Czym jest phishing i jak go uniknąć?
Chyba niemal każdy zetknął się opowieściami o tych internetowych przestępstwach: można o nich usłyszeć w wiadomościach, mediach społecznościowych, czy od znajomych lub rodziny. Hakerzy używają ataków phishingowych, aby przejąć dostęp do naszych informacji osobistych lub konta bankowego. Ich ataki stają się coraz bardziej wyrafinowane. W roku 2020 dzięki tej metodzie skradziono 54 miliony dolarów.
Czym właściwie są ataki phishingowe? I jak się przed nimi bronić w pracy oraz życiu prywatnym? Odpowiedzi znajdziesz w niniejszym poradniku.
Zrozumienie phishingu i sposobów, które przed nim chronią, to istotny krok do zapewnienia sobie bezpieczeństwa w sieci. Poznajmy te elementy.
Czym jest phishing?
Phishing to rodzaj cyberprzestępstw, które wykorzystują pewne metody inżynierii społecznej. Atak phishingowy używa wiadomości wyglądających na autentyczne, aby nakłonić ofiary do wyjawienia wrażliwych danych. Może przyjąć formę e-maila, rozmowy telefonicznej lub SMS-a.
Bez względu na formę, ataki phishingowe wykorzystują tę samą podstawową strategię. Nadawca podaje się za kogoś innego. Przyjmuje tożsamość znanej marki, strony internetowej sprzedającej tanie produkty czy nawet rządu. Stojący za atakiem phishingowym oszuści udają kogoś innego, aby wydobyć od ofiary dane osobowe i szczegóły konta bankowego.
Phishing nie jest zjawiskiem szczególnie nowym. Pierwsza sprawa sądowa przeciw przestępcy wykorzystującemu tę metodę odbyła się w roku 2004. W ramach tego oszustwa, witryny przypominające oficjalne strony internetowe informowały o wystąpieniu problemów technicznych. W związku z tym internauci musieli podać swoje informacje osobiste, w tym numer ubezpieczenia społecznego.
Od czasu tej przełomowej sprawy pojawiło się wiele nowych rodzajów ataków phishingowych. Przyjrzyjmy się im.
Rodzaje ataków phishingowych
Teoretycznie każda nowoczesna forma komunikacji może zostać użyta do phishingu. Oczywiście tak długo, jak oszuści mogą przez nią udawać kogoś innego, nie wzbudzając podejrzeń u swoich ofiar. Najczęstszymi metodami phishingu są e-maile, strony internetowe, SMS-y, WhatsApp i rozmowy telefoniczne. Przyjrzyjmy się im po kolei.
-
E-maile phishingowe
To klasyczna forma phishingu. Tego rodzaju oszustwa są nazywane phishingiem e-mailowym. Jak to działa? Dostajesz e-maila, który wygląda bardzo oficjalnie lub wydaje się zupełnie niewinny. Może wyglądać, jakby został wysłany z oficjalnej domeny internetowej i informuje o konieczności uiszczenia opłaty – na przykład kary. W tym samym e-mailu znajduje się naturalnie link, który należy kliknąć, aby ją zapłacić. Nie należy tego robić! Informacja o karze jest najprawdopodobniej nieprawdziwa. Żadna oficjalna organizacja czy urząd nie wzywają do zapłaty drogą mailową.
Jeśli nie masz pewności, czy otrzymany e-mail to phishing, użyj naszego przewodnika ułatwiającego rozpoznawanie tego typu oszustw. Jeśli pomimo tego wciąż nie masz pewności, skontaktuj się z organizacją, która rzekomo wysłała wiadomość. Powiedzmy, że na Twoje konto trafił podejrzany e-mail od firmy kurierskiej z prośbą o opłacenie przesyłki. Nie uiszczaj opłaty natychmiast, zamiast tego zweryfikuj adres e-mail i skontaktuj się z firmą kurierską jednym z oficjalnych kanałów dostępnych na jej stronie internetowej.
Kolejnym rodzajem e-maili phishingowych są wiadomości z załącznikiem, o którego pobranie i otwarcie proszą oszuści. Pobierając załącznik, ofiara ściąga złośliwe oprogramowanie, na przykład keyloggera. Taki program pozwala hakerom zobaczyć, co piszesz – i poznać Twoje hasła.
Jedne z najsłynniejszych ataków phishingowych miały postać e-maili. Nieco niżej przedstawimy niektóre z nich.
-
Witryny phishingowe
Są powiązane z e-mailami phishingowymi, jednak fałszowana jest strona internetowa, a nie wiadomość e-mail. Może chodzić o oficjalne strony rządowe, ale i sklepy internetowe.
W przypadku sklepów online celem oszusta często jest nakłonienie ofiar do zapłacenia za produkty bądź usługi, których nigdy nie otrzymają. Gdy ofiara orientuje się, że coś jest nie tak, składa skargę na oficjalnej witrynie. Ta jednak nigdy nie otrzymała płatności i nic nie wie o problemie.
Scammerzy tworzą coraz wiarygodniejsze podróbki stron internetowych. Wciąż jednak są sposoby na przejrzenie tych oszustw. Nie można na przykład idealnie spreparować adresu strony. Żelazna zasada: jeśli masz jakiekolwiek wątpliwości, nie dokonuj płatności, ani nie podawaj swoich danych osobowych.
-
Phishing przez SMS-y i WhatsAppa
SMS-y i komunikatory, takie jak Whatsapp, są rzadko stosowane w biznesie i celach komercyjnych. Z tego powodu nie są specjalnie popularnym medium oszustw phishingowych. Jednak ostatnio, zwłaszcza podczas pandemii Covid-19, wzrosła liczba pewnego rodzaju ataków phishingowych poprzez WhatsApp.
Oszuści udają członka rodziny. Wysyłają wiadomość z informacją, że stracili telefon i utknęli w jakimś odległym miejscu. W związku z tym proszą o przelew na określony numer konta bankowego.
Naturalnie tak przedstawiona sytuacja wygląda podejrzanie. Oszuści znaleźli jednak sposób, aby uwiarygodnić swoje działania. Nie proszą o pieniądze od razu, zamiast tego – dzwoniąc z nowego telefonu – rozmawiają z nami, jakby faktycznie byli naszym krewnym. Dzięki mediom społecznościowym znają różne szczegóły osobiste i potrafią naśladować sposób komunikacji danej osoby.
W tym wypadku najlepszym sposobem na uniknięcie oszustwa również jest zweryfikowanie wiadomości. Jeśli krewny kontaktuje się z Tobą z nowego numeru, wyślij wiadomość na jego stary numer telefoniczny, aby sprawdzić, czy opisana przez „niego” historia jest prawdziwa. Niektórzy oszuści używają komunikatorów, np. kontaktując się z użytkownikami platformy OLX.
-
Phishing przez telefon
Ostatnim rodzajem phishingu, który omówimy, jest phishing telefoniczny. W tym wypadku oszust niespodziewanie dzwoni do Ciebie, podając się za przedstawiciela jakiejś organizacji. Zazwyczaj chodzi o bank lub pomoc techniczną.
W trakcie rozmowy telefonicznej będzie próbował nakłonić Cię do zainstalowania nieznanej aplikacji, twierdząc, że za jej pomocą zablokujesz podejrzaną transakcję, która została zarejestrowana na Twoim rachunku bankowym. Niewykluczone, że będzie Cię zachęcać do podania informacji osobistych. Może chodzić o hasła, szczegóły karty kredytowej, numer PESEL itp.
Scammerzy mogą się podszyć pod prawdziwy numer, dlatego nie powinno się ufać systemom rozpoznawania rozmówcy we współczesnych komórkach. Choć może Ci się wydawać, że dzwoni przedstawiciel Twojego banku, w rzeczywistości rozmawiasz z oszustem.
Jak uniknąć ataków phishingowych?
Wiemy już, czym się różnią główne rodzaje ataków phishingowych. Ale jak nie dać się na nie złapać?
-
Poznaj częste techniki phishingowe
Choć oszuści coraz lepiej preparują oficjalne wiadomości, wciąż istnieje kilka sposobów na rozpoznanie oszustwa phishingowego. Scammerzy używają kilku strategii, dzięki którym łatwiej im nabrać swoje ofiary.
Tworzą złudne poczucie nagłości. Musisz odpowiedzieć natychmiast, inaczej będziesz żałować. Może na przykład chodzić o niezwykle atrakcyjną ofertę. Zbyt atrakcyjną, aby była prawdziwa. Więcej informacji znajdziesz w naszym przewodniku po głównych elementach oszustwa.
-
Zanim cokolwiek zrobisz, sprawdź źródło
Już kilkukrotnie wspominaliśmy o tym na naszym blogu, jednak warto przypomnieć, że należy koniecznie sprawdzać źródło wiadomości. Najlepszą reakcją na podejrzaną wiadomość jest jej zignorowanie. Jeśli nie możesz tego zrobić – na przykład gdy dana informacja wygląda na niezwykle istotną – zawsze weryfikuj jej prawdziwość.
Nie rób tego, bezpośrednio odpowiadając na otrzymanego e-maila. Wyślij osobną wiadomość do organizacji, od której rzekomo pochodzi podejrzana wiadomość. W ten sposób się dowiesz, czy e-mail faktycznie był prawdziwy.
-
Nigdy nie przekazuj informacji osobistych
Zazwyczaj nikt Cię nie pyta, ni stąd, ni zowąd, o Twoje informacje osobiste. Jeśli otrzymasz e-maila lub ktoś zadzwoni do Ciebie prosząc o podanie hasła lub numeru PESEL, prawdopodobnie masz do czynienia z oszustwem.
Wiele e-maili phishingowych zawiera łącze odsyłające do wiarygodnie wyglądającej oficjalnej strony, gdzie należy wprowadzić osobiste informacje. Ponownie: takie prośby są dosyć nietypowe. Dlatego nigdy nie ujawniaj swoich informacji osobistych bądź jakichkolwiek informacji o koncie bankowym na stronach, do których prowadzi link z e-maila.
-
Używaj kart przedpłaconych
Oszustwa phishingowe często służą wykradaniu danych kart kredytowych. Dzięki informacjom o kartach ofiar, oszust może przesłać pieniądze na swoje konto. Wiele kart kredytowych ma stosunkowo wysoki limit, dlatego takie oszustwa mogą się wiązać z utratą poważnej sumy.
Przed taką sytuacją mogą uratować przedpłacone karty kredytowe, zapewniają bowiem dodatkową warstwę bezpieczeństwa. Na karcie przedpłaconej mogą się znaleźć wyłącznie środki, które na nią osobiście wpłacisz. Nawet jeśli dane Twojej karty przedpłaconej zostaną skradzione, oszuści nie będą mogli ukraść zbyt wysokiej sumy.
Karty przedpłacone są łatwe w użyciu. Jeśli zaciekawił Cię ten temat, sprawdź nasz przewodnik po kartach przedpłaconych. Karty przedpłacone można też kupić na Recharge.com. Odwiedź naszą stronę z kartami przedpłaconymi, aby poznać całą naszą ofertę.
Jedną z kart przedpłaconych, które sprawdzą się w takich sytuacjach, jest karta przedpłacona paysafecard. Można ją stosować tak samo jak zwykłą kartę kredytową. Oferuje jednak dodatkową warstwę bezpieczeństwa wynikającą z natury kart przedpłaconych.
paysafecard Kup doładowanie paysafecard online ✓ Kody od 20 zł do 200 zł ✓ Natychmiast otrzymaj kod e-mailem ✓ Ponad 23 bezpieczne metody płatności
Bezpieczeństwo w internecie
Nie ma zasady, która zapewni Ci 100% bezpieczeństwo w internecie. Należy zawsze stosować kombinację różnych strategii. Jedną z nich jest zaznajamianie się z technikami phishingowymi. Udało Ci się dotrzeć do końca niniejszego artykułu, jesteś więc na najlepszej drodze, do bycia na bieżąco z metodami oszustw phishingowych. Jakich jeszcze strategii możesz użyć?
Powyżej wspomnieliśmy już o przedpłaconych kartach kredytowych. Kolejną istotną kwestią jest jednak stosowanie mocnych haseł. Uwzględnienie tych strategii zapewnia najwyższą ochronę przed oszustwami.
