W sieci nie brakuje zagrożeń, a jednym z poważniejszych, jest tytułowy phishing. Każdy z nas powinien zdawać sobie sprawę, że nawet jedno nieprzemyślane kliknięcie, może mieć bardzo złe skutki. Ważne więc, by zachować szczególną ostrożność, dokładnie zweryfikować otrzymywanie wiadomości, klikane linki, odwiedzane strony www. W naszym artykule przybliżymy tematykę phishingu. Omówimy, czym dokładnie jest i jak się przed nim chronić.
Phishing – co to?
Zacznijmy od wyjaśnienia, czym jest phishing. Jest to rodzaj ataku polegający na podszywaniu się pod zaufane osoby, firmy lub instytucje. Celem takich działań jest wyłudzenie wrażliwych danych. Ataki najczęściej realizowane są za pomocą wiadomości e-mail (phishing email) lub fałszywych stron internetowych.
Phishing attack – na czym polega?
Fałszywe wiadomości wyglądają, jak autentyczne komunikaty, których nadawcą jest bank, firma kurierska, instytucja. Treść e-maila bądź sms-a ma skłonić ofiarę do lub pobrania załącznika bądź kliknięcia linku oraz podania wrażliwych danych, takich, jak:
- PESEL,
- PIN,
- data urodzenia,
- login,
- hasło,
- numer karty kredytowej,
- kod SMS,
- itp.
Cyberprzestępcy wykorzystują emocje odbiorcy, który często jest zdenerwowany i działa pod presją czasu. Wszystko to znacznie zwiększa szanse na to, że ofiara złapie przynętę i wykona pożądaną akcję.
Smishing phishing co to?
Smishing to rodzaj phishingu – atak wykorzystujący wiadomości SMS. Oszuści wysyłają sms-y, które mają nakłonić odbiorcę do kliknięcia linku lub oddzwonienia na podany numer. Wszystko to ma na celu wyłudzenie wrażliwych danych.
Czym jest spear phishing?
Spear phishing to zaawansowana i ukierunkowana forma phishingu – oszuści atakują konkretne osoby lub organizacje. W odróżnieniu od tradycyjnego phishingu, który jest masowym atakiem, spear phishing jest precyzyjnie dopasowany, skupia się na konkretnym celu.
Jak działa spear phishing?
Spear phishing opiera się na gromadzeniu szczegółowych informacji na temat ofiary, są to między innymi:
- imię i nazwisko
- stanowisko pracy
- miejsce zatrudnienia
- adresy e-mail i numery telefonów
- informacje dostępne na profilach w mediach społecznościowych.
Oszuści wykorzystują powyższe dane, aby stworzyć wiarygodne i personalizowane wiadomości, które zwiększają szansę osiągnięcie celu.
Techniki stosowane w spear phishingu
- Personalizowane e-maile: Wiadomości przygotowane są z myślą o konkretnej osobie, mogą zawierać informacje zwiększające autentyczność. Na przykład, e-mail może wyglądać jak wiadomość od przełożonego lub współpracownika, zawierać wiele szczegółów dotyczących bieżących projektów lub działań w firmie.
- Fałszywe strony internetowe: Atakujący mogą tworzyć strony internetowe, które wyglądają identycznie jak prawdziwa strona firmy lub instytucji.
- Złośliwe załączniki: Wiadomości mogą zawierać załączniki, które po otwarciu instalują złośliwe oprogramowanie na komputerze ofiary. Instalacja oprogramowania to sposób, by uzyskać dostęp do systemów firmowych bądź przejąć ważne dane.
Przykłady spear phishingu
- E-maile od przełożonych: Oszust może wysłać wiadomość, która wygląda na autentyczny e-mail od szefa i poprosić o przelanie pieniędzy na fałszywe konto bankowe lub podanie danych logowania do systemów firmowych.
- Fałszywe faktury: Atakujący mogą wysłać e-mail z fałszywą fakturą, wyglądającą jak dokument od zaufanego dostawcy.
- Wiarygodne zaproszenia: Wiadomości mogą zawierać zaproszenia na fałszywe spotkania lub wydarzenia, z linkiem do strony, która wyłudza dane logowania.
Phishing a spoofing
Spoofing to rodzaj ataku, w którym hakerzy podają się za firmę, instytucję, konkretną osobę i wyłudzają ważne informacje. Takie działanie sprawia, że poszkodowany jest zarówno odbiorca, jaki i firma bądź osoba, pod którą podszywają się przestępcy.
Phishing przykłady
Przykłady phishingu mogą obejmować:
Phishing email: wiadomości z prośbą o weryfikację konta
- Wiadomości wyglądają jak prawdziwe e-maile z banku.
- E-mail zawiera link do fałszywej strony logowania, która imituje stronę banku.
- W treści zawarta jest prośba o podanie danych logowania, numeru konta, numeru karty kredytowej.
- Komunikaty często zawierają ostrzeżenie, że w przypadku nie podjęcia określonych działań, konto zostanie zablokowane.
Sms phishing: wiadomości od rzekomych dostawców usług
Sms phishing może obejmować wiadomości od operatorów telekomunikacyjnych, dostawców energii lub firm kurierskich.
- Treść zawiera informację o fałszywych problemach z kontem lub przesyłką.
- Aby zweryfikować sprawę, odbiorca musi odwiedzić fałszywą stronę www, podać dane.
Fałszywe powiadomienia o wygranej w konkursie
- Sms lub e-mail zawiera informacje o wygranej w loterii lub konkursie, w którym użytkownik rzekomo brał udział.
- Pojawia się prośba o podanie danych osobowych, takich jak imię, adres, numer telefonu czy dane bankowe.
- W treści zawarta jest informacja o wniesieniu opłaty manipulacyjnej – koniecznej, aby odebrać nagrodę.
E-maile od serwisów społecznościowych i serwisów internetowych
- Wiadomości wyglądają na autentyczne e-maile od Facebooka, Twittera, LinkedIn czy innych serwisów.
- Treść informuje o problemach z kontem, nakłania do zmiany hasła lub weryfikacji danych.
- Pojawiają się linki do fałszywych stron logowania, które kradną dane uwierzytelniające.
Fałszywe e-maile od dostawców usług płatniczych i sklepów internetowych
- Przykłady obejmują PayPal, Amazon, Allegro czy eBay.
- E-mail zawiera informację o konieczności weryfikacji transakcji, zmiany hasła, lub potwierdzenia płatności.
- Wiadomości zawierają linki do fałszywych stron, które wyłudzają dane logowania i informacje finansowe.
Jak rozpoznać phishing?
Rozpoznanie phishingu może być trudne, istnieje jednak kilka działań, które zwiększą bezpieczeństwo i zminimalizują ryzyko.
1. Nietypowe adresy e-mail
- Nieznany nadawca: Wiadomość pochodzi od osoby lub instytucji, z którą wcześniej nie było kontaktu.
- Dziwne domeny: Zamiast autentycznych adresów e-mail (np. @bank.com), wiadomości mogą pochodzić z podejrzanych domen (np. @bank-security.com).
- Drobne różnice: Oszuści mogą używać adresów e-mail, które na pierwszy rzut oka wyglądają prawidłowo, ale np. literówki (np. @bankk.com zamiast @bank.com).
2. Błędy w treści wiadomości
- Złe tłumaczenia: Wiadomości phishingowe często tłumaczone są na wiele języków, mogą zawierać błędy wynikające z automatycznych przekładów.
- Niska jakość: Profesjonalne instytucje zazwyczaj dbają o poprawność językową swoich komunikatów. Liczne błędy gramatyczne i ortograficzne mogą świadczyć o oszustwie.
- Dziwny styl pisania: Nienaturalny lub niespójny styl pisania może wskazywać na automatyczne generowanie treści.
3. Podejrzane linki i załączniki
- Nieznane linki: Linki w wiadomościach phishingowych często prowadzą do fałszywych stron internetowych. Zawsze sprawdzaj, czy adres URL jest prawidłowy.
- Skracane linki: Oszuści mogą używać skracanych linków (np. bit.ly) w celu ukrycia prawdziwego adresu URL.
- Załączniki o dziwnych nazwach: Pliki załączone do wiadomości mogą mieć nietypowe rozszerzenia (np. .exe, .scr).
4. Prośby o podanie poufnych informacji
- Pilne żądania: Wiadomości phishingowe często zawierają pilne wezwania do działania, np. do natychmiastowej zmiany hasła lub weryfikacji konta.
- Nieoczekiwane prośby: Prawdziwe instytucje rzadko proszą o podanie poufnych informacji przez e-mail lub SMS. Jeśli wiadomość zawiera taką prośbę, prawdopodobnie jest to phishing.
- Osobiste informacje: Phishing e-mail lub sme to zwykle prośby o podanie danych osobowych, takich jak numer PESEL, numer karty kredytowej czy hasła, co nigdy nie powinno mieć miejsca w autentycznych komunikatach.
5. Nietypowe treści i nieznane powody kontaktu
- Nieoczekiwane faktury i rachunki: Wiadomości zawierające faktury za usługi, z których nie korzystałeś także mogą być próbą phishingu.
- Nagrody i konkursy: Informacje o wygranej w konkursie, w którym nie brałeś udziału to także próba wyłudzenia danych.
- Fałszywe alarmy: Wiadomości o podejrzanych działaniach na koncie, które wymagają natychmiastowej weryfikacji, często są próbą phishingu.
6. Nietypowy wygląd wiadomości
- Brak personalizacji: Prawdziwe wiadomości zazwyczaj zawierają personalizację, taką jak imię i nazwisko odbiorcy. Phishingowe treści są bardziej ogólne.
- Brak logo i branding: W wiadomościach phishingowych często brakuje profesjonalnych elementów graficznych, takich jak logo firmy.
- Niskiej jakości grafika: Oszuści mogą używać niskiej jakości grafik, które nie odpowiadają standardom używanym przez prawdziwe instytucje.
7. Nieprawidłowe informacje kontaktowe
- Fałszywe dane kontaktowe: E-maile i sms-y phishingowe często zawierają fałszywe dane kontaktowe.
- Brak informacji kontaktowych: Profesjonalne wiadomości zazwyczaj zawierają informacje o możliwości kontaktu z nadawcą. Ich brak może być sygnałem, że wiadomość jest phishingiem.
Phishing jak usunąć?
Jeśli podejrzewasz, że padłeś ofiarą phishingu, natychmiast:
- Zmień swoje hasła do zaatakowanych kont.
- Skontaktuj się z bankiem, jeśli podałeś dane finansowe.
- Przeskanuj komputer w poszukiwaniu malware.
- Zgłoś incydent odpowiednim służbom.
Gdzie zgłosić phishing?
W Polsce sprawami związanymi z cyberprzestępczością zajmują się:
1. CERT Polska (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego)
Jeśli padłeś ofiarą phishingu, możesz zgłosić incydent do CERT Polska.
- Strona internetowa: www.cert.pl
- Formularz zgłoszeniowy: Na stronie CERT Polska dostępny jest formularz zgłoszeniowy, który pozwala na opisanie incydentu i przesłanie dowodów (np. podejrzanych e-maili).
- Kontakt e-mail: cert@cert.pl
2. Policja
Kradzież danych osobowych lub pieniędzy należy zgłosić na policję.
- Zgłoszenie osobiste: Udaj się do najbliższego komisariatu i złóż zawiadomienie o popełnieniu przestępstwa.
- Zgłoszenie online: W niektórych przypadkach możesz złożyć zawiadomienie online przez stronę internetową policji.
3. Banki i instytucje finansowe
Jeśli podejrzewasz, że Twoje dane bankowe zostały skradzione, natychmiast skontaktuj się ze swoim bankiem.
- Kontakt telefoniczny: Zadzwoń na infolinię banku i zgłoś incydent. Bank może zablokować Twoje konto i zapobiec dalszym oszustwom.
- Formularze zgłoszeniowe: Niektóre banki wdrożyły specjalne formularze umożliwiające szybkie zgłoszenie oszustwa.
4. UOKiK (Urząd Ochrony Konkurencji i Konsumentów)
UOKiK pomaga w przypadkach, w których phishing dotyczy oszustw konsumenckich.
- Strona internetowa: www.uokik.gov.pl
- Kontakt e-mail: uokik@uokik.gov.pl
5. Portale społecznościowe i serwisy internetowe
Jeśli cyberatak przeprowadzony był za pośrednictwem portali społecznościowych lub innych serwisów internetowych, zgłoś incydent bezpośrednio do administratorów tych serwisów.
Podsumowanie
Phishing to cyber atak, oszustwo polegające na wysyłaniu fałszywych wiadomości – e-maili lub sms, podszywaniu się pod zaufane instytucje. Celem jest wyłudzenie poufnych informacji, np. danych logowania, numerów kart kredytowych czy danych osobowych. Ataki phishingowe mogą przybierać różne formy, w tym smishing (phishing przez SMS) i spear phishing (ataki ukierunkowane na konkretne osoby lub organizacje). Sygnały, które powinny wzbudzić czujność to nietypowe adresy e-mail, błędy, podejrzane linki i załączniki oraz prośby o podanie poufnych informacji. W Polsce przypadki phishingu można zgłaszać do CERT Polska, na policję, do banku, do administratorów sieci społecznościowych – uzależnione jest to od rodzaju ataku.