Po czym poznać phishing i jak nie dać się nabrać?

Wyjątkowa umiejętność ukrywania się pod maską zaufanych instytucji sprawia, że phishing stanowi jedno z najtrudniejszych do wykrycia zagrożeń w sieci. Z tego wpisu dowiesz się, co to jest phishing, omówimy też rodzaje phishingu i jego konsekwencje. Dzięki naszym wskazówkom będziesz wiedział, po czym poznać phishing i będziesz umiał unikać pułapek, które mogą kosztować Cię więcej niż tylko chwilowe zaskoczenie.

Phishing – definicja

Phishing – co to jest? To oszustwo internetowe i jedna z najgroźniejszych metod wyłudzania informacji w sieci. Phishing po polsku oznacza właśnie wyłudzanie informacji. Ta technika oszustwa może przybierać formę wiadomości mailowych, SMS-ów, fałszywych witryn internetowych lub telefonów. Na czym polega phishing? Atak rozpoczyna się przykładowo od przesłania mailem (tzw. email phishing) wiadomości, które są spreparowane w taki sposób, aby do złudzenia przypominały oficjalną korespondencję bankową lub wiadomość od konkretnego portalu, który budzi zaufanie. W mailu znajduje się np. informacja o rzekomej dezaktywacji konta użytkownika i konieczność aktywacji tego konta ponownie. Strona internetowa oczywiście bardzo przypomina prawdziwą stronę banku czy znajomej firmy, ale jest to niestety przygotowana przez przestępcę zasadzka. Użytkownik, który niczego złego się nie spodziewa, wpisuje na niej swoje poufne dane tj. hasło, identyfikator, login, kod PIN. 

Sprawdź też artykuł na blogu Sapsan: na czym polega cyberbezpieczeństwo?

Rodzaje phishingu

• Vishing (voice phishing) – oszustwo przeprowadzane za pomocą połączenia telefonicznego. Oszuści dzwonią do ofiary, podszywając się pod przedstawiciela banku lub innej instytucji, próbując wyłudzić dane.
• Smishing (SMS phishing) – W tym przypadku oszuści wykorzystują wiadomości tekstowe, aby przekonać ofiarę do kliknięcia w link lub podania poufnych informacji.
• Pharming – groźniejsza forma phishingu, przekierowanie użytkownika banku, który wpisuje prawidłowy adres www (np. banku, w którym ma konto) na inne fałszywe strony internetowe, które kradną dane. 

Zapoznaj się też z treścią artykułów, które tłumaczą, czym jest skimming oraz spoofing. 

Po czym poznać phishing? 

Aby rozpoznać phishing, zawsze zwracaj uwagę na wiadomości od nieznanych lub podejrzanych nadawców. To powinno automatycznie wzbudzić Twoją czujność. Phishing często wykorzystuje fałszywe adresy e-mail lub numery telefonów, które wyglądają podobnie do prawdziwych. Wiadomości, które grożą natychmiastowymi konsekwencjami, jeśli nie wykonasz określonego działania, są podejrzane. Przykładem  mogą być wiadomości informujące o zablokowaniu konta lub konieczności pilnej aktualizacji danych

Phishing – przykłady

Aby jeszcze lepiej zrozumieć phishing, poznaj konkretne przykłady tej techniki oszustwa.

• Otrzymujesz maila z załącznikiem o nazwie „Faktura.pdf”. Po otwarciu załącznika złośliwe oprogramowanie jest instalowane na Twoim komputerze, co może prowadzić do kradzieży danych, usunięcia plików lub przejęcia kontroli nad urządzeniem.
• Otrzymujesz wiadomość na Facebooku od „znajomego”, który prosi Cię o kliknięcie w link, który rzekomo prowadzi do ciekawego artykułu lub konkursu. Link ten prowadzi do fałszywej strony, która chce wyłudzić Twoje dane.
• Otrzymujesz maila informującego, że wygrałeś dużą sumę pieniędzy w losowaniu, w którym nigdy nie brałeś udziału. Aby odebrać nagrodę, musisz kliknąć w link i podać swoje dane osobowe.

Jakie są skutki phishingu?

Phishing może prowadzić do poważnych konsekwencji, takich jak:

• Kradzież tożsamości –  oszuści mogą używać zdobytych danych do nielegalnych działań, takich jak zakładanie fałszywych kont bankowych lub dokonywanie transakcji w imieniu ofiary.
• Straty finansowe – wyłudzone dane często prowadzą do utraty pieniędzy z konta bankowego lub użycia kart kredytowych w sposób nieautoryzowany.
• Utrata reputacji – w przypadku phishingu skierowanego na firmy, może dojść do utraty zaufania klientów oraz naruszenia bezpieczeństwa danych.

Phishing – co zrobić, jak się chronić?

Aby chronić się przed phishingiem, zainstaluj i regularnie aktualizuj oprogramowanie antywirusowe. Sprawdzaj też adresy URL – przed wprowadzeniem jakichkolwiek danych na stronie internetowej, upewnij się, że adres jest poprawny. Nie klikaj w linki zawarte w wiadomościach e-mail lub SMS-ach od nieznanych nadawców. Weryfikuj źródła – jeśli otrzymasz wiadomość z prośbą o podanie poufnych informacji, skontaktuj się bezpośrednio z daną instytucją za pomocą oficjalnych kanałów komunikacji. 

Zgłaszaj phishing smsowy, przesyłając podejrzaną wiadomość na numer CERT Polska: +48 799 448 084. Wykorzystaj w tym celu w swoim telefonie funkcję „przekaż” albo „udostępnij”. Wiadomość trafi bezpośrednio do analityków CSIRT NASK, którzy zdecydują o dopisaniu podejrzanej domeny do listy ostrzeżeń. Pamiętaj jednak, że z jednego numeru telefonu możesz zgłosić maksymalnie trzy wiadomości w ciągu czterech godzin.

Aby czuć się bezpiecznie, warto zainwestować np. w klucze yubikey, które wymagają fizycznej interakcji użytkownika (naciśnięcia przycisku na kluczu) podczas procesu logowania. To oznacza, że nawet jeśli cyberprzestępca przejmie dane logowania, nie będzie w stanie zakończyć procesu uwierzytelniania bez dostępu do samego klucza. Sprawdź też w sklepie Sapsan nasz sprzęt do cyberbezpieczeństwa, który jest przeznaczony zarówno dla początkujących, jak i profesjonalistów w tym temacie.