Phishing – co to takiego i jak się przed nim bronić?
Porady

Phishing – co to takiego i jak się przed nim bronić?

2 Stycznia 2024

Jedno niewłaściwe kliknięcie podczas korzystania z Internetu może wystarczyć do utraty wrażliwych danych, w tym loginów i haseł np.: do kont bankowych. Atak phishingowy jest prosty do przeprowadzenia przez oszustów, wymaga małego nakładu pracy i kosztów, a przynosi duże rezultaty. Co to phishing i jak się przed nim bronić?

Co to jest phishing?

Phishing – słowo to określa rodzaj oszustwa internetowego polegającego na próbie nakłonienia ofiary do podania wrażliwych danych lub oddania pieniędzy. Przestępcy podszywają się pod zaufany podmiot lub osobę. Wykorzystuje przekonujące logo, język formalny, a nawet zdobyte uprzednio informacje, aby zwiększyć swój poziom autentyczności i wiarygodności. Dodatkowo, treść przekazanej wiadomości ma na celu wzbudzenie emocji lub poczucia pilności sprawy u ofiary. Oszukiwany pod wpływem emocji zaczyna działać nierozważnie i bardzo często kierowany ciekawością, strachem, lub chęcią wygrania (np. w loterii) klika w link, ściąga załącznik specjalnie zmodyfikowany przez przestępców lub podaje wrażliwe dane (np. do logowania) w rozmowie telefonicznej. To emocje, pod którymi działa ofiara, powodują, że phishing jest tak skuteczną metodą.

Oszustwo może przybierać różne formy:

  • e-mail – phishing e-mail;
  • wiadomości tekstowe SMS – smishing;
  • e-maile oraz treści skierowane do osób wysokopostawionych w organizacjach, dyrektorów generalnych i prezesów firmy – whaling;
  • połączenia telefoniczne – vishing.

Jeśli ofiara da się nabrać na takie oszustwo i poda swoje dane, to zostaną one wykorzystane przez napastnika do m.in.:

  • kradzieży pieniędzy;
  • kradzieży tożsamości;
  • popełniania dalszych przestępstw (metoda na tzw. słupa).

Spear phishing

To specjalna, bardziej indywidualna metoda. Wszystkie wiadomości wysyłane ofierze są wtedy personalizowane, co pomaga przekonać adresata do ich prawdziwości. Zwracanie się po imieniu, odwoływanie się do konkretnego i autentycznego numeru umowy itd. Czasami przestępcy wykorzystujący spear phishing podszywają się nawet pod znajomych ofiary. W tym celu wystarcza często samo przejrzenie listy znajomych lub postów atakowanego na jego mediach społecznościowych. Zdarza się także, że gdy hakerowi uda się zdobyć dostęp do konta jednego z użytkowników, decyduje się na kolejny krok: podsyłanie na czacie (np. przez Facebook) innym osobom wiadomości z podejrzanymi linkami.

​​​​​​​Przykładowe użycia phishingu

Przykład pierwszy: ofiara dostaje wiadomość SMS z banku. Zawiadamia ona o braku pozytywnej weryfikacji ostatniej płatności lub istotnym naruszeniu bezpieczeństwa podczas ostatniego korzystania z aplikacji. Następna część tekstu zawiera podejrzany link wraz z prośbą o jego odwiedzenie – celem skontaktowania się z pracownikami i złożenia wyjaśnień. Po kliknięciu okazuje się, że strona wymaga logowania się. Jeżeli ofiara zdecyduje się wykonać ten krok, to haker zyskuje wszystkie potrzebne dane, aby okraść prawdziwe konto bankowe z pieniędzy.

Przykład drugi: ofiara dostaje wiadomość e-mail z banku. Jej treść sugeruje, że doszło do poważnego włamania na konto użytkownika, ale jest ucięta w kluczowym momencie, kończąc się m.in. słowami „Dowiedz się więcej – kliknij link”. Po wykonaniu polecenia urządzenie użytkownika zostaje zainfekowane np. programem typu ransomware lub keylogger.

Przykład trzeci: ofiara odbiera połączenie telefoniczne. Oszust podający się za konsultanta jakiejś firmy przekazuje informacje, że osoba oszukiwana wygrała konkurs i należy się jej duża ilość pieniędzy. Do odebrania nagrody potrzebne będą jednak wszystkie dane kontaktowe, łącznie z numerem pesel, karty płatniczej, rachunku bankowego oraz często hasła do konta aplikacji mobilnej. Po ich podaniu okazuje się, że żadna nagroda nie istnieje, a dzwoniący przerywa połączenie.

Przykład czwarty: na skrzynce pocztowej e-mail ofiary pojawia się nowa wiadomość. Jest ona napisana rzekomo przez dalekiego członka rodziny, który jest bogaczem potrzebującym natychmiastowej pomocy finansowej. Wyciągnięcie pomocnej ręki zostanie sowicie wynagrodzone – przynajmniej w teorii, bo po wykonaniu przelewu kontakt się urywa.

Przykład piąty: Ofiara dostaje SMS z informacją o zatrzymaniu paczki w związku z błędnymi danymi adresowymi. Dodatkowo w wiadomości znajduje się link gdzie można sprawdzić i zaktualizować dane. Po kliknięciu okazuje się że ofiara zostaje przekierowana na złośliwą stronę internetową.

Jak się bronić przed phishingiem?

Dobra wiadomość jest taka, że mimo iż nie jest łatwo można rozpoznać i odeprzeć atak typu phishing. Jak się bronić? Poniżej kilka rad:

  • Zwracaj uwagę na adresy e-mail i URL – dokładnie sprawdzaj nadawców wiadomości oraz adresy URL podane w wiadomościach. Bardzo często na pierwszy rzut oka będą wyglądały prawidłowo, ale zdarzają się sytuacji kiedy zmiany w nich są bardzo subtelne (np.: duża litera „i” i mała litera „L” wyglądają praktycznie tak samo).
  • Nie poddawaj się emocjom – jeżeli wiadomość wywołuje w Tobie emocje, zarówno pozytywne jak i negatywne, zwiększ swoją czujność. Przestępcy dążą do tego abyś działał pod wpływem emocji.
  • Ucz się rozpoznawać sygnały ostrzegawcze phishingu – pamiętaj o charakterystycznych cechach phishingu: wzbudzenie emocji i poczucia pilności sprawy, podszywanie się pod zaufany podmiot, błędy w pisowni, dziwnie wyglądające elementy graficzne i formatowanie.
  • Nie klikaj w linki - Jeśli link wydaje się niepewny, najpierw najeżdżaj na niego kursorem, aby sprawdzić dokąd prowadzi, zamiast od razu go kliknąć. Ponadto, korzystaj z oficjalnych stron i aplikacji, a nie z linków otrzymanych przez e-mail.
  • Nie podawaj wrażliwych danych – pamiętaj, że instytucje takie jak banki czy serwisy internetowe nie będą prosić o poufne informacje przez e-mail bądź SMS.
  • Zainstaluj oprogramowanie antywirusowe, które pomoże zabezpieczyć komputer podczas używania go do przeglądania sieci. Zainstaluj i regularnie aktualizuj oprogramowanie antywirusowe, które może wykrywać i blokować próby ataków phishingowych.
  • Nie podawaj swojego numeru telefonu tam, gdzie nie jest to potrzebne – oszust nie będzie w stanie wykorzystać dróg komunikacji, do których nie ma dostępu.
  • Edukuj – mów swoim znajomym i rodzinie o niebezpieczeństwie związanym z udostępnianiem wrażliwych danych.

Kto może paść ofiarą phishingu?

Ofiarą phishingu może paść każdy. Narażone są jednak szczególnie jednostki, które mają mało doświadczenia w poruszaniu się po internecie czy posługiwaniu się urządzeniami mobilnymi oraz komputerami osobistymi.

Posiadanie wiedzy o tym, czym jest phishing oraz jakie są jego podstawowe formy, niweluje znacznie szansę na stanie się ofiarą cyberprzestępstwa.

InPost mobile
Nie masz jeszcze apki InPost Mobile? Pobierz ją już teraz!
Z aplikacją InPost życie jest prostsze. Wysyłaj paczki szybciej niż kiedykolwiek, dzięki funkcji zdalnego otwarcia skrytki i nadaniu bez etykiety. Oszczędzaj czas z apką!
Nie masz jeszcze apki InPost Mobile? Pobierz ją już teraz!
Z aplikacją InPost życie jest prostsze. Wysyłaj paczki szybciej niż kiedykolwiek, dzięki funkcji zdalnego otwarcia skrytki i nadaniu bez etykiety. Oszczędzaj czas z apką!