Cyberprzestępcy cały czas wykorzystują coraz nowsze metody pozyskiwania danych od swoich ofiar. Właśnie dlatego warto budować świadomość na temat zagrożeń w sieci. Jeden z najbardziej znanych sposobów to phishing – co to jest i jak się przed nim chronić?
Phishing – co to jest?
Zanim poznasz metody ochrony przed cyberprzestępcami, należy dokładnie wyjaśnić, co to znaczy phishing. Pojęcie to pojawiło się już w latach 90. XX wieku. Określa ono sposób oszustwa, który stosuje się w internecie. Polega on na podszywaniu się pod kogoś, kim się nie jest. Mogą to być i osoby, i firmy.
Metoda polega na wysyłaniu do ofiary wiadomości w imieniu np. sklepu internetowego w celu wyłudzenia danych czy zdobycia dostępu do konta bankowego. Cyberprzestępca nadaje e-mail czy SMS z linkiem i treścią zachęcającą do jego kliknięcia.
Gdy ktoś podszywa się pod e-sklep, często w swoich wiadomościach do odbiorcy pisze, że np. potrzebna jest jeszcze niewielka dopłata za zamówienie, które ten złożył. Wkleja wtedy odnośnik do witryny, która w rzeczywistości służy celom przestępczym i może spowodować albo pozyskanie dostępu do ważnych informacji, albo zainfekowanie urządzenia złośliwym oprogramowaniem.
Odpowiedź na to, czym jest phishing, stała się już jasna. Dlaczego zjawisko określa się właśnie tym słowem? Pochodzi ono z języka angielskiego i powstało z połączenia dwóch słów – „password” (hasło) i „fishing” (łowienie ryb). Za pomocą pozornie niegroźnych linków przestępcy przechwytują dane swoich ofiar, co nieco przypomina łowienie ryb.
Rodzaje phishingu
Atak phishingowy ma swoje główne założenia i ogólnie polega na podszywaniu się pod kogoś innego, ale występuje w różnych formach. Oto najpopularniejsze rodzaje tego oszustwa:
- Phishing e-mail – zdecydowanie najczęściej wykorzystywana forma. Przybiera postać wiadomości na skrzynce e-mailowej, a jej nadawcą może być m.in. fałszywy bank, serwis w mediach społecznościowych czy firma kurierska. Oczywiście, oszust stara się, aby treść komunikatu wyglądała jak najbardziej wiarygodnie. Stosuje identyczne lub nieznacznie zmienione nazwy i logo znanych przedsiębiorstw. Może prosić np. o podanie hasła dostępu do bankowości internetowej czy konta w social mediach, determinując taką potrzebę np. aktualizacją danych czy odebraniem przelewów. Niebezpieczne są nie tylko zamieszczane w treści linki, ale i załączniki. Pamiętaj, że prawdziwe firmy nigdy nie proszą o przesyłanie takich informacji w wiadomościach ani nie wymuszają pobierania żadnych plików na Twoje urządzenie.
- SMS phishing – poprzez SMS-y przestępcy często podszywają się nie tylko pod znane marki, ale i bliskie osoby. W ostatnim czasie często spotykaną metodą jest wysyłanie wiadomości informujących o tym, że zmieniło się numer. Przestępcy zwracają się do odbiorców jak do rodziców i proszą o kliknięcie linku, aby dodać się do kontaktów w popularnym komunikatorze. W przypadku takich wiadomości zawsze najlepiej skontaktować się telefonicznie z bliską osobą, aby potwierdzić, że doszło do oszustwa. Numer, z którego przyszła wiadomość, warto zablokować.
- Phishing w social mediach – niebezpieczne wiadomości wysyła się też za pomocą mediów społecznościowych np. Facebooka. Przestępcy podszywają się m.in. pod konta organizujące konkursy czy przedstawicieli samych serwisów. Zwykle przesyłają niebezpieczne linki.
- Phishing przez telefon – zjawisko określane również jako vishing. Przestępcy dzwonią do swoich ofiar i wyłudzają od nich ważne dane np. loginy i hasła do bankowości internetowej. Podają się za pracowników banków czy innych instytucji, a następnie okradają osoby, z którymi rozmawiali. Metoda ta najczęściej działa na osoby starsze, dlatego ważne jest ich uświadamianie na ten temat i ostrzeganie przed czyhającymi zagrożeniami.
Jak rozpoznać phishing?
Hakerzy starają się, aby phishing danych przebiegał bardzo naturalnie. Tworzone przez nich wiadomości wyglądają zwykle dość wiarygodnie, dlatego też takie oszustwo często działa. Aby rozpoznać atak cyberprzestępcy w e-mailach, należy dokładnie weryfikować wszystkie otrzymywane treści. Trzeba sprawdzać precyzyjnie adresy skrzynek czy numery telefonów, z których przychodzą linki.
Oficjalne dane kontaktowe do banków, firm kurierskich czy sklepów internetowych znajdują się zawsze na ich stronach internetowych. Jeśli te z e-maila czy SMS-a różnią się od nich, oznacza to, że masz do czynienia z próbą oszustwa. Dodatkowo sprawdzaj dokładnie nazwy przedsiębiorstw, ponieważ czasami przestępcy zmieniają np. jedną literę w logo, co od razu powinno dać Ci do myślenia.
Poza tym zwracaj uwagę na niespodziewane próby kontaktu z różnych instytucji. Phishing często bazuje na podszywaniu się pod firmy kurierskie. Oszust wysyła wtedy SMS-a z linkiem i niepokojącym komunikatem o problemach z doręczeniem paczki.
Sposoby bronienia się przed phishingiem
Aby uniknąć padnięcia ofiarą phishingu, warto korzystać z InPost Pay. To usługa łącząca płatności i wybór dostawy w jednym miejscu. Gdy finalizuje się transakcje w ten sposób, informacje o wszystkich zakupach trafiają do aplikacji InPost Mobile. Wszelkie niezbędne dane można sprawdzić tam, więc nie ma potrzeby, aby firmy kontaktowały się dodatkowo za pomocą innych kanałów. Podejrzane wiadomości powinno się zatem ignorować.
Podczas korzystania z sieci trzeba być ostrożnym cały czas. Cyberprzestępcy wykorzystują wszelkie sposoby docierania do nowych ofiar. Gdy zauważy się niepokojące zjawisko, warto poinformować o tym swoich znajomych i bliskich. Bardzo możliwe, że niebawem oni również otrzymają podobną wiadomość. Tego typu ataki przeprowadza się zwykle masowo, aby pozyskać jak najwięcej informacji i wyłudzić pieniądze.
Aby nie paść ofiarą phishingu, pilnuj swoich danych i nie podawaj ich w niepożądanych miejscach. Jeśli masz wątpliwości co do tego, czy aby na pewno kontaktuje się z Tobą bank, nie loguj się do systemu z przesłanego linku. Zrób to poprzez aplikację i w ten sposób sprawdź, czy doszły do Ciebie jakieś nowe przelewy.
Uważaj również na strony phishingowe, które często kryją się pod postacią fałszywych sklepów internetowych. Aby mieć pewność, że korzystasz z zaufanej witryny, sprawdzaj certyfikat SSL, a także opinie o sprzedawcy. Kiedy zamawiasz na stronach oferujących InPost Pay, możesz mieć pewność, że jest to sprawdzony e-sklep i nie padniesz ofiarą oszustwa.
Co zrobić, gdy padliśmy ofiarą phishingu?
Phishing w Polsce zdarza się dość często, dlatego trzeba wiedzieć, jak postępować w takiej sytuacji. Gdy podasz komuś dane logowania do jakiejś platformy lub bankowości internetowej, najlepiej od razu zmień hasło dostępu. Im szybciej to zrobisz, tym większa szansa, że przestępca nie zdążył jeszcze wyrządzić wielu szkód.
Jeśli masz takie same hasła na różnych stronach (co dla bezpieczeństwa nie powinno mieć miejsca), jak najszybciej zmień je w pozostałych serwisach. Możliwe, że haker będzie próbował się dostać także do Twoich innych kont.
Następnie poinformuj o działaniu phishingowym dział obsługi klienta firmy lub banku. Koniecznie zawiadom Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT, a jeśli dojdzie np. do kradzieży pieniędzy z konta, również policję.
Zgłaszanie podejrzenia phishingu
Znasz już znaczenie phishingu i wiesz, jak go rozpoznawać. Kiedy jakaś strona internetowa lub działanie online wydaje Ci się podejrzane, koniecznie odwiedź witrynę rekomendowaną na stronie rządowej, czyli incydent.cert.pl. Dzięki temu tworzy się baza stron zagrażających bezpieczeństwu użytkowników w sieci.
Co to jest atak phishingowy, jak można z nim walczyć i co robić w przypadku oszustw? Mamy nadzieję, że potrafisz już odpowiedzieć na te pytania. Skoro wiesz, jak działa phishing, zabezpiecz się przed padnięciem jego ofiarą. Wykorzystaj bezpieczne sklepy oferujące zakupy z usługą InPost Pay!
