Cyberprzestępcy ruszają na łowy pod koniec roku?

Partnerem publikacji jest ESET i DAGMA Bezpieczeństwo IT
opublikowano: 2025-11-20 12:51

W ostatnich tygodniach roku oszuści mogą sięgać po sprawdzone schematy ataków na użytkowników biznesowych. Nierzadko podszywają się pod firmy hostingowe, wskazują na presję czasu związaną z przedłużeniem ważności domeny i wzywają do szybkiej reakcji. Wprowadzają w błąd – kto nie zweryfikuje tego typu fałszywej wiadomości, może paść ofiarą ataku, dopuścić do przejęcia danych i potem słono za to zapłacić.

Posłuchaj
Speaker icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl
Subskrypcja

Oszuści niejednokrotnie wykorzystują kontekst końca roku, podszywając się pod popularnych rejestratorów domen, dostawców hostingu czy wystawców certyfikatów SSL i wysyłają fałszywe ponaglenia o wygasającej usłudze lub nieopłaconej fakturze. Kto nie zachowa czujności, ulegnie presji czasu i lękowi, ten może stać się ofiarą wyłudzenia danych, a nawet pieniędzy.

FOT. FREEPIK

- Cyberprzestępcy wciąż wierzą w sprawdzone metody oparte na klasycznym phishingu, czyli próbie podszywania się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych w celu wyłudzenia danych do logowania do kont bankowych, mediów społecznościowych czy maili – tłumaczy Beniamin Szczepankiewicz, analityk cyberzagrożeń w ESET.

– Próby oszustw związanych z hostingiem mogą być krytycznie niebezpieczne z innego powodu. Otóż atakujący, przejmując dane do logowania do hostingu, zyskuje kontrolę nad stroną. Może modyfikować ustawienia, dodawać różnego rodzaju poddomeny, przekierowywać pocztę, zmieniać ustawienia, żądać okupu za wykradzione dane, np. klientów czy interesariuszy. Dlatego warto zadbać o kwestie bezpieczeństwa cyfrowego już na etapie tworzenia strony, np. firmowej. Niestety często określony podmiot przygotowuje i obsługuje strony kilku firm równocześnie ze swojego jednego konta. Przejęcie dostępów do jednej może przysporzyć kłopotów równoległym podmiotom, z którymi współpracuje twórca stron – dodaje.

Etapy kradzieży

Mechanizmy phishingu, oparte na motywach: „twoja domena wygasła”, „nieopłacona faktura” czy „konto zostanie zablokowane", wykorzystują emocje ofiary, takie jak lęk, panika i pośpiech; skłaniają zaatakowanego do działania bez zastanowienia.

Oszuści wywołują poczucie zagrożenia utratą domeny, która jest ważna dla biznesu czy też zablokowaniem dostępu do konta bankowego i skłaniają do podjęcia pilnych działań. Zaatakowany, działając pod presją czasu, traci zdolność do krytycznej analizy sytuacji.

Zwodnicza wiadomość przychodzi w emailu lub SMS-ie. Zawiera link, który rzekomo prowadzi do strony logowania, panelu płatności lub strony resetowania hasła, a faktycznie odsyła do fałszywej strony kontrolowanej przez oszustów, która jest łudząco podobna do prawdziwej strony usługodawcy, np. banku, operatora płatności czy rejestratora domen.

Zasady bezpieczeństwa

Jak ochronić się przed takimi zagrożeniami? Eksperci wskazują na TOP 5 dobrych praktyk:

  1. Weryfikuj nadawcę i domenę: Sprawdzaj adres e-mail w poszukiwaniu literówek i podejrzanych domen. Profesjonalne firmy nie używają darmowych skrzynek pocztowych (np. Gmail).
  2. Uważaj na presję: Bądź nieufny wobec wiadomości wywołujących pilność lub nacisk emocjonalny. Żadna instytucja nie poprosi Cię o login, hasło, PESEL czy dane karty w e-mailu/SMS-ie.
  3. Sprawdź linki, nie klikaj: Najedź kursorem na link, aby sprawdzić pełny adres URL. Nie klikaj, jeśli adres jest podejrzany. W razie wątpliwości, samodzielnie wpisz adres nadawcy w przeglądarce.
  4. Nie otwieraj załączników: Bezwzględnie unikaj otwierania załączników pochodzących z nieznanych lub podejrzanych źródeł.
  5. Używaj profesjonalnego oprogramowania: Zawsze miej zainstalowane i aktualne oprogramowanie zabezpieczające. Zapewnia ono automatyczne skanowanie i blokowanie podejrzanych wiadomości oraz złośliwych załączników.

Szkoleniowe remedium

W środowisku biznesowym to firmy powinny zadbać o to, aby pracownicy znali zasady i stanowili „pierwszą linię obrony” w obliczu cyberataków. Mimo to ich wiedza z zakresu cyberbezpieczeństwa pozostawia wiele do życzenia. Jak wynika z badania „Cyberportret polskiego biznesu 2025” zrealizowanego przez ESET i DAGMA Bezpieczeństwo IT, tylko 66 prac. pracowników firm deklaruje znajomość zagrożenia jakim jest phishing, czyli najczęstszej formy ataku wybieranej przez przestępców. Ponad połowa polskich pracowników nie miała od 5 lat żadnego szkolenia z cyberbezpieczeństwa, co wyjaśnia niski poziom kompetencji w tym obszarze.

– Firmy nie powinny ograniczać się tylko do przekazywania wiedzy. Nawet najbardziej świadomi pracownicy mogą popełniać błędy, jeśli nie towarzyszą im utrwalone nawyki. Regularne szkolenia praktyczne, symulacje ataków socjotechnicznych i rozwiązania z zakresu cyberbezpieczeństwa powinny być standardem. Bez takiego podejścia poczucie bezpieczeństwa może okazać się złudne, a konsekwencje bardzo realne – podsumowuje Kamil Sadkowski, analityk cyberzagrożeń w ESET.

Partnerem publikacji jest ESET i DAGMA Bezpieczeństwo IT

Tagi: