swoimi doświadczeniami!

UWAGA NA KOLEJNY SCENARIUSZ OSZUSTWA NA OLX!

OLX od dawna próbuje ograniczać skalę oszustw dokonywanych przez fałszywych kupujących. Próba domknięcia ekosystemu przez „przesyłki OLX” nie zalicza się chyba do sukcesów portalu. Nie dlatego, że to nie jest dobry pomysł, lecz dlatego, iż aktualnie jest to często wykorzystywany motyw w scenariuszach oszustw mających miejsce na OLX. Ekipie eZNACZKA przytrafiła się dzisiaj ciekawa historia.

Wiadomość otrzymana na WhatsAppie wzbudza zaciekawienie – w oczy rzuca się numer telefonu +996, co oznacza Kirgistan. Pierwsza wiadomość jest z godziny 17:11 czasu lokalnego w Biszkeku, stąd moje przypuszczenie, iż właśnie do „kotłowni” przyszła druga zmiana trolli. A może kotłownia jest w Bełchatowie? Kto wie. Mają tam ogromne kominy i może z najwyższego widać Kirgistan. W każdym bądź razie tak się składa, że aktualnie mam aktywne dwa ogłoszenia w których cena jest równa dokładnie 100,- zł stąd chciałbym wiedzieć co mam wysłać do Biszkeku. A to, że będzie wysyłka jestem już pewien po otrzymaniu poniższej wiadomości zawierającej ciekawy screen, rzekomo pochodzący z OLX. Pełna profeska – nawet czcionka pasuje. Wiem też, że jak to zwykle bywa w tego typu oszustwach – aby otrzymać pieniądze muszę kliknąć na spreparowanego linka.

Kotłownia ma dzisiaj dużo roboty (też muszą mieć plany sprzedażowe) i linka prowadzącego do „otrzymania płatności” otrzymuję dopiero po półtorej godziny. Teraz już wiem które z moich ogłoszeń wybrali oszuści – sezon na sprzedaż akcesoriów komunijnych już za nami, ale wystawione butki nie znalazły kupca i ogłoszenie tak sobie wisiało do momentu aż samo by po prostu wygasło. To, że akurat oszuści zainteresowali się tym ogłoszeniem jest kolejnym potwierdzeniem znanego schematu, że udają zainteresowanie „trudno schodzącym towarem”. Widzę też jaką ciekawą domenę użyli. Butki kupić w Warszawa? Wysłać Biszkek? No problem.

Mam jeszcze trochę czasu na „odebranie płatności” i wykorzystam ten czas na sprawdzenie czy OLX chroni sprzedających przed takimi atakami. Muszę przyznać, że strona OLX z pomocą jest wyjątkowo rozbudowana i zawiera sporo przydatnych informacji. Możemy też na niej sprawdzić czy otrzymany link do płatności jest „prawdziwy”.

Tymczasem w Biszkeku robi się 1 w nocy i na pytanie dlaczego nie mam jeszcze płatności nie otrzymuję już odpowiedzi. Widzę, że wiadomość nie dotarła do urządzenia oszusta. Nie będę czekać do rana. Blokuję kontakt na WhatsAppie. Bye bye Biszkek. Dobranoc.

To, że nie dałem się nabrać wynika z tego, że tematyką komunikacji zajmujemy się na co dzień. Ale musimy  zdać sobie sprawę, że ofiarami takich oszustw jest wiele osób. Być może w tym samym momencie jak piszę ten post właśnie tracą środki ze swoich rachunków bankowych. Dlaczego? 

Zgodnie z badaniami przeprowadzonymi na SGH jedynie 4% Polaków czyta ostrzeżenia na stronach banków informujące o oszustwach. Na stronę OLX dotyczącą bezpieczeństwa także z pewnością dociera garstka użytkowników portalu. Brakuje rozwiązania które domknęłoby ekosystem OLX pozwalając na definitywne odcięcie się użytkowników portalu od zewnętrznych – nie autoryzowanych przez OLX i nie kontrolowanych w ramach ekosystemu – nośników wiadomości i kontaktu pomiędzy kupującymi a sprzedającymi, które pozwoliłoby na zamknięcie komunikacji wyłącznie w ramach ekosystemu OLX.

W tej roli doskonale sprawdziłby się eZNACZEK, który jest dodatkową warstwą bezpieczeństwa, dedykowaną do rozwiązania w komunikacji elektronicznej, także w ramach portali aukcyjnych oraz z ogłoszeniami. Gdyby każdy z użytkowników OLX samodzielnie ustalił swój eZNACZEK – wiedziałby, że może podejmować działania związane z OLX wyłącznie w sytuacji, gdy wiadomość którą otrzymuje zawiera eZNACZEK. Jego/jej eZNACZEK. Będący ciągiem znaków lub też zdjęciem ulubionego wnuczka. Wiadomość nie zawierająca eZNACZKA mogła by wylądować tam gdzie powinna – w koszu lub w folderze ze spamem.

TRZEBA BYŁO NIE KLIKAĆ

Niestety tak brzmi najczęściej odpowiedź, kiedy poszkodowany dzwoni do podmiotu, od którego uważał, że dostał emaila. A przecież zgodnie z informacją umieszczoną na stronie internetowej w zakładce cyberbezpieczeństwo dokładnie literka po literce sprawdziłeś adres, z którego dostałeś wiadomość mailową. Wiesz też, że w przypadku dużych liter musisz sprawdzić, czy nie jest to zamiana małych liter na inne duże litery i cyfry. Jesteś w grupie tych 4% osób, które wg raportu SGH czyta informacje i ostrzeżenia o zagrożeniach. Okazuje się jednak, że na wiele się to nie zdało. Padłeś ofiarą phishingu. 

A teraz, jedyne co możesz zrobić to poszukać ostatniej wersji backupu, o ile taką posiadasz, lub aby odzyskać ważne dla siebie dokumenty i zdjęcia rodzinne zapłacić okup w bitcoinach. I jak się teraz czujesz? Bezpiecznie? Zaopiekowany przez swojego dostawcę? 

Dlaczego dostawcy nie biorą odpowiedzialności za to, że pozwolili, aby ktoś się pod nich podszył i wyrządził szkody ich Klientom? Dostawcy, pod których najczęściej podszywają się przestępcy, to wielkie firmy, posiadające odpowiednią infrastrukturę, kadry i zasoby, aby zapewnić nam konsumentom, w większości nieposiadającym odpowiedniej specjalistycznej wiedzy, bezpieczeństwo komunikacji elektronicznej. 

eZNACZEK jest rozwiązaniem, które pozwala m.in. instytucjom finansowym, telekomom, firmom kurierskim oraz innym podmiotom komunikującym się z Klientem, na dodatkowe zabezpieczanie masowej korespondencji elektronicznej. Dzięki niemu firmy te w korespondencji mailowej mogą zaoferować swoim Klientom bezpieczeństwo i komfort współpracy.

KIEDY KONIEC SIM-SWAP-FRAUD?

Gdy zauważysz, że Twój telefon nagle milknie i traci dostęp do sieci, a aktualnie nie odpoczywasz na plaży na Zanzibarze, to natychmiast powinieneś podjąć zdecydowane działania i skontaktować się ze swoim operatorem telekomunikacyjnym. Ze swoim Bankiem też nie zaszkodzi. Dlaczego? Nie można wykluczyć, iż stałeś się właśnie ofiarą SIM-Swap-Fraudu, czyli oszustwa biorącego swoją nazwę od nieautoryzowanego dostępu do duplikatu karty SIM. Twojej karty SIM.

Aby doszło do ataku przestępcy muszą znać numer Twojego telefonu, trochę danych osobistych i nazwę banku w którym masz rachunek. Nie jest trudno zdobyć taki zestaw danych, część z nich znajduje się m.in. na tzw “białej liście” MF, ale też możemy oszusta w nie wyposażyć nieświadomie w wyniku ataku phishingowego. Do kompletu oszustowi brakuje tylko fałszywego dokumentu tożsamości z Twoimi danymi – pomimo sankcji karnych w dalszym ciągu nie jest problemem dla chcącego posiąść dowód kolekcjonerski z Twoimi danymi i zdjęciem oszusta.

Mając komplet informacji oszuści zgłaszają operatorowi chęć wyrobienia duplikatu Twojej karty SIM na nową, po czym  wykorzystują wyłudzoną kartę do autoryzowania transferu środków z Twojego konta bankowego. W przypadku tego typu ataku czas ma ogromne znaczenie, dlatego powinniśmy działać szybko, aby nie doszło do najgorszego scenariusza, czyli wyprowadzenia środków z naszego konta. 

Czy jest sposób, aby uchronić się przed tego typu atakami? Powinniśmy chronić nasze dane, zwłaszcza związane z logowaniem do bankowości elektronicznej i nie udostępniać ich nikomu. Warto również zapoznać się z procedurami kontaktu z bankiem oraz telekomem na wypadek wystąpienia takiej “awarii”. 

eZNACZEK jest rozwiązaniem, które jest dodatkową warstwą zabezpieczającą Twoją komunikację elektroniczną, zmniejszającą ryzyko stania się ofiarą phishingu. eZNACZEK to także dodatkowa możliwość weryfikacji tożsamości klienta w salonie operatora lub oddziale banku.

Jeśli chcesz zminimalizować ww. ryzyka poproś swojego dostawcę usług (bank, telekom, media, itp.) aby wiadomości jakie kieruje do Ciebie były dodatkowo zabezpieczone oraz abyś mógł autoryzować się dodatkowo eZNACZKIEM w punkcie sprzedaży.

“ZABÓJCZE” ZAŁĄCZNIKI

90% szkodliwego oprogramowania wykorzystywanego przez cyberprzestępców jest przez nich rozsyłania w wiadomościach e-mail jako załączniki, które w konsekwencji naszej nieuwagi mogą zniszczyć nasze dane i pozbawić nas pieniędzy. Jeśli dodamy do tego, że 90% ataków hakerskich skutecznych jest przez błąd ludzki, to mamy gotowy przepis na scenariusz oszustwa. 

Mechanizmy skanowania antywirusowego naszej poczty nie są na tyle skuteczne aby wyłapać wszystkie wiadomości zawierające załączniki zainfekowane szkodliwym oprogramowaniem. Nasza czujność jest uśpiona gdy mamy do czynienia z  załącznikami w znanych nam formatach plików generowanych w pakietach biurowych czy też przez programy kompresujące dane, natomiast jesteśmy bardziej czujni gdy mamy uruchomić plik wykonywalny – np. exe. 

W przypadku popularnych plików aplikacji biurowych nie zawsze bierzemy pod uwagę, iż można do nich np. wprowadzić tzw. makra. Jeżeli po uruchomieniu takich plików program zapyta nas, czy zgadzamy się na włączenie makr, to gdy nie jesteśmy w 100% pewni pochodzenia wiadomości, w naszej głowie powinna zapalić się czerwona lampka. Zgoda może bowiem oznaczać uruchomienie skryptu i instalację złośliwego oprogramowania. 

W przypadku spakowanych archiwów danych, czyli popularnych ZIP, RAR, 7ZIP oraz innych, do aktywacji wirusa dochodzi po wypakowaniu zawartości archiwum. 

Każdy z powyższych rodzajów plików może tylko udawać plik formatu takiego na jaki wygląda, a może być po prostu plikiem o ukrytym formacie .exe. Może się zdarzyć, iż otrzymacie nieoczekiwaną fakturę w formacie PDF, ale jej pełna nazwa, której możecie nie zauważyć to np. “Faktura_25/04.pdf.exe”. Po ściągnięciu i uruchomieniu takiego załącznika, wyglądającego na “zwykły” PDF dochodzi do zainfekowania waszego urządzenia złośliwym oprogramowaniem. 

W plikach PDF skrywa się kolejne zagrożenie, z którego większość z nas nie zdaje sobie sprawy.. PDFy mają specyficzny warstwowy charakter i z tego powodu nie są całkowicie bezpiecznie, gdyż przestępcy mogą manipulować warstwą pliku, którą widzimy. Oszustwo z wykorzystaniem tej cechy PDFów polega na tym, że np. możemy podpisać podpisem elektronicznym dokument PDF, którego prawdziwa zawartość jest inna niż ta, którą widzimy w momencie jego podpisywania. Wyróżniamy tutaj trzy rodzaje manipulacji zawartością takiego dokumentu PDF: ukrycie warstwy dokumentu,  zastąpienie jej wersją zmodyfikowaną lub ukrycie i zastąpienie w jednym. 

Jak widać z powyższego zestawienia, nasza korespondencja e-mailowa nie jest bezpieczna i nawet jeśli będziemy ostrożni, możemy stać się kolejną ofiarą ataku, gdyż oszuści wymyślają wciąż nowe sposoby i metody cyberataków. 

Dlatego warto stosować dodatkowe rozwiązania zwiększające bezpieczeństwo komunikacji elektronicznej. eZNACZEK jest rozwiązaniem, które uwiarygadnia nadawcę wiadomości oraz pozwala na zaufanie jej zawartości. W przypadku stosowania eZNACZKA opisane powyżej dylematy dotyczące popularnych typów plików mogą odejść do przeszłości. eZNACZEK powinien stać się wkrótce dobrym standardem rynkowym w zakresie bezpieczeństwa, wyróżniającym wiadomości, jakie otrzymujemy z zaufanych źródeł. 

OJCOWIE CHRZESTNI CYBERPRZESTĘPCZOŚCI

W świecie rzeczywistym mafią rządzą silną ręką ojcowie chrzestni. W świecie cyberprzestępczości takimi ojcami chrzestnymi są Phishing i Vishing. Dranie jakich mało. Nikt im nie może dorównać w zasięgu i rozmachu z jakim działają. Malware i Ransomware są ich bezwzględnymi żołnierzami ślepo wykonującymi rozkazy. Na rozkaz szefów walą gdzie popadnie. Bez zgody Phishingu i Vishingu  większość z przestępstw cyfrowych nie mogłaby się powieść. Dlaczego więc, wiedząc kim są te najpotężniejsze figury w świecie cyberprzestępczości, do tej pory nie udało się ograniczyć ich wpływów? Czy dzieje się tak dlatego, że wiemy kto pada głownie ich ofiarą? Ale po kolei.

Każdy z nas jest największym dobrem, najcenniejszym aktywem – firm, korporacji i instytucji. Tak, my. Klienci indywidualni. Tak nam w każdym razie mówią reklamując swoje produkty i usługi. Ale czy na pewno? Korzystamy z usług wszelkich dostawców mediów (gaz, prąd, woda, telewizja, internet, telefon), instytucji (banki, firmy ubezpieczeniowe), korporacji (przesyłki pocztowe i kurierskie), oraz urzędów (urząd patentowy, urząd skarbowy, ZUS). Podpisujemy z nimi umowy. Obiecujemy sobie wywiązywać się z umów z należytą starannością. Płacimy za kupowane usługi i towary. To nasz obowiązek jako klienta. Za jego nieprzestrzeganie grożą nam różnego rodzaju sankcje, które w umowach zajmują większość stron z wiążących nas z nimi umów. Zresztą nie tylko. Taryfy opłat i prowizji też są skonstruowane w mało przyjazny dla nas sposób. Płatności dokonujemy oczywiście na podstawie dostarczonych nam faktur i rachunków.

A co w przypadku, gdy pod naszego dostawcę podszywają się Phishing i Vishing? Dlaczego my ponosimy odpowiedzialność za to, że nasz dostawca dał się im wykorzystać? Czy i jak dostawcy nas zabezpieczają przed atakami? Głównie prowadzą kampanie społeczne i zamieszczają ostrzeżenia na swoich stronach internetowych. Super. Od razu możemy czuć się bezpiecznie. Zresztą brak skuteczności tego zabezpieczenia jest taka, iż wcale nie jest dziwne, że zgodnie z badaniami przeprowadzonymi na SGH jedynie 4% klientów banków czyta ostrzeżenia zamieszczone na stronach bankowych.

Kampanie i ostrzeżenia sugerują, iż aby dobrze zweryfikować nadawcę wiadomości wystarczy sprawdzić uważnie adres z jakiego otrzymaliśmy wiadomość (to „zabezpieczenie” akurat dziecinnie łatwo można obejść), albo mamy sprawdzić czy dane (np. osobowe) w załączonej w wiadomości fakturze nas dotyczą lub czy załączony plik ma bezpieczny format PDF lub tez mamy kliknąć link w wiadomości, aby przenieść się na stronę dostawcy aby się na niej zalogować. Czy naprawdę to są wszystkie możliwe środki bezpieczeństwa jakie mają nas chronić? Niestety stosowanie się do powyższych rad może doprowadzić do tego, iż w wielu przypadkach uruchomimy coś czego niekoniecznie oczekiwaliśmy.  

Phishing wie, jak do tego doprowadzić. Czy są to więc jedyne możliwe wytyczne dotyczące weryfikacji wiadomości? Słyszymy często, że tak i że są skuteczne. W takim razie po co nasi dostawcy organizują dla swoich pracowników wewnętrzne szkolenia z cyberbezpieczeństwa? Nie, że mamy problem, z tym, iż szkolą własnych pracowników. Chwała im za to. Ale nasuwa się pytanie, czy pracownicy naszych szanownych dostawców nie potrafią zrozumieć tego przekazu, który kierowany jest do nas – klientów? Czy potrzebują specjalnego wyjaśnienia i poznania metod obrony przed atakami? Gdzie tu logika miedzy kampaniami społecznymi kierowanymi do mas oraz specjalnymi działaniami dostawców względem swoich pracowników? Nie o logikę tu niestety chodzi, ale o fakt, iż działania dostawców w większości nakierowane są na to, aby zapewnić bezpieczeństwo swoim organizacjom. A o tym jak my jesteśmy zabezpieczeni przez dostawców wiedzą dobrze Phishing i Vishing i dlatego to my tracimy swoje dane, oszczędności, marzenia i wspomnienia (zdjęcia, filmy). Tak, to głownie my, klienci indywidulani firm, korporacji oraz instytucji i urzędów jesteśmy anonimowymi ofiarami ataków Phishingu i Vishingu.

Czy taka ma być kolej rzeczy? A może wystarczy chcieć zastosować nowe rozwiązania, zwiększające nasze szanse w walce z Phishingiem i Vishingiem? Czyż nie byłoby bezpieczniej, gdyby każdy z nas otrzymywał wiadomości od dostawców, zawierające spersonalizowany przez siebie eZNACZEK, który byłby znany tylko i wyłącznie każdemu z nas z osobna. Tyle eZNACZKÓW ilu klientów. Czy Phishing dałby radę odgadnąć nasze eZNACZKI? Czyż nie byłoby bezpieczniej, gdyby połączenie telefoniczne konsultanta było anonsowane wiadomością zawierającą informacje o chęci rozmowy, zabezpieczoną eZNACZKIEM? Czy Vishing byłby w stanie ustalić wszystkie eZNACZKI?

Czy eZNACZEK stosowany i spersonalizowany przez każdego z nas do zabezpieczania komunikacji z dostawcami dóbr i usług mógłby pokonać Phishing i Vishing? Tego będziemy mogli się dowiedzieć gdy zgodnie z planowaną dyrektywą NIS2 wymienione w niej podmioty będą zobowiązane do zastosowania odpowiednich środków bezpieczeństwa aby chronić komunikację z nami. Najpewniej nasi dostawcy będą mieli do końca 2022r. czas na wdrożenie działań aby być zgodnymi z postanowieniami dyrektywy. A może któryś z Waszych dostawców wcześniej we współpracy z eZNACZKIEM pokona cyberprzestępców i zapewni Wam większe bezpieczeństwo kontaktu elektronicznego? Tak, aby ocena działań nie kończyła się słowami „trzeba było tego nie klikać / trzeba było z tą osobą nie rozmawiać i rozłączyć się”.    

Kontakt