Czym jest phishing i jak się przed nim bronić?

Oszustwa w internecie zdarzają się nagminnie, a w ciągu ostatnich kilkunastu miesięcy dodatkowo się nasiliły. Jednym z zagrożeń jest phishing, czyli wyłudzanie danych. Metody są różne – od uzyskiwania informacji przez wysyłanie wiadomości od „znajomych” na Facebooku po generowanie zawirusowanych linków, np. dla klientów banku. Jak się przed tym bronić?

Spis treści

  1. Phishing – co to właściwie jest?
  2. Jak bronić się przed phishingiem?
  3. Czym skutkuje udany atak hakera?

Zagrożenia w internecie to szeroki temat, który obejmuje różnorodne zagadnienia. Ofiarą może zostać każdy – wystarczy brak wiedzy, słabe zabezpieczenie komputera/urządzenia mobilnego lub nawet chwila nieuwagi. Jednym z powszechnie stosowanych przez hakerów działań jest phishing.

Phishing – co to właściwie jest?

Phishing to jeden z najpopularniejszych rodzajów ataków hakerskich za pomocą e-maili oraz SMS-ów. Jak podaje serwis gov.pl, zespół reagowania na incydenty cyberbezpieczeństwa, czyli CSIRT NASK, zarejestrował w 2019 roku 6484 incydentów, wśród których 4100 było atakami typu fraud, czyli oszustw internetowych”. Trzeba zaznaczyć, że głównie dotyczyły phishingu. Jak wygląda phishing? Cyberprzestępca podszywa się pod różne instytucje i firmy. Najczęściej są to banki, urzędy, operatorzy telekomunikacyjni, firmy dostarczające media, a także firmy przewozowe. Ofiara klika razy – świadomie (za namową) lub po prostu mimowolnie otwiera podejrzany i zawirusowany link, a w tym czasie dochodzi do kradzieży danych użytkownika – w tym danych logowania i numerów kart kredytowych. Oprócz tego zagrożeniem są podejrzane linki na portalach społecznościowych. Wiadomości są opracowane przez hakerów w taki sposór, że wyglądają na wiarygodne (przynajmniej wiarygodna wydaje się sama treść).

Przykłady phisingu:

  • Wysyłanie do klientów banków wiadomości z zainfekowanymi załącznikami.
  • Oferowanie drogich przedmiotów za darmo. Oszust prosi tylko o opłacanie przesyłki kurierskiej, do której kieruje link – oczywiście zainfekowany.
  • Akceptacja zmiany regulaminu lub hasła do banku po kliknięciu podejrzanego linku. Link odsyła ofiarę do „klona” – strony banku, która wygląda podobnie lub tak samo. Finalnie przestępcy uzyskują kluczowe dane.
  • SMS-y o konieczności uiszczenia dodatkowej zapłaty za przesyłkę (np. z Allegro, AlieExpress, OLX), której się nie zamawiało.
  • Szantaż w wiadomościach elektronicznych (np. powiadomienie o przeglądaniu stron pornograficznych itp.). Przestępca może zdobyć dane w przypadku reakcji (odpisania) lub po prostu uzyskać środki pieniężne samym szantażem.
  • Próby wyłudzenia informacji przez „znajomych” na serwisach społecznościowych. W rzeczywistości to fejkowe konta, które zachęcają do kliknięcia linku (np. głosowanie) lub nawet podania kodu BLIK (jako formy pożyczki ze względu na jakieś tragiczne wydarzenie losowe).
  • Wysyłanie wiadomości z ponagleniem o zapłatę (np. za gaz lub nieopłaconą fakturę).
  • Zaliczki na poczet większego zakupu po rewelacyjnej cenie (np. taniego pojazdu z Anglii, który opłaca się nawet po przemontowaniu kierownicy).
  • Wyłudzanie danych w czasie rozmowy telefonicznej (vishing).

Jak bronić się przed phishingiem?

Podstawowa forma obrony to nieklikanie w linki, które są wysyłane w formie SMS-ów, listów elektronicznych, a także podejrzanych postów i wiadomości na portalach społecznościowych. Jak podaje politykabezpieczenstwa.pl, podejrzenia budzą strony z literówką w adresie (np. „1” zamiast „L”, „0” zamiast „O”) lub przekierowujące na inny adres niż powinien. Nie powinno się również instalować aplikacji, do czego rzekomo zachęca dany bank lub urząd. Trzeba uwiarygodnić informacje, np. szukając na stronie internetowej lub dzwoniąc do konsultanta. Banki i inne instytucje podają oficjalne komunikaty, w których przestrzegają przed oszustami. Używanie do śledzenia linku dodatkowej przeglądarki, z której na co dzień się nie korzysta, również nic nie da. W ten sposób haker również wygrywa.

Dodatkowe działania, które pomogą ustrzec się przed utratą danych:

  • Sprawdzanie adresów domen. Hakerskie domeny często są bardzo długie, mają rząd chaotycznych liter i cyfr, wykorzystują domeny z nietypowych, egzotycznych krajów.
  • Kasowanie wiadomości z podejrzanych adresów e-mailowych. Często występują w nich linki, mogą być również nieskładnie opracowane.
  • Banki mają dodatkowe zabezpieczenia – kody, podawanie wybranych liter w haśle. Jeśli przy logowaniu do konta widoczne są jakieś zmiany lub brakuje konkretnego elementu, jest to znak ostrzegawczy.
  • Kliknięcie kłódki znajdującej się po lewej stronie w pasku z adresem strony w przeglądarce. Otwiera się wtedy okienko, które informuje, czy witryna zawiera certyfikat SSL i jest bezpieczna.
  • Instalacja dobrego programu antywirusowego z zaporą ogniową i opcją weryfikacji stron.

Osoby, które podejrzewają, że padły ofiarą cyberprzestępcy, powinny zgłosić to przez: incydent.cert.pl.

Czym skutkuje udany atak hakera?

Udany atak kończy się dla ofiary utratą danych osobowych, włamaniem do kont (np. serwisów społecznościowych) i co gorsza – utratą środków finansowych. Dotyczy nie tylko bezpośredniej utraty środków na koncie bankowym. Cyberprzestępca po uzyskaniu danych może wziąć pożyczkę na daną osobę lub wykonywać zakupy z jej karty kredytowej. Z reguły dochodzi do wyłudzeń loginów i haseł, numerów kart kredytowych oraz numerów PESEL.

Stuprocentowe uchronienie się przed phishingiem nie jest możliwe, natomiast pewnymi działaniami i rozsądkiem można ograniczyć takie ryzyko do minimum. Kluczowa jest zasada ograniczonego zaufania. Zobacz, jak bezpiecznie surfować po sieci!

Rekomendowane

Czarno-biała grafika przypominająca ciasteczka z kawałkami czekolady

Ustawienia plików cookie

Korzystamy z plików cookies i podobnych rozwiązań umieszczanych w Twoim udządzeniu przez nas lub podmioty trzecie, jeżeli pozwalają na to ustawienia Twojej przeglądarki internetowej. Dzięki temu nasza strona działa poprawnie, możemy analizować korzystanie ze strony oraz dostosować wygląd strony i nasze reklamy do Twoich preferencji i zainteresowań. Poznaj szczegóły i możliwość zmiany ustawień w Polityce prywatności i Cookies.