Ministerstwo Klimatu i Środowiska (MKiŚ) po raz kolejny wydało ostrzeżenie przed cyberprzestępcami, którzy wykorzystują nazwę Bazy Danych o Produktach i Opakowaniach oraz Gospodarce Odpadami (BDO) do wyłudzania danych i pieniędzy. To już kolejna odsłona kampanii phishingowej, która może dotknąć zarówno przedsiębiorców, jak i osoby prywatne korzystające z systemu.
Jak działają oszuści?
Przestępcy rozsyłają fałszywe wiadomości e-mail, które łudząco przypominają oficjalną korespondencję z MKiŚ. W treści często znajduje się informacja o rzekomej konieczności aktualizacji danych w systemie BDO, groźba blokady konta lub wezwanie do uiszczenia dodatkowej opłaty. Linki zawarte w takich mailach prowadzą do spreparowanych stron, które wyglądają jak oficjalny panel logowania BDO. Wprowadzenie tam swoich danych – loginu, hasła, a nawet numeru karty kredytowej – może skończyć się przejęciem konta i utratą pieniędzy.
„Oszuści coraz częściej wykorzystują zaufanie do instytucji publicznych. Wykorzystanie nazwy BDO to celowy zabieg, by uśpić czujność przedsiębiorców, którzy na co dzień korzystają z tego systemu do raportowania odpadów” – mówi ekspert ds. cyberbezpieczeństwa, dr inż. Krzysztof Kowalczyk z Politechniki Warszawskiej.
Skala problemu i podobne przypadki
Phishing na instytucje publiczne to w Polsce narastający problem. Według raportu CERT Polska za 2024 rok, liczba zgłoszeń dotyczących fałszywych stron podszywających się pod urzędy wzrosła o 30% w porównaniu z rokiem poprzednim. Podobne kampanie dotyczyły wcześniej m.in. ZUS-u, Krajowej Administracji Skarbowej, a nawet Ministerstwa Finansów. System BDO, jako narzędzie obowiązkowe dla firm zajmujących się gospodarką odpadami, stał się naturalnym celem ze względu na swoją powszechność i wagę.
Jak się chronić?
Ministerstwo Klimatu i Środowiska podkreśla, że nigdy nie wysyła wiadomości z prośbą o podanie haseł, numerów kart czy innych poufnych danych drogą mailową. Wszelkie oficjalne komunikaty pojawiają się na stronie rządowej gov.pl oraz w panelu BDO po zalogowaniu. Eksperci radzą, by przed kliknięciem w jakikolwiek link dokładnie sprawdzić adres nadawcy – oszuści często używają domen podobnych do oficjalnych, np. 'bdo-gov.pl’ zamiast 'gov.pl’. Dodatkowo warto włączyć dwuskładnikowe uwierzytelnianie (2FA) w systemie BDO, jeśli jest dostępne.
Co zrobić w przypadku ataku?
Jeśli ktoś podejrzewa, że padł ofiarą phishingu, powinien niezwłocznie zmienić hasło do systemu BDO, skontaktować się ze swoim bankiem (jeśli podał dane karty) oraz zgłosić incydent do CERT Polska (https://incydent.cert.pl) lub na policję. Szybka reakcja może ograniczyć straty i pomóc w schwytaniu sprawców.
Przypominamy, że ostrożność i zdrowy rozsądek to najlepsza broń przeciwko cyberprzestępcom. Nie dajmy się nabrać na pozory!
Foto: images.pexels.com
