Kliknij, zapłać, zobacz - to najczęściej używane słowa w tzw. phishingu. Jest to oszustwo polegające na wyłudzaniu pieniędzy, danych lub zhakowaniu naszego sprzętu. W wysyłanych do nas wiadomościach jesteśmy zachęcani do klikania w linki, logowania się na swoje konta lub dokonywania płatności. W każdym takim przypadku należy zachować bardzo dużą ostrożność. W tym artykule dowiesz się tego, na czym polega atak phishingowy, jakie są jego rodzaje, a także jak rozpoznawać fałszywe wiadomości, jak chronić swoje dane i co należy zrobić w przypadku próby wyłudzenia danych?
Statystyki oszustw phishingowych w naszym kraju prowadzi CERT Polska. Skrótowiec ten oznacza angielski zwrot "Computer Emergency Response Team", czyli Zespół Reagowania na Incydenty. Zespół CERT Polska działa od 1996 roku w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej).
Najprościej mówiąc: phishing to próba kradzieży przy użyciu połączonych urządzeń. Najpierw otrzymujemy maila, telefon, SMS-a lub wiadomość w mediach społecznościowych i komunikatorach - ma to nas nakłonić do podjęcia jakiegoś działania: np. kliknięcia w link lub dokonania płatności.
Gdy zrobimy to, na czym zależy oszustom, haker może wykraść nasze dane, przejąć tożsamość lub kontrolę nad naszym urządzeniem.
Wiadomości phishingowe są tak przygotowywane przez cyberprzestępców, aby wyglądały na autentyczne.
Prawdopodobnie każdy z nas choć raz w życiu otrzymał mailem wiadomość, której treść zachęcała nas do kliknięcia w jakiś link lub tzw. button (wirtualny przycisk przekierowujący do innej strony internetowej).
Maile phishingowe podszywają się najczęściej pod znane marki i firmy, np. informując nas o uruchomieniu Allegro Smart, co wymaga kliknięcia, nowego regulaminu Facebooka, który wymaga akceptacji, czy też portalu olx.pl, który rzekomo informuje nas o konieczności potwierdzenia transakcji.
Częstym motywem phishingowym są również wiadomości e-mail z informacją o nieopłaconej (lub opłaconej) fakturze, które wymagają otwarcia załącznika lub kliknięcia w link. Zdarza się, że otrzymujemy maila z logiem znanej firmy kurierskiej i informacją, że kurier ma np. problem z dostarczeniem paczki.
Vishing to phishing telefoniczny. Skuteczność takich ataków jest niestety duża, a metody bardzo przekonujące. Przykład? Dzwoni do nas ktoś przedstawiający się jako konsultant z banku i chce nam przedstawić ofertę lub zgłasza jakiś problem z naszym kontem.
Gdy takie połączenia są z numeru zwykłego i niewidocznego w wyszukiwarce internetowej, łatwiej nam jest zachować czujność. Zdarza się jednak, że oszuści podszywają się pod numery oficjalnych infolinii. Fakt, iż odbieramy telefon z numeru, który figuruje na stronie naszego banku jako ich oficjalny kontakt, nie musi oznaczać, że dzwoni do nas pracownik banku. Oszuści mogą i potrafią podszywać się pod oficjalne numery telefonów znanych firm.
Smishing to połączenie słów "phishing" i "SMS". Polega on na wysyłce krótkiej wiadomości tekstowej, w której znajduje się informacja np. o konieczności dopłaty brakującej, niewielkiej kwoty za fakturę za prąd, gaz, internet czy telefon.
Często stosowanym trikiem jest również informowanie o rzekomej wygranej w loterii czy konkursie, wyznaczeniu daty szczepienia, a nawet nieopłaconego mandatu czy zwrotu lub niedopłaty podatku.
Ataki phishingowe najczęściej są wykonywane na masową skalę. Tysiące wiadomości e-mail i SMS podszywających się pod znane firmy mają jednak wiele wad i ich oszustwa bywają łatwe do rozszyfrowania. Spear phishing to rodzaj ataku wykorzystujący pozyskane wcześniej informacje o potencjalnej ofierze. Zwiększa to skuteczność takiego ataku.
W tym przypadku cyberprzestępca wyszukuje na nasz temat jak najwięcej informacji i przygotowuje spersonalizowaną wiadomość - np. wiedząc, że mamy konto w danym banku, oszust używa jego nazwy lub loga.
Jak oszuści zdobywają informacje o nas? Z włamań i wycieków lub tego, co sami o sobie umieścimy w internecie. Znając nasz numer konta cyberprzestępca jest w stanie łatwo ustalić, w jakim banku mamy konto i może np. podszyć się w mailu lub bezpośredniej rozmowie telefonicznej pod nasz bank.
Whaling to próba oszustwa phishingowego na osobę piastującą ważne stanowisko w firmie lub instytucji - np. prezes, dyrektor, kierownik, itd.
Dobrze sprofilowana i przygotowana wiadomość może przynieść cyberprzestępcy duży zysk.
Jednym z najbardziej znanych przykładów whalingu jest przypadek prezesa Amazonu, Jeffa Bezosa. Podczas rozmowy przez WhatsAppa, Bezos otrzymał wiadomość od kogoś, kto podawał się za księcia Arabii Saudyjskiej. Media informowały, że wiadomość ta zawierała również nagranie wideo, a w nim znajdowały się dodatkowe linie kodu. Pozwoliły one na import złośliwego oprogramowania na urządzenie. W efekcie telefon prezesa Amazonu został zhakowany.
Pharming to bardzo groźny rodzaj phishingu. Odwiedzając prawdziwą stronę internetową, jesteśmy przekierowani na fałszywą witrynę, która instaluje na naszym urządzeniu malware lub zbiera nasze dane osobowe.
Wykrycie pharmingu bywa niemożliwe. Warto jednak zwrócić uwagę na to, czy adres, który odwiedzamy, jest prawidłowo zapisany, a przed adresem widnieje skrót "https" - litera "s" to gwarancja zabezpieczenia połączenia.
Przede wszystkim: stosujmy zasadę ograniczonego zaufania. Nie należy odruchowo klikać w żadne linki!
Zanim otworzysz wiadomość, zastanów się, czy kontaktowałeś się z daną firmą wcześniej, czy czekasz na przesyłkę.
Fałszywe komunikaty bardzo często, choć nie zawsze, zawierają błędy gramatyczne, ortograficzne i interpunkcyjne.
Zwróć także uwagę na dane nadawcy. Adresy mailowe, którymi posługują się oszuści, mogą różnić się od tych prawdziwych szczegółami, np. literówką w nazwie domeny - zamiast kontakt@xbank.pl, jest kontakt@xbank.ppl lub też kontakt@xxbank.pl. Oszuści zastępują np. literę "l" cyfrą "1", a literę "O" - cyfrą "0". Jeżeli chcesz zalogować się do serwisu banku, własnoręcznie wpisz jego adres www.
W razie wątpliwości, warto skontaktować się z przedstawicielem instytucji lub firmy, która się z nami kontaktuje, np. za pośrednictwem infolinii.
Upewnij się, czy korzystasz z najnowszej wersji przeglądarki internetowej i czy masz zaktualizowany system operacyjny, a na Twoim urządzeniu zainstalowane jest oprogramowanie antywirusowe.
Oprócz zachowania czujności można zwiększyć stopień zabezpieczenia przed phishingiem swoich urządzeń. W swoich kontach mailowych i urządzeniach warto rozszerzyć wbudowane zapory, programy antywirusowe.
Zmieniaj co jakiś czas hasła w swoich kontach, a - jeśli możesz - ustawiaj dwuetapowe uwierzytelnianie.
Wydawanie pieniędzy na cyberbezpieczeństwo firmy to nie tylko inwestycja, ale często również zabezpieczenie podstaw funkcjonowania naszej działalności.
W tym celu należy zadbać o odpowiednie zabezpieczenie firmowej sieci, bezpieczeństwo baz danych, utworzenie systemu kopii zapasowych i bezpiecznego połączenia zdalnego z serwerem naszej firmy, a także monitoring sieci.
Niezwykle istotne jest również szkolenie pracowników. Każdy z nich powinien wiedzieć, że nie powinien klikać w żadne podejrzane wiadomości na firmowym sprzęcie, a także ustawić silne hasła dostępowe.
Nie lekceważ, reaguj - to najkrócej sformułowane zalecenie służb państwowych w przypadku wykrycia próby phishingu. Instytucją zajmującą się przyjmowaniem zgłoszeń o niebezpiecznych incydentach jest CSIRT NASK. Pod adresem https://incydent.cert.pl/ dostępny jest formularz interaktywny, który umożliwia wysłanie zgłoszenia.
Na listę trafiają strony wyłudzające dane lub pieniądze. Każde zgłoszenie jest weryfikowane w CSIRT NASK. Kiedy podejrzenia okazują się prawdziwe - strona trafia na listę ostrzeżeń, użytkownicy są ostrzegani przed wejściem na taką stronę, a operatorzy mogą ograniczać jej obsługę. W niektórych wypadkach powiadamiane są też organy ścigania - prokuratura i policja - tłumaczy minister Marek Zagórski, pełnomocnik rządu ds. cyberbezpieczeństwa.
Ponadto, jeżeli jest to próba oszustwa, należy to zgłosić w najbliższej jednostce policji lub prokuraturze. Tego typu przestępstwa są ścigane na wniosek osoby poszkodowanej.
Powtórzmy to raz jeszcze: nigdy nie klikaj w nic automatycznie. Nigdy nie podawaj żadnych danych przez telefon, gdy ktoś do Ciebie dzwoni. Zachowaj czujność, to może uchronić Cię przed poważnymi problemami.
Znane dotychczas metody phishingu z pewnością będą udoskonalane przez cyberprzestępczów. Co jakiś czas będziemy dowiadywać się z mediów o nowych formach prób oszustwa. Nie sposób więc przygotować zamkniętej listy działań oszustów.
W każdym przypadku, gdy ktoś kontaktuje się z Tobą przez internet i telefon powinieneś być bardzo ostrożny. Przypomnij o tym również swoim rodzicom i dziadkom, którzy mogą mieć skłonność większego obdarzania zaufaniem ludzi, którzy do nich dzwonią lub piszą. Stawką są Twoje pieniądze.