Ostrzeżenie o nasilających się próbach oszustw telefonicznych (vishing)
Uwaga na podejrzane połączenia
W związku z obserwowanym wzrostem liczby oszustw telefonicznych (tzw. vishingu),w których sprawcy podszywają się m.in. pod instytucje publiczne lub zespoły wsparcia IT, przypominamy
o zasadach bezpiecznego postępowania.
Ataki tego typu są coraz lepiej przygotowane i mogą wykorzystywać presję czasu, autorytet instytucji lub obawy przed konsekwencjami. Należy zachować ostrożność, jeżeli rozmowa dotyczy np.:
- rzekomego incydentu bezpieczeństwa,
- rzekomo nieprawidłowo wystawionej recepty,
- blokady dostępu,
- konieczności podania danych osobowych, danych dostępowych,
- pilnej kontroli.
Należy także zwrócić uwagę na numer telefonu rozmówcy, w tym numer kierunkowy. Zdarza się, że oszuści posługują się kartami SIM zarejestrowanymi poza Polską.
1. Postępowanie w trakcie rozmowy telefonicznej
W przypadku rozmów, w których rozmówca żąda natychmiastowych działań, prosi o dane lub instruuje do wykonania określonych czynności, należy zachować szczególną ostrożność.
Nie należy przekazywać przez telefon żadnych informacji poufnych, w szczególności:
- haseł, kodów SMS, kodów jednorazowych, PIN-ów,
- numerów kart płatniczych,
- numeru PESEL ani danych dokumentów,
- danych dostępowych do systemów służbowych lub medycznych.
Nie należy instalować aplikacji, klikać w linki ani wykonywać poleceń dotyczących przelewów, zatwierdzania operacji lub zmian ustawień systemowych.
W przypadku wątpliwości rozmowę należy niezwłocznie zakończyć. Prawdziwe instytucje nie wywierają presji czasu i nie wymagają takich działań telefonicznie.
W przypadku kontaktu telefonicznego, który budzi jakiekolwiek wątpliwości co do autentyczności, tożsamość pracowników odpowiedzialnych za bezpieczeństwo informatyczne z wewnątrz naszej organizacji lub instytucji zewnętrzych można zawsze zweryfikować poprzez samodzielny kontakt z oficjalnymi nr telefonicznymi dostępnymi na stronach internetowych.
2. Weryfikacja tożsamości rozmówcy
Jeżeli rozmówca podaje się za przedstawiciela instytucji:
- weryfikację należy przeprowadzić samodzielnie, korzystając z oficjalnych numerów kontaktowych (np. ze strony internetowej),
zaleca się potwierdzenie informacji innym, niezależnym kanałem (np. infolinia, aplikacja, kontakt wewnętrzny w placówce).
Nie należy korzystać z numerów telefonów ani linków podanych przez rozmówcę.
3. Zgłaszanie podejrzanych sytuacji
W przypadku otrzymania podejrzanej wiadomości, połączenia telefonicznego lub zaobserwowania innych zdarzeń mogących stanowić próbę oszustwa należy niezwłocznie przekazać informację zgodnie z poniższymi zasadami:
- Adres e-mail do zgłoszeń w UMB: it@umb.edu.pl
- Podejrzane SMS-y należy zgłaszać bezpośrednio do CERT Polska (CSIRT NASK) na numer 8080, używając funkcji "Przekaż" w telefonie.
Informacja końcowa
Oszustwa typu vishing są coraz częściej wspierane przez nowoczesne technologie, w tym narzędzia sztucznej inteligencji. Mogą dotyczyć każdego, niezależnie od doświadczenia zawodowego.
Zgłoszenie podejrzanej rozmowy jest działaniem właściwym i oczekiwanym. Brak zgłoszenia może zwiększyć ryzyko dla bezpieczeństwa informacji oraz ciągłości działania organizacji.
W przypadku dodatkowych pytań lub potrzeby wsparcia, pozostajemy do Państwa dyspozycji