Phishing to jedno najbardziej popularnych, a także skutecznych oszustw internetowych, na które możemy się natknąć każdego dnia. Narażeni na niego są wszyscy użytkownicy internetu – od przysłowiowego Kowalskiego, aż po potężne firmy i organizacje. Mimo, że nie należy do bardzo skomplikowanych cyberataków i nie wymaga od przestępców zaawansowanych umiejętności technicznych, cieszy się nie tylko popularnością, ale również wysoką skutecznością.
Dlaczego? – o tym, o sposobach działań przestępców oraz co zrobić by nie dać się złapać, dowiesz się z naszego artykułu.
Najczęstsze oszustwo w sieci
Phishing to metoda oszustwa, w której oszuści podszywają się pod znane firmy, organizacje oraz instytucje zaufania publicznego, i za pomocą różnych metod, np. wiadomości email, sms (smishing), czy rozmów telefonicznych (vishing) kontaktują się ze swoimi ofiarami, w celu wyłudzenia od nich wrażliwych danych lub pozyskania pieniędzy. W swoich wiadomościach wykorzystują inżynierię społeczną i inne techniki manipulacji, które skłaniają ofiarę do podjęcia różnych, często nieracjonalnych działań.
Jak działają cyberprzestępcy?
Nazwa phishing kojarzy się z fishingiem, czyli wędkarstwem – łowieniem ryb. Przestępcy, podobnie jak wędkarze przygotowują przynętę, i w ten sposób próbują osiągnąć swój cel.
Oszuści podszywają się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, banki i inne firmy, a nawet naszych znajomych. W swoich wiadomościach najczęściej informują nas o niezapłaconej fakturze lub zadłużeniu (również firmy), dopłacie do przesyłki, wygranej w konkursie, proszą o przelew lub podanie kodu i stwarzają inne sytuacje, które mogą skłonić nas do podjęcia szybkich działań, np. wykonania przelewu lub kliknięcia w link. Jeśli to zrobimy, prawdopodobnie zostaniemy przekierowani do sfałszowanej strony naszego banku lub sfałszowany portal społecznościowych, gdzie po zalogowaniu tracimy nie tylko dostęp do naszego konta lub profilu, ale bardzo często dochodzi do kradzieży naszych środków finansowych.
Ataki ukierunkowane
Większość kampanii phishingowych to kampanie skierowane w przypadkowych użytkowników sieci. Zdarza się jednak, że przestępcy wybierają sobie ofiarę (np. pracownika dużej, znanej firmy), zbierają na jej temat informacje, a następnie wysyłają spersonalizowaną wiadomość. Spear phishing, przeważne uderza w duże firmy, instytucje w celu uzyskania wrażliwych danych na jej temat.
W jaki sposób możemy się chronić?
Wiadomości phishingowe są niebezpieczne, ale możemy się przed nimi chronić. Przypomnijmy sobie najważniejsze zasady cyberhigieny, które mogą nas uchronić nie tylko przed phishingiem, ale również innymi zagrożeniami internetowymi:
- Przede wszystkim zasada ograniczonego zaufania, nawet wobec swoich znajomych z serwisu społecznościowego – ich konto mogło zostać zhakowane. Zawsze weryfikuj, czy wiadomość, która otrzymałeś, jest prawdziwa.
- Nie podejmuj działań pod presją czasu, zachowaj czujność i ostrożność, zwłaszcza gdy ktoś namawia cię lub naciska, byś podjął działania, do których nie masz przekonania.
- Zwracaj uwagę na poprawność językową wiadomości, m.in literówki, gramatykę, błędy stylistyczne i interpunkcyjne.
- Jeśli otrzymasz wiadomość, która wymaga „natychmiastowych działań” zweryfikuj, czy na pewno jest prawdziwa – skontaktuj się z firmą lub instytucją, od której ją otrzymałeś.
- Aktualizuj swoje urządzenia i korzystaj z ochrony antywirusowej.
- Uważaj na skrócone linki, jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.
- Dbaj o bezpieczeństwo swoich haseł – Pamiętaj, że żadna firma, instytucja publiczna ani organizacja zaufania publicznego nie będą prosiły Cię o podanie haseł, kodów dostępu ani innych wrażliwych danych.
- Korzystaj tylko z legalnego oprogramowania.
- Jeśli się zdarzy, że klikniesz w link i cyberprzestępcy przejmą Twoje dane lub stracisz pieniądze – skontaktuj się z ze swoim bankiem, zgłoś sprawę na policję oraz na https://incydent.cert.pl