Ponad połowa polskich przedsiębiorców znalazła się na celowniku cyberoszustów. Niewielu z nich jednak wie, że może pokrzyżować plany przestępców poprzez zgłoszenie próby scamu do CERT Polska, chroniąc w ten sposób inne osoby i firmy – wynika z badania ING Banku Śląskiego.
Większość cyberoszustw ma charakter masowy – przestępcy kierują podobne wiadomości i linki do tysięcy ludzi. Jeśli choć jedna osoba zgłosi incydent do zespołu CERT Polska, to cała przestępcza operacja może zostać w ciągu kilku godzin zablokowana i nikt inny nie zostanie oszukany.
– Cyberprzestępcy są zdeterminowani, dlatego zachęcamy, by nie dawać im drugiej szansy i na stronie incydent.cert.pl zgłaszać każdą próbę oszustwa w firmie i w życiu prywatnym – mówi Marcin Dudek, kierownik zespołu CERT Polska, działającego w instytucie badawczym NASK. Tylko w 2024 roku CERT Polska zablokował blisko 1,5 mln oszukańczych SMS-ów oraz 75 milionów prób wejść na szkodliwe strony internetowe.
Najczęstsza reakcja na scam? Brak reakcji
Badanie przeprowadzone na zlecenie ING Banku Śląskiego wskazuje, że ponad połowa polskich przedsiębiorców znalazła się na celowniku cyberprzestępców. 56 proc. badanych odpowiedziało, że zetknęli się z próbą phishingu (otrzymali wiadomość z zainfekowanymi załącznikami lub linkiem do fałszywej strony www). Fałszywą fakturę otrzymało 44 proc. badanych, tyle samo dostało propozycję fałszywej inwestycji.
ING zapytał także o to, jak przedsiębiorcy reagują na próbę cyberoszustwa. Okazało się, że najczęściej… nie robią nic. W zależności od typu ataku, od 41 do 57 proc. badanych odpowiedziało, że nie zrobili nic, a dodatkowo od 8 do 14 proc. nie pamiętało swojej reakcji. Wśród osób, które reagowały, po 22 proc. zgłosiło do CERT otrzymanie fałszywej faktury, próby phishingu oraz złośliwe oprogramowanie, ale już tylko 8 proc. zgłosiło spoofing, czyli podszywanie się pod instytucję lub firmę. Do policji zwróciło się – w zależności od typu ataku – od 8 proc. (smishing – SMS z linkiem) do 14 proc. badanych (phishing, spoofing, złośliwe oprogramowanie). Do banków przedsiębiorcy najczęściej zgłaszali próby phishingu (19 proc.) oraz spoofingu (27 proc.).
Rzadkie zgłaszanie incydentów do CERT Polska zapewne wynika z tego, że tylko nieco ponad co czwarty przedsiębiorca (28 proc.) zna tę instytucję i wie, co ona robi. Równocześnie 90 proc. przedsiębiorców uważa, że ma przynajmniej podstawową wiedzę o bezpieczeństwie w internecie. Poszczególne rodzaje ataków i metody ochrony przed nimi są jednak znane znacznie mniejszej grupie. Na pytanie o to, czym jest spoofing poprawną odpowiedź wskazała połowa badanych; nieco mniej wiedziało, jaki jest cel ataku DDoS. Najskuteczniejszą metodę ochrony przed phishingiem zdecydowana większość wskazała niewłaściwie – nie jest nią ani firewall, ani antywirus, ale klucz U2F (wskazany przez 28 proc. badanych).
Jak łatwo pokrzyżować plany oszustów i ochronić innych
Masowe cyberoszustwa wymagają od przestępców czasu i pieniędzy na organizację. Zgłoszenie do CERT Polska może pokrzyżować im plany i zablokować długo przygotowywaną operację.
– Przykładowo, jeśli przestępcy organizują akcję phishingową, w której będą rozsyłać do firm emaile ponaglające do płatności zaległej faktury, to najpierw muszą zdobyć bazę adresów email, stworzyć stronę internetową do wyłudzania danych, a następnie rozesłać tysiące wiadomości. Jeśli któryś z przedsiębiorców wyśle podejrzaną wiadomość do zespołu CERT Polska, to już po kilku godzinach dostęp do fałszywej strony może zostać zablokowany niemal w całej Polsce. Przestępcy muszą zaczynać jeszcze raz – mówi Wojciech Kordas, dyrektor odpowiedzialny za działania antyfraudowe w ING Banku Śląskim.
Wskazówki, jak skutecznie zgłaszać próby scamu można poznać na stronie ing.pl/lp/cert. Dodatkowo na potrzeby kampanii bank we współpracy z Piotrem Koniecznym, ekspertem ds. bezpieczeństwa w internecie, przygotował „10 zasad bezpiecznej firmy w sieci”.
ING od lat wspiera klientów w dbaniu o bezpieczeństwo w sieci. Bank edukuje dzieci i młodzież w grze Roblox, posiada także wiele rozwiązań i narzędzi, które lepiej chronią klientów. Promowanie działalności CERT Polska to kolejny sposób na niwelowanie negatywnych skutków cyberprzestępczości.
O działalności CERT Polska
Działający w instytucie badawczym NASK zespół CERT Polska skupia się na obsłudze incydentów bezpieczeństwa i współpracuje z podobnymi jednostkami na całym świecie. Zespół reaguje na incydenty zgłaszane zarówno przez firmy i instytucje, jak i osoby prywatne. Od 2020 roku CERT Polska prowadzi Listę Ostrzeżeń przed niebezpiecznymi stronami. Jest ona wykorzystywana między innymi przez największych operatorów telekomunikacyjnych w Polsce do automatycznego blokowania dostępu do szkodliwych stron i tym samym ograniczania skutków cyberataków.
O badaniu
Badanie na zlecenie ING, przeprowadzone na panelu Ariadna na ogólnopolskiej próbie liczącej N=200 osób prowadzących działalność gospodarczą. Termin realizacji: 12–16 grudnia 2024 r. Metoda: CAWI
