Pilny komunikat polskiego ministerstwa. Resort ostrzega!
Ministerstwo Klimatu i Środowiska wydało oficjalne ostrzeżenie przed trwającą kampanią phishingową, która uderza bezpośrednio w polskie przedsiębiorstwa. Nieznani sprawcy, wykorzystując autorytet instytucji państwowej, próbują nakłonić właścicieli firm do wykonania przelewów pod pozorem uregulowania formalności urzędowych.
Nowa metoda wyłudzeń wymierzona w biznes
Mechanizm działania sprawców opiera się na podszywaniu pod pracowników administracji rządowej i wysyłaniu masowej korespondencji elektronicznej do osób prowadzących działalność gospodarczą. Przestępcy wykorzystują w swoich wiadomościach nazwy oficjalnych baz danych, konkretnie rejestru BDO, który dotyczy gospodarki odpadami oraz opakowaniami.
W treści maili znajdują się wezwania do uiszczenia rzekomych opłat, które mają gwarantować dostęp do usług lub utrzymanie wpisu w ewidencji. Aby uwiarygodnić swoje działania, oszuści stosują zaawansowane techniki manipulacji, w tym użycie prawdziwych nazwisk osób pełniących funkcje publiczne oraz wysokich urzędników państwowych.
W fałszywych dokumentach, które są dołączane do korespondencji jako certyfikaty lub potwierdzenia, widnieją podrobione podpisy wiceministrów oraz oficjalne logotypy resortu.
Wykorzystywana jest psychologia pośpiechu - sprawcy liczą na to, że przedsiębiorca, chcąc uniknąć ewentualnych kar lub blokady dostępu do systemu, dokona płatności bez głębszej weryfikacji nadawcy. Resort klimatu podkreśla, że takie działania są bezprawne i stanowią poważne przestępstwo przeciwko wiarygodności dokumentów oraz mieniu. Sytuacja jest o tyle groźna, że maile wyglądają bardzo profesjonalnie, a język użyty w wezwaniach naśladuje urzędową stylistykę, co może zmylić nawet osoby zachowujące czujność. Jest to celowe działanie mające na celu wywołanie skojarzeń z legalnymi podmiotami i uśpienie czujności ofiary, która w natłoku codziennych obowiązków może przeoczyć drobne błędy w adresie nadawcy lub nazwie konta bankowego.
Jak rozpoznać fałszywą korespondencję?
Kluczowym elementem ochrony przed tego typu atakami jest znajomość zasad komunikacji stosowanych przez polską administrację publiczną. Ministerstwo Klimatu i Środowiska przypomina, że oficjalna korespondencja rządowa prowadzona jest wyłącznie przy użyciu adresów w domenie gov.pl.
Każda wiadomość pochodząca z innych domen, nawet jeśli zawierają one w nazwie słowa takie jak „ministerstwo” czy „klimat”, powinna być traktowana jako próba oszustwa.
Kolejnym ważnym aspektem jest system wnoszenia opłat związanych z BDO. Zgodnie z obowiązującymi przepisami, wszelkie należności rejestrowe są wpłacane na rachunki bankowe właściwych urzędów marszałkowskich, a nie na konta przesyłane w treści wiadomości e-mail.
Co więcej, cała oficjalna komunikacja oraz załatwianie spraw urzędowych w tym zakresie odbywa się poprzez dedykowany, bezpieczny system informatyczny BDO, do którego logowanie wymaga autoryzacji. Resort klimatu nie wysyła bezpośrednich wezwań do płatności drogą mailową, zwłaszcza takich, które zawierają linki do szybkich przelewów lub numer konta prywatnego.
W przypadku otrzymania podejrzanego listu elektronicznego, przedsiębiorca powinien w pierwszej kolejności sprawdzić numer partii lub dane w urzędzie marszałkowskim, do którego przynależy jego firma. Należy również zwrócić uwagę na błędy językowe, brak polskich znaków lub nietypowe formaty plików dołączonych do wiadomości, gdyż są to typowe cechy kampanii prowadzonych przez grupy cyberprzestępcze działające na szeroką skalę. Ignorowanie takich maili i nieklikanie w żadne zawarte w nich odnośniki jest najskuteczniejszą formą obrony przed utratą pieniędzy oraz danych logowania.
Reakcja i zgłaszanie incydentów bezpieczeństwa
W obliczu wykrytej kampanii oszukańczej, resort klimatu podjął już niezbędne kroki prawne, zgłaszając sprawę organom ścigania oraz odpowiednim służbom odpowiedzialnym za bezpieczeństwo w sieci. Ministerstwo zaznacza, że każda próba wyłudzenia danych lub pieniędzy powinna zostać niezwłocznie zgłoszona, co pozwoli na szybsze zablokowanie kont przestępców i ostrzeżenie innych potencjalnych ofiar. Przedsiębiorcy, którzy natkną się na fałszywe wezwania do zapłaty, mogą przesłać taką wiadomość do analizy specjalistom z zespołu CERT Polska pod adresem incydent.cert.pl.
Jest to instytucja zajmująca się monitorowaniem zagrożeń w polskim internecie, która posiada odpowiednie narzędzia do neutralizowania kampanii phishingowych. Zgłoszenie powinno zawierać pełną treść wiadomości wraz z nagłówkami e-mail, co ułatwi namierzenie serwerów wykorzystywanych przez oszustów.
Dodatkowo, jeśli doszło już do wykonania przelewu lub przekazania danych logowania, konieczne jest natychmiastowe powiadomienie banku w celu zablokowania środków oraz zmiana haseł we wszystkich powiązanych usługach. Policja przypomina, że w takich sytuacjach liczy się czas, a szybka reakcja może zapobiec kradzieży tożsamości lub dalszym wyłudzeniom z kont firmowych. Edukacja pracowników oraz wprowadzenie procedur weryfikacji płatności w firmach to kolejne kroki, które mogą ochronić polski biznes przed stratami finansowymi. System BDO jest kluczowym narzędziem dla wielu branż, dlatego jego bezpieczeństwo oraz zaufanie użytkowników do oficjalnych komunikatów są traktowane przez administrację rządową jako priorytet w walce z cyberprzestępczością.
