UWAGA na fałszywe maile
2025-04-03
Co jakiś czas obserwujemy nasilenie zjawiska przysyłania do Państwa oszukańczych maili, za pomocą których usiłuje się wyłudzić informacje osobiste, w tym hasła logowania do serwisów WWW i pocztowych UW oraz Wydziału Fizyki UW. Problem ten jest niemal tak stary jak sama poczta elektroniczna i nadal powraca w nowych odsłonach. Nie istnieją, i nie mogą istnieć, stuprocentowo skuteczne algorytmy automatycznie eliminujące próby oszustwa, które jednocześnie gwarantowałyby dostarczanie autentycznych wiadomości wymienianych w ramach pracy naukowej. Niestety musimy zatem założyć, że maile takie będą się pojawiać i w przyszłości. Chociaż większość z nich jest oszustwem już na pierwszy rzut oka, niestety pojawiają się i takie, które mają niejakie pozory wiarygodności.
W związku z tym, bardzo prosimy o zachowanie należytej ostrożności oraz wzięcie pod uwagę poniższej informacji.
NIGDY, w ŻADNYM przypadku administrator jakiegokolwiek serwisu WWW czy pocztowego nie będzie żądał od użytkownika podania w odpowiedzi na mail jego hasła logowania. Obecność takiego żądania jest bezbłędną wskazówką, że mamy do czynienia z fałszywką. Jeżeli z jakiegokolwiek powodu zaistniałaby konieczność poinformowania Państwa, żebyście dokonali operacji wymagających podania hasła, nie będziemy załączać żadnych linków w wiadomości, a co najwyżej przypomnienie i zalecenie, by posłużyli się Państwo odnośnikami dostępnymi na oficjalnych stronach wydziału/uczelni.
Jedyną uzasadnioną możliwością otrzymania takiego maila jest sytuacja, w której chwilę wcześniej sami zażądali Państwo resetu hasła do usługi takiej jak USOSweb – jednakże wówczas zdecydowanie się go spodziewacie. Właściwie w każdym innym przypadku jest to próba oszustwa. Niespodziewane otrzymanie autentycznie wyglądającej wiadomości z linkiem do resetu hasła do USOS-a także powinno zwrócić naszą uwagę – w najgorszym wypadku ktoś już mógł uzyskać dostęp do naszej poczty i próbuje go zdobyć także do USOS-a. Wówczas najrozsądniej natychmiast zmienić hasła do poczty, a także USOS-a (na stronie logowania "Zapomniane hasło" -> "Podaj adres e-mail": wygeneruje to nowy link zmiany hasła, a stary powinien stracić ważność), a sprawę zgłosić do nas.
Nie można ufać treści emaila na podstawie wyświetlanego przez aplikację pocztową adresu nadawcy. Jest on równie łatwy do sfałszowania (tzw. spoofing), jak adres nadawcy na kopercie listu papierowego – często nie jest on w żaden sposób weryfikowany. Jeżeli wygląda on na autentyczny adres pracownika UW (bądź innej instytucji, za którą się nadawca podaje), warto dać znać o takiej wiadomości działowi informatycznemu właściwej dla niego jednostki UW. Osoby bardziej zainteresowane mogą zerknąć na nagłówek wiadomości w programie pocztowym i pierwszy w kolejności (najniżej w treści nagłówka) serwer, który przetwarzał wiadomość. Jeżeli wygląda on na faktycznie należący do sieci uczelnianej, sprawę tym bardziej warto zgłosić, bo mogło dojść do przejęcia konta nadawcy.
Hasło logowania do serwisu WWW lub pocztowego powinno być wprowadzane tylko i wyłącznie do ekranu logowania lub formularza logowania danego serwisu lub aplikacji – w przypadku hasła pocztowego, również może ono znaleźć się w ustawieniach programu pocztowego na komputerze własnym (do którego nie mają dostępu osoby nieupoważnione) lub na koncie zabezpieczonym hasłem w przypadku systemu wielodostępnego. Serwisy UW i Wydziału Fizyki UW pobierają hasło od użytkownika z wykorzystaniem stron logowania zabezpieczonych protokołem kryptograficznym SSL/TLS i o tożsamości potwierdzonej certyfikatem, czego przejawami są przedrostek https:// w URL strony oraz ikona kłódki w interfejsie przeglądarki, pod którą dostępne są informacje o certyfikacie uwierzytelniającym stronę. Inne drogi propagacji hasła do serwisów WWW nie są stosowane.
Dla zachowania bezpieczeństwa, do serwisów zabezpieczonych logowaniem należy wchodzić jedynie poprzez odręczne wpisanie adresu (np. usosweb.fuw.edu.pl) w okienku adresowym przeglądarki, wykorzystanie linków zamieszczonych na dobrze znanych i wiarygodnych stronach (np. www.fuw.edu.pl) lub poprzez własne zakładki. NIE należy logować się na stronach, do których prowadzą linki zawarte w mailach niewiadomego pochodzenia, choćby stwarzały pozory autentyczności.
Każdy komunikat wysyłany przez OKWF, a zwłaszcza dotyczący kont, haseł, skrzynek pocztowych itp. jest zawsze podpisany imieniem i nazwiskiem pracownika, od którego pochodzi, i z którym można skontaktować się telefonicznie lub osobiście w celu wyjaśnienia jakichkolwiek wątpliwości. Maile udające komunikaty od administratorów sieci lub poczty Wydziału Fizyki, a nie podpisane imieniem i nazwiskiem żadnego z pracowników OKWF są na 100% fałszywe. OKWF nie może przyjąć odpowiedzialności za szkody poniesione przez użytkownika na skutek wypełniania instrukcji zawartych w takich mailach, ponadto będzie podejmował działania polegające m. in. na blokowaniu kont, które wskutek takiego postępowania dostały się pod kontrolę oszustów – w celu ograniczenia szkód, jakie mogą w wyniku tego ponieść osoby trzecie.
Bardzo dziękujemy za Państwa dotychczasową czujność i zgłaszanie nam tego typu incydentów.