Uwaga! Akcja phishingowa. Orlen nie rozdaje bonów 1000 zł
Długi weekend, pora wieczorna — to najlepszy czas dla oszustów na akcję phishingową, wykorzystującą mailing. Tym lepszy, jeśli jest coś do wygrania. 12 sierpnia internauci dostali maila rzekomo od Orlenu, który rzekomo rozdaje bony 1000 zł. Z maila nie wynika konkretnie na co, ale większość mogłaby pomyśleć, że na paliwo, zwłaszcza w kontekście trwającej kampanii reklamowej "ORLEN VITAY" (która phishingiem nie jest). Uważajcie! To próba wyłudzenia danych!

- Monika Świetlińska
- /
- 16 sierpnia 2023
Musisz to wiedzieć
Wyłudzanie informacji (phishing) to oszukańcza próba kradzieży danych użytkownika, takich jak dane logowania, informacje o karcie kredytowej, a nawet pieniędzy. Ataki te są zazwyczaj przeprowadzane za pomocą wiadomości e-mail, które wyglądają na wysłane z zaufanego źródła. Istnieje także bardziej zaawansowana forma phishingu zwana "spear phishing", która opiera się na wstępnym wyszukiwaniu informacji o ofiarach, co sprawia, że próba oszustwa wygląda bardziej autentycznie. Jest to jeden z najskuteczniejszych typów ataków na sieci przedsiębiorstw.
8(17) 2023 SECURITY MAGAZINE Monika Świetlińska
Jak podała Agencja Unii Europejskiej ds.Cyberbezpieczeństwa (ENISA), w 2019 roku odnotowano straty w wysokości 26,2 mld USD z powodu ataków typu Business E-mail Compromise (BEC). W badaniu, a które powołuje się ENISA, stwierdzono, że 88% organizacji na świecie doświadczyło profilowanego wyłudzania informacji, a 86% z nich doznało ataków z narażeniem na szwank firmowych wiadomości e-mail („2020 ‘State of the Phish’: Security Awareness Training, Email Reporting More Critical as Targeted Attacks Spike”. 23 stycznia 2020 r. Proof Point).
Za popularnością phishingu stoi jego prostota i wciąż duża skuteczność.
Co musisz wiedzieć o phishingu w 2023 roku
Według Statisty prawie połowa e-maili wysyłanych na całym świecie to spam. Większość tych wiadomości spamowych pochodzi z krajów takich jak Stany Zjednoczone, Chiny i Rosja. Z kolei około 1,2% wszystkich wysyłanych e-maili to wiadomości złośliwe, co przekłada się na 3,4 miliarda e-maili phishingowych wysyłanych codziennie. Atak taki ma miejsce średnio co 11 sekund. Oszustwa phishingowe stanowią prawie 22 procent wszystkich naruszeń danych, które mają miejsce, zapewniając im pozycję jednego z najbardziej rozpowszechnionych cyberprzestępstw w raporcie FBI IC2021 3.
Najważniejsze informacje na temat ataków phishingowych:
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
- 55% stron phishingowych wykorzystuje nazwy znanych marek, aby łatwiej zdobyć wrażliwe informacje (raport F5 Labs Phishing and Fraud Report z 2020 r.)
- 84% organizacji w USA stwierdziło, że regularne szkolenia z zakresu świadomości bezpieczeństwa pomogły zmniejszyć liczbę pracowników padających ofiarą ataków phishingowych.
- w 2021 r. blisko 83% firm doświadczyło ataków phishingowych (raport FBI IC2021 3).
- marki najczęściej podszywane pod ataki phishingowe: Amazon i Google (13%), Facebook i Whatsapp (9%), Netflix i Apple (2%).
Oszuści atakują również Orlen
Prób oszustw w sieci, które dotyczą znanych organizacji, nazwisk i firm, jest sporo. Jednym z najnowszych przypadków, po słynnym Baltic Pipe, jest akcja phishingowa skierowana na klientów ORLEN. Zresztą nie pierwszy raz. Były już fałszywe ogłoszenia zachęcające do inwestowania w akcje PKN ORLEN oraz projekty inwestycyjne prowadzone przez koncern. Była aplikacja dostępna na Google Play czy App Store, która pozwalała przestępcom na wyłudzenie danych pod pretekstem inwestycji w koncern.
Jak atakujący i obrońcy uczą się od siebie nawzajem? Monika Świetlińska
12 sierpnia 2023 roku pojawiły się kolejne próby wyłudzania danych w formie maili. "Zgarnij za darmo bon o wartości 1000 zł. Szczęście Ci dopisało i Twój adres e-mail został wybrany do wzięcia udziału w naszej loterii. Masz niepowtarzalną okazję wygrania bonu do Orlenu o wartości 1000 zł. Co musisz zrobić? Potwierdź swój udział klikając w poniższy przycisk "Sprawdź". Pospiesz się! Liczb bonów do Orlenu jest ograniczona." - brzmi treść maila rozsyłanego przez 0rlen_932596 z adresu: [email protected].
16 sierpnia skontaktowaliśmy się z Edytą Olkowicz, rzecznikiem prasowym Orlenu, aby uzyskać informacje w temacie opisanego phishingu, ale do momentu publikacji tego materiału nie otrzymaliśmy odpowiedzi.
- Oszustwa phishingowe są jednym z najbardziej popularnych sposobów wyłudzania danych i pieniędzy w sieci. Ważne jest, aby zawsze sprawdzać adres e-mail nadawcy oraz adres URL strony, na którą prowadzi link. Jeśli coś wydaje się podejrzane, lepiej nie klikać w żadne linki i nie podawać swoich danych. Wiele się o tym mówi, m.in. NASK swoich kampaniach informacyjnych, ale ludzie nadal ulegają manipulacjom — komentuje Rafał Stępniewski, prezes Rzetelnej Grupy, właściciel marek Polityka Bezpieczeństwa i Rzetelny Regulamin.
- Zawsze należy sprawdzać adres e-mail nadawcy. Jeśli jest podejrzany lub nieznany, nie otwieramy wiadomości. Nie klikajmy w linki w wiadomościach e-mail ukrytych w przyciskach typu “Sprawdź”, “Dowiedz się więcej”, chyba że jesteśmy pewni, że pochodzą od zaufanego źródła. Jeśli mamy wątpliwości co do autentyczności wiadomości, skontaktujmy się bezpośrednio z firmą lub organizacją, która rzekomo wysłała wiadomość — zaleca Rafał Stępniewski, dodając, że oszuści są coraz bardziej wyrafinowani w swoich metodach, dlatego ważne jest, aby być zawsze czujnym i dbać o swoje bezpieczeństwo w sieci.
A propos bezpieczeństwa…
Orlen, jako jedna z największych firm w Polsce i kluczowy gracz w sektorze energetycznym w Europie Środkowo-Wschodniej. Firmy takie jak Orlen powinny przywiązywać szczególną wagę do bezpieczeństwa i cyberbezpieczeństwa z kilku powodów:
Jakie są zagrożenia związane z sideloadingiem aplikacji na smartfonie?Monika Świetlińska
- Przez wzgląd na krytyczną infrastrukturę. Orlen zarządza krytyczną infrastrukturą, taką jak rafinerie, stacje benzynowe i sieci dystrybucyjne. Jakiekolwiek zakłócenia w ich działaniu mogą mieć poważne konsekwencje dla gospodarki kraju, bezpieczeństwa energetycznego i codziennego życia ludzi.
- Ze względu na dane klientów i partnerów. Firma gromadzi i przechowuje wrażliwe dane klientów, takie jak informacje o płatnościach i dane osobowe. Wyciek tych danych mógłby narazić klientów na ryzyko oszustw finansowych i naruszenia prywatności.
- Reputacja. Incydenty związane z bezpieczeństwem mogą poważnie uszkodzić reputację firmy, prowadząc do utraty zaufania klientów i partnerów biznesowych oraz do spadku wartości akcji. Dodajmy, że firma jest notowana na Giełdzie Papierów Wartościowych w Warszawie i jest jednym z najważniejszych podmiotów w indeksie WIG20.
- Wciąż nasilające się zagrożenia cyberprzestępczości. Współczesne technologie i cyfryzacja procesów biznesowych sprawiają, że firmy są narażone na coraz bardziej zaawansowane ataki cyberprzestępców. Ataki takie mogą mieć na celu kradzież danych, sabotaż operacyjny lub wymuszenie okupu.
- Istniejące regulacje prawne. W wielu krajach wprowadzane są coraz bardziej rygorystyczne przepisy dotyczące cyberbezpieczeństwa, a ich nieprzestrzeganie może prowadzić do surowych sankcji finansowych.
- Ze względu na złożoność systemów. Nowoczesne systemy informatyczne i technologie przemysłowe są coraz bardziej złożone, co zwiększa ryzyko wystąpienia luk bezpieczeństwa.
- I na koniec — konkurencja (niekoniecznie krajowa, ale również ta zagraniczna). Zdolność do ochrony swoich aktywów cyfrowych i fizycznych może stanowić kluczową przewagę konkurencyjną.
W związku z tym Orlen, podobnie jak inne duże korporacje, powinien inwestować w zaawansowane rozwiązania z zakresu bezpieczeństwa i cyberbezpieczeństwa, szkolić swoich pracowników oraz stale monitorować i aktualizować swoje procedury w celu zapewnienia ochrony przed ewoluującymi zagrożeniami.
I z pewnością to robi, ale to, co zwróciło naszą uwagę, to brak informacji na stronie internetowej Orlenu o działaniach związanych z jego bezpieczeństwem, bezpieczeństwem klientów i partnerów biznesowych. Podstawowy audyt strony www wskazuje, że strona www.orlen.pl wydaje się być zabezpieczona podstawowymi mechanizmami bezpieczeństwa, takimi jak protokół HTTPS.
Ale:
Uważaj na fałszywe reklamy z PGNiG i Januszem Kowalskim Damian Jemioło
- choć strona zawiera informacje o firmie, jej działalności, sukcesach i planach w komunikatach prasowych, relacjach inwestorskich i ofertach dla klientów, nie ma bezpośrednich informacji dotyczących cyberbezpieczeństwa, jakie mogłyby sugerować, że spółka jest dobrze zabezpieczona i nie ma obaw klientów i partnerów biznesowych, by było inaczej, mimo ciągłych prób cyberoszustw.
- w zakładce “Kontakt” jest opcja "Zgłoś zapytanie lub reklamację", co sugeruje, że użytkownicy mogą się kontaktować z firmą w razie problemów lub pytań. Jednakże, jak zauważyliśmy, nie ma tam do wyboru tematu "bezpieczeństwo". Zatem, jeśli ktoś z zewnątrz chciałby zgłosić firmie np. taki phishing, jak opisany przez nas, ma utrudnione zadanie.
- wiele prestiżowych i budzących zaufanie firm ma na swoich stronach dedykowaną bezpieczeństwu, w tym cyberbezpieczeństwu, zakładkę lub podstronę, gdzie np. klienci lub partnerzy mogą dowiedzieć się o strategii bezpieczeństwa, wdrożonych rozwiązaniach, przypadkach cyberoszust, ostrzeżeniach i jak przed nimi mogą się bronić klienci i inne podmioty współpracujące z firmą czy przeczytać o bieżących działaniach w tym zakresie. Orlen nie ma takiej zakładki czy podstrony.
- w zakładce “Biuro prasowe” jest wiele tematów do wyboru dla dziennikarzy, ale nie ma tematu rozmowy "bezpieczeństwo", co może wskazywać na brak skupienia na tym aspekcie w komunikacji z mediami.
- brak widocznych informacji na temat cyberbezpieczeństwa oraz brak opcji "bezpieczeństwo" w sekcjach kontaktowych z klientami może wskazywać na potrzebę większego skupienia na tym aspekcie w komunikacji z użytkownikami. Komunikacyjnie temat (cyber)bezpieczeństwa po prostu nie istnieje.
Czy taka firma jak Orlen powinna mieć na swojej stronie www zakładkę "bezpieczeństwo" czy mieć wydzielony dział w "komunikatach prasowych" dotyczących bezpieczeństwa?
- Tak duża i znacząca firma jak Orlen, powinna dążyć do transparentności w zakresie bezpieczeństwa, nieskomplikowanego, prostego dostępu do informacji w tym zakresie. Owszem, zainteresowani mogą się skontaktować przez formularz, ale czy otrzymają wiadomość zwrotną i jak długo będą czekać? Mogą zadzwonić, ale wielu tego nie zrobi — zamiast zadzwonić będzie się domyślać, szukać informacji (niekoniecznie prawdziwych) w sieci — bo tak jest po prostu łatwiej. Dlatego uważam, że firma powinna rozważyć umieszczenie na swojej stronie internetowej zakładki "Bezpieczeństwo" lub wydzielony dział w "Komunikatach prasowych" dotyczący bezpieczeństwa. Ale w pierwszej kolejności eksperci powinni przeprowadzić audyt bezpieczeństwa, a firma zabezpieczyć swoich pracowników i klientów przed phishingiem podszywającym się pod jej domenę — jednoznacznie ocenia Rafał Stępniewski.
Dlaczego?
Fałszywe inwestycje w sieci. Na co uważać?Anna Petynia-Kawa
- Informowanie odwiedzających stronę o praktykach bezpieczeństwa firmy pokazuje, że firma dba o bezpieczeństwo swoich klientów, partnerów i interesariuszy.
- Zakładka "Bezpieczeństwo" może służyć jako platforma edukacyjna, informując odwiedzających o potencjalnych zagrożeniach i sposobach ich unikania. Może to dotyczyć zarówno zagrożeń fizycznych (np. w przypadku stacji benzynowych) jak i cyberzagrożeń.
- Dziś transparentność jest kluczem do budowania zaufania. Informowanie interesariuszy o tym, jak firma dba o bezpieczeństwo, może wzmocnić ich zaufanie do marki.
- W przypadku wystąpienia incydentu bezpieczeństwa, firma może szybko komunikować się z interesariuszami, ale również z mediami, za pośrednictwem dedykowanej sekcji na stronie internetowej, informując ich o sytuacji i podejmowanych działaniach.
- W wielu branżach istnieją przepisy wymagające od firm informowania o praktykach bezpieczeństwa. Posiadanie dedykowanej sekcji na stronie internetowej może pomóc w spełnieniu tych wymagań.
- Pokazanie, że firma traktuje kwestie bezpieczeństwa poważnie, może wzmocnić jej wizerunek w oczach klientów, partnerów i innych interesariuszy.
Dla dużych firm, takich jak Orlen, które mają szeroki zakres działalności i oddziaływania na społeczeństwo, posiadanie dedykowanej sekcji dotyczącej bezpieczeństwa na stronie internetowej jest nie tylko korzystne, ale także niezbędne. Zwłaszcza, że stosunkowo często dochodzi do phishingu — skierowanego de facto nie na samą firmę, ale jej klientów, partnerów biznesowych czy zwykłego Kowalskiego, który zna lub przynajmniej kojarzy logo, firmę i zwyczajnie jej ufa.
Jeśli również na Twoją skrzynkę przyszedł mail zachęcający do odbioru bonu "od Orlenu" — nie klikaj w żadne przyciski i linki. To próba ataku na Twoje dane lub konto bankowe.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?