Jak uchronić się przed phishingiem – dzięki temu nie dasz się oszukać

senior z phishing

W 2021 roku CERT Polska czuwający nad bezpieczeństwem polskiego Internetu zarejestrował niemal 30 tys. unikatowych naruszeń bezpieczeństwa krajowej cyberprzestrzeni. Najpopularniejszym rodzajem ataku jest phishing. O czym trzeba pamiętać, by nie paść ofiarą hakera?

Czym jest phishing?

Phishing to forma manipulacji korzystająca z narzędzi inżynierii społecznej (socjotechniki), czyli formy manipulacji polegającej na nakłanianiu użytkownika do wykonania określonej czynności. Metoda oszustwa bazuje na podszywaniu się pod wiarygodne źródła informacji – ministerstwa, firmy kurierskie czy urzędy. W celu wyłudzenia wrażliwych danych przestępcy chętnie podszywają się też pod operatora komórkowego.

Anglicyzm nawiązuje do terminu oznaczającego łowienie ryb („fishing”) i poprzez analogię odnosi się do wędkarza (hakera) zarzucającego przynętę na swą ofiarę (internautę). Phishing jest przestępstwem ściganym z urzędu, chyba że oszustwo popełniono na szkodę osoby najbliższej – wówczas ściganie następuje na wniosek pokrzywdzonego. Ofiarą phishingu może paść każdy.

W jaki sposób działa phishing?

Ataki phishingowe najczęściej są realizowane za pośrednictwem SMS-ów bądź e-maili, ale ich nośnikiem mogą być także rozmowy telefoniczne i wiadomości rozsyłane za pośrednictwem komunikatorów typu Messenger. Do potencjalnych ofiar cyberprzestępców trafiają treści łudząco przypominające autentyczne komunikaty. Podejrzane wiadomości mogą dążyć do wykradzenia poufnych informacji, np. danych karty kredytowej. Na kradzież możemy narazić się także samodzielnie inicjując kontakt.

Standardowa wiadomość phishingowa zawiera link zachęcający do kliknięcia. Jeśli użytkownik wykona ten krok, zostanie przekierowany do zainfekowanego załącznika bądź strony rozprzestrzeniającej szkodliwe oprogramowanie. Serwis będzie niemal identyczny jak witryna oficjalnie działającej instytucji, aczkolwiek personalia, które na niej wprowadzimy, zostaną przechwycone przez hakera.

Jakie są rodzaje ataków phishingowych?

Phishing to pojemne pojęcie, nieco różnicujące się w zależności od szczegółów ataku. Może przybrać jedną z następujących form. Tak wyglądają ataki phishingowe:

Spear-phishing

To szczególna odmiana phishingu; skierowana do konkretnej osoby. Atak często jest poprzedzony rozpoznaniem w mediach społecznościowych. Może być prowadzony przez kogoś bądź za pośrednictwem kogoś pozostającego z nami w bliskiej relacji. Haker kieruje spersonalizowane komunikaty, w których podszywa się np. pod naszych znajomych.

phishing

Clone phishing

Polega na zduplikowaniu prawdziwej wiadomości i dodaniu bądź podmianie zawartych w niej załączników na te prowadzące do zainfekowania urządzenia.

Whaling

To phishingowy atak spersonalizowany, którego celem jest przechwycenie danych od osób zajmujących kierownicze stanowiska.

Spoofing

To też przykład phishingu. W ramach spoofingu cyberprzestępca podszywa się pod istniejącą domenę, dzięki czemu wygenerowany przez niego e-mail wygląda jak oryginalna wiadomość od wybranej organizacji.

Brand phishing

W tym przypadku oszuści podszywają się pod przedsiębiorstwo świadczące usługi dla atakowanej firmy.

Smishing

To zbiorcza nazwa na ataki, w których wykorzystywane są SMS-y zawierające złośliwy link.

czym jest phishing

Vishing

Obejmuje wyłudzanie danych za pośrednictwem głosu. Nieświadomy senior może zostać zmanipulowany przez przestępców podających się np. za bankowców bądź doradców inwestycyjnych.

Uwaga! Jakiś czas temu zaobserwowano metodę ataku typu man-in-the-middle. Atak polega na skierowaniu użytkownika na sfingowaną domenę, często o nazwie mocno zbliżonej do prawdziwej usługi. W odróżnieniu od technik phishingowych obserwowanych wcześniej w tym przypadku fałszywy serwer nie przesyła użytkownikowi podrobionej wersji strony, a tylko pośredniczy w komunikacji z autentyczną usługą.

Jak rozpoznać wiadomość phishingową?

Wbrew pozorom przed phishingiem dość łatwo jest się uchronić. Kluczowy aspekt to rozsądek w działaniu. Naszą uwagę powinny zwrócić szczególnie:

  • brak interpunkcji i wyjątkowo niepoprawna gramatycznie pisownia (wiadomości phishingowe często przygotowują zagraniczni przestępcy, którzy nie znają zasad polszczyzny);
  • brak spersonalizowanego zaadresowania e-maila (wiadomość skierowana do „cenionego” bądź „najlepszego klienta”, skrzętnie omijająca nasze imię i nazwisko, oznacza, że nadawca nie zna naszej tożsamości);
  • podejrzane linki przekazywane między znajomymi (przestępcy, którzy uzyskają kontrolę nad naszymi kontami w social mediach, mogą podszywać się pod naszą rodzinę i znajomych);
  • wezwania do natychmiastowego działania (zwroty typu „padłeś ofiarą przestępstwa, kliknij natychmiast” mogą świadczyć o oszustwie);
  • niezgodność adresu mailowego z podpisem pod treścią wiadomości;
  • skrócone bądź niepoprawne adresy popularnych witryn internetowych. By wyświetlić pełen adres, najedź kursorem na link (ale nie klikaj!);
  • informacje o możliwości szybkiego zarobienia dużych pieniędzy albo rzekomej nagrodzie, np. finansowej, którą otrzymamy niezwłocznie po wypełnieniu stosownego formularza.

Czego nie robić, gdy podejrzewasz, że padłeś ofiarą phishingu?

Jeśli podejrzewasz, że padłeś ofiarą phishingu, pod żadnym pozorem nie działaj pochopnie, ponieważ haker tylko czeka na nasze potknięcia.

atak phishingowy

Nie otwieraj podejrzanych załączników

Oszuści często wysyłają podejrzane załączniki, które mogą zawierać wirusy lub programy szpiegujące. Nie otwieraj załączników, jeśli nie jesteś pewny, kim jest nadawca wiadomości.

Nie dzwoń pod podany numer telefonu

Oszuści często umieszczają fałszywe numery telefonów, aby pozyskać dane osobowe. Jeśli masz wątpliwości co do wiadomości lub podejrzewasz, że padłeś ofiarą hakera, nie dzwoń pod podany numer telefonu. Zamiast tego skontaktuj się z instytucją finansową lub organizacją bezpośrednio za pomocą oficjalnego numeru telefonu lub adresu e-mail.

Nie odpowiadaj na podejrzane wiadomości

Jeśli otrzymasz podejrzaną wiadomość e-mail, nie odpowiadaj na nią ani nie klikaj w zawarte w niej linki. Oszuści często wysyłają e-maile, w których podszywają się pod banki lub inne instytucje finansowe, i proszą o potwierdzenie swoich danych, jak hasła lub numery kart kredytowych. Banki nigdy nie proszą o tego typu informacje drogą elektroniczną.

plakat informacyjny

Oszust, które chce się uwiarygodnić, może prowadzić z nami długą korespondencję

Nie wprowadzaj swoich danych osobowych na podejrzane strony

Oszuści często tworzą fałszywe strony internetowe, które wyglądają jak oficjalne witryny banków lub innych instytucji finansowych. Nie wprowadzaj swoich danych osobowych na podejrzane strony internetowe. Sprawdź adres WWW i upewnij się, że jest on zgodny z adresem oficjalnej strony internetowej instytucji finansowej.

Nie ignoruj podejrzanych transakcji

Jeśli zauważysz podejrzane transakcje na swoim koncie bankowym lub karcie kredytowej, nie ignoruj ich. Natychmiast skontaktuj się z bankiem i zgłoś swoje wątpliwości.

Do kogo i jak zgłaszać podejrzenie phishingu? 

Próbę wyłudzenia danych powinniśmy zgłosić policji bądź prokuraturze. O incydencie warto powiadomić również polski oddział CERT (CSIRT NASK) czuwający nad bezpieczeństwem przestrzeni internetowej. Obok CSIRT MON i CSIRT GOV wchodzi on w skład Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego. By zgłosić phishing, wystarczy wejść na stronę organizacji i wypełnić krótki formularz. Alternatywnie można dostarczyć zgłoszenie pocztą elektroniczną na adres cert@cert.pl bądź wysłać pod numer 799 448 084. Z jednego numeru możesz zgłosić maksymalnie 3 wiadomości w ciągu 4 godzin.

przykład wiadomości phishingowej

Przykładowa wiadomość phishingowa

Kara za phishing

Phishing jest przestępstwem wyczerpującym przesłanki z różnych artykułów i paragrafów: art. 190a §2, art. 267 i art. 287 „Kodeksu karnego”. Jako oszustwo komputerowe stanowi odmianę klasycznego oszustwa, opisanego w art. 286 wspomnianego dokumentu. Kara za wyłudzenie danych może wynieść od 3 miesięcy do 5 lat pozbawienia wolności. Dolny próg penalizacyjny dotyczy sytuacji, w których sąd uwzględni okoliczności łagodzące bądź niską szkodliwość społeczną czynu. Wówczas sprawca podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do roku. Na mocy wyroku karnego poszkodowani w ramach drogi cywilnej mogą starać się o zrekompensowanie poniesionych strat.

Czy bank odpowiada wobec ofiary phishingu?

Bank odpowiada za każdą transakcję nieautoryzowaną, czyli dokonaną przez osobę nieupoważnioną. Odpowiedzialności może uniknąć tylko wtedy, gdy udowodni, że klient dopuścił się tzw. rażącego niedbalstwa. Poszkodowany odpowiada za nieautoryzowane transakcje do wysokości 50 euro. Nawet jeśli odzyskamy utracone pieniądze, kwota zostanie pomniejszona o tę sumę.

Źródło plakatów: Policja.pl

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *