Csalás kormányzatra hivatkozva
Lengyelországban csalók hamis hivatalos üzenetekre hivatkozva próbálják megtéveszteni az embereket, azt állítják, hogy az Lengyel állami portál (gov.pl) nevében küldenek értesítést, és aztán telefonon keresik az áldozatot. A küldött e-mail, SMS vagy üzenet gyakran arra figyelmeztet, hogy új tevékenység történt az kormányzati fiókban — és sürgősségre hivatkozva felhívásra szólít. Az ilyen üzenetekhez jellemzően nem link tartozik, hanem telefonszám, a támadók arra ösztönzik, hogy azonnal hívjunk, nehogy elveszítsék a jogosultságokat.
Amint az áldozat felhívja a megadott számot, egy barátságos, közvetlen hangnemű személy veszi fel — hivatalos ügyintézőként — és azt állítja, hogy egy állami eljárás miatt telepítenünk kell egy biztonsági alkalmazást vagy antivírus-csomagot. Valójában azonban ez az alkalmazás rosszindulatú szoftver, zsarolásra, adathalászat céljára készített háttér-applikáció, ami lehetővé teszi a távoli hozzáférést az eszközhöz. Így a támadók igazi kulcsokat kapnak a fiókhoz — azaz gyakorlatilag kiüríthetik a bankszámlákat vagy hozzáférhetnek személyes adatokhoz.
A megtévesztés legfőbb eszköze az emberek állami szolgáltatásokba vetett bizalma, a gov.pl domain és az állami értesítés hangvétel hamis legitimitást ad az üzenetnek. Sok áldozat azért lép kapcsolatba, mert valóban fél attól, hogy valamilyen hivatalos ügyben eljárást kellene intéznie — így a támadók az érzelmekre (félelem, sürgősség) játszanak.
A helyzet figyelmeztet arra, hogy az állampolgárok számára nem elég csupán az e-mailekre figyelni — a telefonhívások és az okos pszichológiai megtévesztés (social-engineering) trükkök is komoly veszéllyel járnak. Ha valaki hivatalosnak tűnő, sürgető üzenetet kap, amely hívást és alkalmazás-telepítést kér, a legjobb, ha nem az üzenetben található számot hívja, hanem utána ellenőrzi az adott intézmény hivatalos adatait — különösen akkor, ha bankszámla, személyes adat vagy hitelesítés lehet a tét.
