Uwaga! Akcja phishingowa. Orlen nie rozdaje bonów 1000 zł

Długi weekend, pora wieczorna — to najlepszy czas dla oszustów na akcję phishingową, wykorzystującą mailing. Tym lepszy, jeśli jest coś do wygrania. 12 sierpnia internauci dostali maila rzekomo od Orlenu, który rzekomo rozdaje bony 1000 zł. Z maila nie wynika konkretnie na co, ale większość mogłaby pomyśleć, że na paliwo, zwłaszcza w kontekście trwającej kampanii reklamowej "ORLEN VITAY" (która phishingiem nie jest). Uważajcie! To próba wyłudzenia danych!

  • Monika Świetlińska
  • /
  • 16 sierpnia 2023

Musisz to wiedzieć

Wyłudzanie informacji (phishing) to oszukańcza próba kradzieży danych użytkownika, takich jak dane logowania, informacje o karcie kredytowej, a nawet pieniędzy. Ataki te są zazwyczaj przeprowadzane za pomocą wiadomości e-mail, które wyglądają na wysłane z zaufanego źródła. Istnieje także bardziej zaawansowana forma phishingu zwana "spear phishing", która opiera się na wstępnym wyszukiwaniu informacji o ofiarach, co sprawia, że próba oszustwa wygląda bardziej autentycznie. Jest to jeden z najskuteczniejszych typów ataków na sieci przedsiębiorstw.

8(17) 2023 SECURITY MAGAZINE8(17) 2023 SECURITY MAGAZINE Monika Świetlińska

Jak podała Agencja Unii Europejskiej ds.Cyberbezpieczeństwa (ENISA), w 2019 roku odnotowano straty w wysokości 26,2 mld USD z powodu ataków typu Business E-mail Compromise (BEC). W badaniu, a które powołuje się ENISA, stwierdzono, że 88% organizacji na świecie doświadczyło profilowanego wyłudzania informacji, a 86% z nich doznało ataków z narażeniem na szwank firmowych wiadomości e-mail („2020 ‘State of the Phish’: Security Awareness Training, Email Reporting More Critical as Targeted Attacks Spike”. 23 stycznia 2020 r. Proof Point).

Za popularnością phishingu stoi jego prostota i wciąż duża skuteczność. 

Co musisz wiedzieć o phishingu w 2023 roku

Według Statisty prawie połowa e-maili wysyłanych na całym świecie to spam. Większość tych wiadomości spamowych pochodzi z krajów takich jak Stany Zjednoczone, Chiny i Rosja. Z kolei około 1,2% wszystkich wysyłanych e-maili to wiadomości złośliwe, co przekłada się na 3,4 miliarda e-maili phishingowych wysyłanych codziennie. Atak taki ma miejsce średnio co 11 sekund. Oszustwa phishingowe stanowią prawie 22 procent wszystkich naruszeń danych, które mają miejsce, zapewniając im pozycję jednego z najbardziej rozpowszechnionych cyberprzestępstw w raporcie FBI IC2021 3. 

Najważniejsze informacje na temat ataków phishingowych:

    Wyciekły w Twojej firmie dane osobowe

    możemy Ci pomóc w analizie i zgłoszeniu do UODO

    Sprawdź szczegóły

    • 55% stron phishingowych wykorzystuje nazwy znanych marek, aby łatwiej zdobyć wrażliwe informacje (raport F5 Labs Phishing and Fraud Report z 2020 r.)
    • 84% organizacji w USA stwierdziło, że regularne szkolenia z zakresu świadomości bezpieczeństwa pomogły zmniejszyć liczbę pracowników padających ofiarą ataków phishingowych.
      • w 2021 r. blisko 83% firm doświadczyło ataków phishingowych (raport FBI IC2021 3).
        • marki najczęściej podszywane pod ataki phishingowe: Amazon i Google (13%), Facebook i Whatsapp (9%), Netflix i Apple (2%).

          Oszuści atakują również Orlen

          Prób oszustw w sieci, które dotyczą znanych organizacji, nazwisk i firm, jest sporo. Jednym z najnowszych przypadków, po słynnym Baltic Pipe, jest akcja phishingowa skierowana na klientów ORLEN. Zresztą nie pierwszy raz. Były już fałszywe ogłoszenia zachęcające do inwestowania w akcje PKN ORLEN oraz projekty inwestycyjne prowadzone przez koncern. Była aplikacja dostępna na Google Play czy App Store, która pozwalała przestępcom na wyłudzenie danych pod pretekstem inwestycji w koncern. 

          Jak atakujący i obrońcy uczą się od siebie nawzajem?Jak atakujący i obrońcy uczą się od siebie nawzajem? Monika Świetlińska

          12 sierpnia 2023 roku pojawiły się kolejne próby wyłudzania danych w formie maili. "Zgarnij za darmo bon o wartości 1000 zł. Szczęście Ci dopisało i Twój adres e-mail został wybrany do wzięcia udziału w naszej loterii. Masz niepowtarzalną okazję wygrania bonu do Orlenu o wartości 1000 zł. Co musisz zrobić? Potwierdź swój udział klikając w poniższy przycisk "Sprawdź". Pospiesz się! Liczb bonów do Orlenu jest ograniczona." - brzmi treść maila rozsyłanego przez 0rlen_932596 z adresu: [email protected].

          16 sierpnia skontaktowaliśmy się z Edytą Olkowicz, rzecznikiem prasowym Orlenu, aby uzyskać informacje w temacie opisanego phishingu, ale do momentu publikacji tego materiału nie otrzymaliśmy odpowiedzi.

          - Oszustwa phishingowe są jednym z najbardziej popularnych sposobów wyłudzania danych i pieniędzy w sieci. Ważne jest, aby zawsze sprawdzać adres e-mail nadawcy oraz adres URL strony, na którą prowadzi link. Jeśli coś wydaje się podejrzane, lepiej nie klikać w żadne linki i nie podawać swoich danych. Wiele się o tym mówi, m.in. NASK  swoich kampaniach informacyjnych, ale ludzie nadal ulegają manipulacjom — komentuje Rafał Stępniewski, prezes Rzetelnej Grupy, właściciel marek Polityka Bezpieczeństwa i Rzetelny Regulamin. 

          - Zawsze należy sprawdzać adres e-mail nadawcy. Jeśli jest podejrzany lub nieznany, nie otwieramy wiadomości. Nie klikajmy w linki w wiadomościach e-mail ukrytych w przyciskach typu “Sprawdź”, “Dowiedz się więcej”, chyba że jesteśmy pewni, że pochodzą od zaufanego źródła. Jeśli mamy wątpliwości co do autentyczności wiadomości, skontaktujmy się bezpośrednio z firmą lub organizacją, która rzekomo wysłała wiadomość — zaleca Rafał Stępniewski, dodając, że oszuści są coraz bardziej wyrafinowani w swoich metodach, dlatego ważne jest, aby być zawsze czujnym i dbać o swoje bezpieczeństwo w sieci.

          A propos bezpieczeństwa…

          Orlen, jako jedna z największych firm w Polsce i kluczowy gracz w sektorze energetycznym w Europie Środkowo-Wschodniej. Firmy takie jak Orlen powinny przywiązywać szczególną wagę do bezpieczeństwa i cyberbezpieczeństwa z kilku powodów:

          Jakie są zagrożenia związane z sideloadingiem aplikacji na smartfonie?Jakie są zagrożenia związane z sideloadingiem aplikacji na smartfonie?Monika Świetlińska

          1. Przez wzgląd na krytyczną infrastrukturę. Orlen zarządza krytyczną infrastrukturą, taką jak rafinerie, stacje benzynowe i sieci dystrybucyjne. Jakiekolwiek zakłócenia w ich działaniu mogą mieć poważne konsekwencje dla gospodarki kraju, bezpieczeństwa energetycznego i codziennego życia ludzi.
          2. Ze względu na dane klientów i partnerów. Firma gromadzi i przechowuje wrażliwe dane klientów, takie jak informacje o płatnościach i dane osobowe. Wyciek tych danych mógłby narazić klientów na ryzyko oszustw finansowych i naruszenia prywatności.
          3. Reputacja. Incydenty związane z bezpieczeństwem mogą poważnie uszkodzić reputację firmy, prowadząc do utraty zaufania klientów i partnerów biznesowych oraz do spadku wartości akcji. Dodajmy, że firma jest notowana na Giełdzie Papierów Wartościowych w Warszawie i jest jednym z najważniejszych podmiotów w indeksie WIG20.
          4. Wciąż nasilające się zagrożenia cyberprzestępczości. Współczesne technologie i cyfryzacja procesów biznesowych sprawiają, że firmy są narażone na coraz bardziej zaawansowane ataki cyberprzestępców. Ataki takie mogą mieć na celu kradzież danych, sabotaż operacyjny lub wymuszenie okupu.
          5. Istniejące regulacje prawne. W wielu krajach wprowadzane są coraz bardziej rygorystyczne przepisy dotyczące cyberbezpieczeństwa, a ich nieprzestrzeganie może prowadzić do surowych sankcji finansowych.
          6. Ze względu na złożoność systemów. Nowoczesne systemy informatyczne i technologie przemysłowe są coraz bardziej złożone, co zwiększa ryzyko wystąpienia luk bezpieczeństwa.
          7. I na koniec — konkurencja (niekoniecznie krajowa, ale również ta zagraniczna). Zdolność do ochrony swoich aktywów cyfrowych i fizycznych może stanowić kluczową przewagę konkurencyjną.

          W związku z tym Orlen, podobnie jak inne duże korporacje, powinien inwestować w zaawansowane rozwiązania z zakresu bezpieczeństwa i cyberbezpieczeństwa, szkolić swoich pracowników oraz stale monitorować i aktualizować swoje procedury w celu zapewnienia ochrony przed ewoluującymi zagrożeniami

          I z pewnością to robi, ale to, co zwróciło naszą uwagę, to brak informacji na stronie internetowej Orlenu o działaniach związanych z jego bezpieczeństwem, bezpieczeństwem klientów i partnerów biznesowych. Podstawowy audyt strony www wskazuje, że strona www.orlen.pl wydaje się być zabezpieczona podstawowymi mechanizmami bezpieczeństwa, takimi jak protokół HTTPS.

          Ale:

          Uważaj na fałszywe reklamy z PGNiG i Januszem KowalskimUważaj na fałszywe reklamy z PGNiG i Januszem Kowalskim Damian Jemioło

          • choć strona zawiera informacje o firmie, jej działalności, sukcesach i planach w komunikatach prasowych, relacjach inwestorskich i ofertach dla klientów, nie ma bezpośrednich informacji dotyczących cyberbezpieczeństwa, jakie mogłyby sugerować, że spółka jest dobrze zabezpieczona i nie ma obaw klientów i partnerów biznesowych, by było inaczej, mimo ciągłych prób cyberoszustw.
          • w zakładce “Kontakt” jest opcja "Zgłoś zapytanie lub reklamację", co sugeruje, że użytkownicy mogą się kontaktować z firmą w razie problemów lub pytań. Jednakże, jak zauważyliśmy, nie ma tam do wyboru tematu "bezpieczeństwo". Zatem, jeśli ktoś z zewnątrz chciałby zgłosić firmie np. taki phishing, jak opisany przez nas, ma utrudnione zadanie. 
          • wiele prestiżowych i budzących zaufanie firm ma na swoich stronach dedykowaną bezpieczeństwu, w tym cyberbezpieczeństwu, zakładkę lub podstronę, gdzie np. klienci lub partnerzy mogą dowiedzieć się o strategii bezpieczeństwa, wdrożonych rozwiązaniach, przypadkach cyberoszust, ostrzeżeniach i jak przed nimi mogą się bronić klienci i inne podmioty współpracujące z firmą czy przeczytać o bieżących działaniach w tym zakresie. Orlen nie ma takiej zakładki czy podstrony.
          • w zakładce “Biuro prasowe” jest wiele tematów do wyboru dla dziennikarzy, ale nie ma tematu rozmowy "bezpieczeństwo", co może wskazywać na brak skupienia na tym aspekcie w komunikacji z mediami.
          • brak widocznych informacji na temat cyberbezpieczeństwa oraz brak opcji "bezpieczeństwo" w sekcjach kontaktowych z klientami może wskazywać na potrzebę większego skupienia na tym aspekcie w komunikacji z użytkownikami. Komunikacyjnie temat (cyber)bezpieczeństwa po prostu nie istnieje.

          Czy taka firma jak Orlen powinna mieć na swojej stronie www zakładkę "bezpieczeństwo" czy mieć wydzielony dział w "komunikatach prasowych" dotyczących bezpieczeństwa?

          - Tak duża i znacząca firma jak Orlen, powinna dążyć do transparentności w zakresie bezpieczeństwa, nieskomplikowanego, prostego dostępu do informacji w tym zakresie. Owszem, zainteresowani mogą się skontaktować przez formularz, ale czy otrzymają wiadomość zwrotną i jak długo będą czekać? Mogą zadzwonić, ale wielu tego nie zrobi — zamiast zadzwonić będzie się domyślać, szukać informacji (niekoniecznie prawdziwych) w sieci — bo tak jest po prostu łatwiej. Dlatego uważam, że firma powinna rozważyć umieszczenie na swojej stronie internetowej zakładki "Bezpieczeństwo" lub wydzielony dział w "Komunikatach prasowych" dotyczący bezpieczeństwa. Ale w pierwszej kolejności eksperci powinni przeprowadzić audyt bezpieczeństwa, a firma zabezpieczyć swoich pracowników i klientów przed phishingiem podszywającym się pod jej domenę jednoznacznie ocenia Rafał Stępniewski.

          Dlaczego?

          Fałszywe inwestycje w sieci. Na co uważać?Fałszywe inwestycje w sieci. Na co uważać?Anna Petynia-Kawa

          1. Informowanie odwiedzających stronę o praktykach bezpieczeństwa firmy pokazuje, że firma dba o bezpieczeństwo swoich klientów, partnerów i interesariuszy.
          2. Zakładka "Bezpieczeństwo" może służyć jako platforma edukacyjna, informując odwiedzających o potencjalnych zagrożeniach i sposobach ich unikania. Może to dotyczyć zarówno zagrożeń fizycznych (np. w przypadku stacji benzynowych) jak i cyberzagrożeń.
          3. Dziś transparentność jest kluczem do budowania zaufania. Informowanie interesariuszy o tym, jak firma dba o bezpieczeństwo, może wzmocnić ich zaufanie do marki.
          4. W przypadku wystąpienia incydentu bezpieczeństwa, firma może szybko komunikować się z interesariuszami, ale również z mediami, za pośrednictwem dedykowanej sekcji na stronie internetowej, informując ich o sytuacji i podejmowanych działaniach.
          5. W wielu branżach istnieją przepisy wymagające od firm informowania o praktykach bezpieczeństwa. Posiadanie dedykowanej sekcji na stronie internetowej może pomóc w spełnieniu tych wymagań.
          6. Pokazanie, że firma traktuje kwestie bezpieczeństwa poważnie, może wzmocnić jej wizerunek w oczach klientów, partnerów i innych interesariuszy.

          Dla dużych firm, takich jak Orlen, które mają szeroki zakres działalności i oddziaływania na społeczeństwo, posiadanie dedykowanej sekcji dotyczącej bezpieczeństwa na stronie internetowej jest nie tylko korzystne, ale także niezbędne. Zwłaszcza, że stosunkowo często dochodzi do phishingu — skierowanego de facto nie na samą firmę, ale jej klientów, partnerów biznesowych czy zwykłego Kowalskiego, który zna lub przynajmniej kojarzy logo, firmę i zwyczajnie jej ufa.

          Jeśli również na Twoją skrzynkę przyszedł mail zachęcający do odbioru bonu "od Orlenu" — nie klikaj w żadne przyciski i linki. To próba ataku na Twoje dane lub konto bankowe. 

          Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
          Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

          Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

          Zapraszamy do kontaktu
          Tagi: technologie naruszenia bezpieczeństwo w sieci infrastruktura rozwiązania bezpieczeństwo it
          Powiązane posty
          Popularne Tagi

          Najnowsze tematy

          WSPÓŁPRACA

          Blogi tematyczne

          Prawo konsumenckie 2021
          Blog prawa e-commerce
          Prawo konsumenckie
          Security Magazine
          Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
          Kliknij aby wrócić do strony głównej

          Newsletter

          Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!