Phishing, czyli jak nie dać się złowić w sieci. 

 około 4 minuty czytania

Internetowi oszuści stosują różnorakie podstępne metody, aby pozyskać od internautów wartościowe dane lub pieniądze. Bez wątpienia jednym z najskuteczniejszych sposobów jest phishing. Słowo to pochodzi z języka angielskiego i oznacza podszywanie się pod inną osobę, firmę lub instytucję w celu wyłudzenia poufnych informacji. Napastnicy wysyłają do potencjalnych ofiar e-maile lub SMS-y, w których podają się za pracowników znanych koncernów, instytucji finansowych, policji, jednostek samorządowych, czy firm kurierskich. 

Phishing to homofon wywodzący się od słowa fishing, czyli łowienia ryb. Zbieżność nie jest tutaj przypadkowa. Wędkarze starają się złapać za pomocą przynęty rybę, zaś internetowi oszuści próbują zwabić internautę. Cyberprzestępcy, podobnie jak wędkarze, sięgają po znane, sprawdzone wabiki. Są to informacje o atrakcyjnych wygranych w konkursach i loteriach, ponaglenia do zapłaty, komunikaty od instytucji państwowych, wezwania od organów ścigania, wiadomości o konieczności uzupełnienia adresu dostawy, czy też prośby o aktualizację danych uwierzytelniających do konta pocztowego lub bankowego.

Infografika: Zostałeś ofiarą phishingu i co dalej?

Jak wyłowić fałszywe e-maile 

Cyberprzestępcy dążą do tego, aby wiadomości phishingowe wyglądały jak najbardziej autentycznie. Jeszcze do niedawna poważnym sygnałem ostrzegawczym dla adresatów były pojawiające się w wiadomościach literówki, błędy gramatyczne oraz ortograficzne. Jednak fałszywe e-maile z roku na rok stają się coraz lepiej dopracowane i trudno znaleźć w nich jakiekolwiek niedociągnięcia. 

  1. Sprawdź adres e-mail przychodzącej wiadomości
    Oszustów może zdradzić adres e-mail, z którego wysłali wiadomość. Jeśli informacja pochodzi na przykład z firmy kurierskiej, a w e-mailu nadawcy po znaku @ pojawia się inna nazwa niż kuriera, to prawdopodobnie ktoś zarzucił na Ciebie haczyk. 
  2. Jeśli wiadomość wymaga szybkiego podjęcia kroków, wyszukaj nadawcę w Internecie i skontaktuj się bezpośrednio z instytucją lub firmą, która wysłała wiadomość.
    Znakiem rozpoznawczym wiadomości phishingowych jest ich treść, zazwyczaj żerująca na ludzkich emocjach – strachu lub radości. Z jednej strony może to być strach przed konsekwencjami związanymi z nieopłaceniem grzywny, zaś drugiej radość z wygranego iPhone’a. Jeśli coś wydaje się podejrzanie tanie lub zbyt dobre, aby było prawdziwe, prawdopodobnie jest to phishing. Jeśli wymaga natychmiastowego działania ze względu na zagrożenie – należy skontaktować się oficjalną drogą z daną instytucją, czy osobą, nie korzystając z danych zawartych w wiadomości.

Nie tylko e-mail: cztery odsłony phishingu 

Hakerzy stosują kilka rodzajów phishingu. Choć poszczególne odmiany łączy kilka cech wspólnych, to występują między nimi istotne różnice. 

  1. E-mail
    Najstarszą, a zarazem najbardziej rozpowszechnioną formą phishingu jest wysyłanie wiadomości za pośrednictwem e-maila. Wprawdzie jest to ulubiona metoda cyberprzestępców, ale to pułapka, której najłatwiej uniknąć, bowiem odbiorcy mają sporo czasu na analizę treści oraz sprawdzenie nadawcy. 
  2. SMS
    Dużo bardziej niebezpieczne od fałszywych e-maili są SMS-y ze względu na to, że ludzie darzą ten rodzaj wiadomości dużym zaufaniem oraz bardzo szybko na nie odpowiadają. Dlatego też napastnicy za pośrednictwem SMS–ów wysyłają informacje ponaglające adresata do podjęcia jakichś działań, na przykład do podania danych uwierzytelniających do konta bankowego. W takich przypadkach unikaj kontaktu z oszustem, nie dzwoń ani nie odpisuj na otrzymanego SMS-a. Najlepiej sprawdź kontakt na oficjalnej stronie usługodawcy. Co istotne, żaden bank ani instytucja finansowa nigdy nie poprosi Ciebie o podanie danych logowania za pośrednictwem SMS-a ani e-maila. Jednak, aby zapewnić sobie optymalną ochronę przed phishingiem SMS-owym, korzystaj z uwierzytelniania dwuskładnikowego.
  3.  Spear phishing, czyli spersonalizowane e-maile
    Jest to najskuteczniejsza i najgroźniejsza forma phishingu. W przypadku zwykłego oszustwa napastnicy wysyłają setki tysięcy bądź miliony e-maili z nadzieją, że ktoś połknie haczyk. Natomiast spear phishing polega na tym, że napastnik wybiera ofiarę, zbierając o niej maksymalną ilość danych. Spersonalizowany e-mail jest dość przekonywujący. Firma Barracuda przeanalizowała 50 miliardów e-maili. gdzie spear phishing stanowił mniej niż 0,1 proc, ale doprowadził do 66 proc. udanych naruszeń. Podstawową formą obrony przed spear phishingiem jest zakup oprogramowanie antywirusowego. Zastanów się też nad instalacją filtra antyspamowego. Jego obecność na komputerze lub telefonie mocno ograniczy ryzyko otrzymania wiadomości od oszustów.
  4. Vishing, czyli oszustwo telefoniczne 
    Najrzadziej spotykaną w Polsce metodą jest tak zwany vishing (voice phishing), oszustwo z wykorzystaniem połączeń telefonicznych. Schemat takich ataków postępuje według prostego wzorca – osoba dzwoniąca usilnie nakłania swojego rozmówcę do podania wrażliwych danych, podszywając się pod konsultanta banku, pracownika urzędu, czy policjanta. Jeśli ktoś dzwoni do Ciebie i próbuje uzyskać w taki sposób dane osobiste, hasła dostępu, kody autoryzacyjne lub numery  kart płatniczych, rozłącz się i zgłoś sprawę do odpowiedniej instytucji.

nfografika 4 odsłony phishingu

Michał Łabęcki | Kierownik Marketingu

Michał Łabęcki
Kierownik marketingu

E-mail: [email protected]

Ochrona warta każdej złotówki - G DATA Antivirus

  • Skaner antywirusowy
    Zaufaj silnikowi antywirusowemu o najwyższym poziomie detekcji, bazującemu na dwóch niezależnych technologiach ochronnych.
  • Ochrona bankowości on-line
    Zabezpiecz transakcje bankowe i zakupy online - dzięki opatentowanej technologii BankGuard. Ta funkcja gwarantuje, że przeglądarka wyświetla tylko prawdziwe treści.
  • Blokuj wirusy szyfrujące
    Moduł AntiRansomware bezbłędnie wykrywa i zatrzymuje działanie zagrożeń szyfrujących pliki i wymuszających okup - nie pozwól aby ktoś pzrejął władze nad twoimi plikami