Internet

Phishing - nie daj się
złapać na haczyk!

Ofiarami ataków hakerskich i kradzieży danych staje się coraz większa liczba użytkowników sieci. Co warto wiedzieć o phishingu? Czy można ochronić się przed atakami?

Czym jest i jak działa phishing?

Na wstępie warto wyjaśnić samą definicję phishingu. Termin nawiązuje do angielskiego słowa fishing, czyli łowienie ryb. Nie bez powodu. Oszuści stosujący phishing, podobnie jak wędkarze - zastawiają przynętę (np. w postaci mailowego komunikatu o wygranej nagrodzie, tworząc strony podszywające się pod banki i popularne portale społecznościowe), aby nakłonić ofiarę do ujawnienia informacji osobistych i czerpać z tego dalsze korzyści. Odbiorca może też być proszony o pilną aktualizację swoich poufnych informacji, pod groźbą zablokowania konta. Oszuści próbują wyłudzić od użytkowników internetu cenne dane osobowe, takie jak:

  • dane osobowe (PESEL, dane z dowodu osobistego czy paszportu),
  • dane logowania do różnych serwisów (banki, media społecznościowe i inne),
  • dane do karty kredytowej (CVV/CV2, data ważności karty, dane właściciela karty i jej numer).

 

Wiele osób daje się nabrać na phishingowe sztuczki i klika w fałszywe linki, w obawie przed utratą dostępu do rachunku bankowego, poczty elektronicznej lub konta na portalu społecznościowym. Tak więc phishing, mimo że jest internetowym przestępstwem, stanowi realne zagrożenie i może doprowadzić do utraty tożsamości i wszystkich oszczędności życia.

phishing

Oszustwa w sieci – przykłady phishingu

Zgodnie z informacjami od policji z roku na roku rośnie liczba tego typu incydentów – phishing staje się narzędziem do kradzieży danych dla coraz większej liczby cyberprzestępców. Ataki mogą być wymierzone nie tylko w osoby prywatne, lecz także firmy. Częstym celem oszustów są przede wszystkim banki, systemy płatności elektronicznych, serwisy z aukcjami internetowymi oraz operatorzy sieci komórkowych, ze względu na ogromne bazy danych swoich klientów, które są dla hakerów cennym źródłem informacji. Oto kilka przykładów phishingu:

  • Użytkownicy otrzymują wiadomości e-mail od rzekomej firmy kurierskiej, dotyczące odbioru paczki, której tak naprawdę nie zamawiali. Wiadomość zawiera załącznik z numerem listu przewozowego i statusem zamówienia. Pobierając plik, komputer zostaje zainfekowany i cyberprzestępcy mają dostęp do danych ofiary.
 
  • Użytkownicy dostają w e-mailu fałszywy komunikat od dostawcy energii elektrycznej, w treści którego znajduje się informacja o zaleganiu z płatnościami i wskazany numer konta, na który należy przelać środki. Taka wiadomość może też zawierać załącznik, który ma szkodliwe oprogramowanie (np. ransomware). Fałszywe faktury, to jedne z najstarszych oszustw phishingowych.
 
  • Cyberprzestępcy mogą też wyłudzać dane przy pomocy popularnych serwisów sprzedażowych – wystawiając na aukcjach przedmioty w bardzo okazyjnej, podejrzanie niskiej wręcz cenie, co zwykle zwabia wiele ofiar. Kupujący otrzymuje prośbę o dopłatę do przesyłki drobnej kwoty – nawet 1 złotówki, otrzymując od sprzedającego link do płatności, który przekierowuje go do fałszywej strony pośrednika e-płatności. Podając swoje dane do logowania do systemu bankowości elektronicznej, nieświadoma ofiara udostępnia te informacje oszustom.
 
  • Hakerzy, chcąc wykraść dane do logowania na portal społecznościowy użytkowników, podszywają się pod administratorów i wysyłają wiadomości e-mail, zawierające fałszywe treści i linki z prośbą o podanie danych osobowych. 

 

Niestety, na pierwszy rzut oka phishingowe wiadomości wyglądają bardzo wiarygodnie. Do cyberataków bardzo często wykorzystywany jest wizerunek znanych przedsiębiorstw, które budzą powszechne zaufanie. Wystarczy chwila nieuwagi, ciekawość lub naiwność, by zostać wykorzystanym przez oszustów internetowych.

Popularne rodzaje ataków phishingowych

  • Spear phishing – to oszustwo spersonalizowane pod danego użytkownika lub też firmę. Atak nie jest przeprowadzany na masową skalę, ofiara jest starannie wybrana na podstawie danych na jej temat dostępnych w Internecie, dzięki czemu łatwiej wysłać przemawiający do niej komunikat, skłonić do pobrania zainfekowanego załącznika lub kliknięcia w niebezpieczny link.
 
  • Typosquatting – ten rodzaj ataku phishingowego wykorzystuje błędy literowe popełniane podczas wpisywania nazwy domeny w pole adresowe przeglądarki internetowej, nazwa fałszywej domeny jest niemal identyczna z nazwą domeny chronionej marki (np. może mieć przesuniętą lub podwójną literę w pewnym miejscu). Jedyny sposób walki z tego typu nieczystymi zagraniami to rejestracja domen podobnych do naszej.

Metody phishingowe nieustannie ewoluują, oszuści wymyślają coraz to nowe sposoby na nabranie internautów. Warto zaznaczyć, że phishing to przestępstwo komputerowe, które jest karalne.

Jak uchronić się przed phishingiem?

Rozsądek, brak pośpiechu i ostrożność to podstawa. Oto kilka przydatnych wskazówek, które zwiększą nasze bezpieczeństwo w sieci:

  • przeglądając wiadomości e-mail, zawsze należy przeanalizować adres nadawcy i ocenić, czy wzbudza nasze zaufanie,
  • nie wolno przekazywać nikomu poufnych danych ani mailowo, ani telefonicznie,
  • nie należy otwierać załączników w podejrzanie wyglądających wiadomościach e-mail,
  • należy dokładnie czytać wiadomości e-mail – literówki, błędy ortograficzne i stylistyczne powinny wzbudzić naszą czujność,
  • należy ignorować linki i załączniki znajdujące się w wiadomościach trafiających do SPAMu,
  • warto regularnie skanować swój komputer i korzystać z aktualnego oprogramowania antywirusowego,
  • nie wolno korzystać z bankowości elektronicznej za pośrednictwem linków w przychodzących wiadomościach e-mail,
  • warto podchodzić z dużą ostrożnością do wiadomości SMS i e-mail, które wzywają do zapłaty lub też dopłaty niewielkich kwot pieniężnych (np. 1-2 zł) i zawierających link do strony internetowej, podszywającej się pod pośrednika płatności elektronicznych.

 

Dobrym pomysłem na zabezpieczenie internetu domowego jest korzystanie z managera haseł – sprytnego programu, który posługuje się jedynie mocnymi hasłami i nie zezwala na ustalanie zbyt prostych haseł, które łatwo złamać. To pomocne narzędzie nie tylko umożliwia tworzenie silnych haseł, lecz także je przechowuje. Warto wspomnieć, że programy tego typu bardzo często są zupełnie darmowe. Możemy więc zwiększyć swoje bezpieczeństwo w Internecie bez dodatkowych kosztów.

Podejrzewając próbę wyłudzenia danych i kradzieży tożsamości, można także zgłosić się do specjalnej jednostki, która ma patronat Ministerstwa Administracji i Cyfryzacji, a mianowicie CERT Polska. Jeżeli już padło się ofiarną phishingu to należy to zgłosić na Policję, niezależnie czy to było wyłudzenie danych osobowych czy też kradzież pieniędzy.

Podsumowując, phishing to jeden z wielu rodzajów zagrożeń online. Mimo że cyberprzestępcy są sprytni i w coraz bardziej przebiegły sposób próbują wyłudzić dane od użytkowników Internetu, możemy skutecznie bronić się przed ich atakami phishingowymi, zachowując czujność i ignorując podejrzane strony www oraz maile z prośbami o ujawnienie informacji osobistych. Rozsądnym posunięciem będzie też dokładne sprawdzanie adresów stron (URL). Bez względu na to, czy mamy internet stacjonarny, czy mobilny, warto też zainstalować na komputerze i smartfonie oprogramowanie antywirusowe z funkcjami antyphishingowymi.

 

Sprawdź pozostałe artykuły!