Co to jest phishing i jak się przed nim bronić?

Co to jest phishing i jak się przed nim bronić?

Phishing to jedna z metod, która wykorzystywana jest przez cyberprzestępców do wyłudzenia wrażliwych danych. W wyniku tego ataku możesz stracić nie tylko dostęp do konta mailowego, lecz także środki zgromadzone na rachunku bankowym. Radzimy, jak rozpoznać próby oszustwa i jak się przed nimi bronić.

Co to jest phishing?

Phishing to oszustwo stosowane przez internetowych przestępców w celu uzyskania cennych informacji, takich jak:

  • loginy i hasła,
  • numery kart kredytowych,
  • numer PESEL

Nazwa budzi dźwiękowe skojarzenia z fishingiem – czyli łowieniem ryb. Przestępcy, podobnie jak wędkarze, stosują bowiem odpowiednio przygotowaną „przynętę”. W tej roli wykorzystują najczęściej fałszywe e-maile i SMS-y. Coraz częściej oszuści działają także za pośrednictwem komunikatorów i portali społeczności.

Sprawdź, jak w czasie epidemii koronawirusa cyberprzestępcy zagrażają Twojemu bezpieczeństwu, stosując phishing.

Przeczytaj: Phishing na koronawirusa >>

Aby wzbudzić zaufanie ofiary, phisherzy podszywają się pod powszechnie rozpoznawalne firmy i instytucje – banki, urzędy, portale aukcyjne, firmy kurierskie i telekomunikacyjne. Za pomocą spreparowanych wiadomości próbują nakłonić ofiarę do kliknięcia w umieszczony w wiadomości link. Przeważnie prowadzi on do strony internetowej stworzonej przez oszustów. Jest ona łudząco podobna do autentycznej witryny firmy czy instytucji, od której rzekomo pochodzi wiadomość – ale tak naprawdę stanowi pułapkę zastawioną na nieostrożnych internautów.

Za pomocą fałszywej strony przestępcy uzyskują dane, które udostępnia im sama ofiara, przekonana jest, że loguje się np. do autentycznego serwisu transakcyjnego swojego banku. Powszechną praktyką jest także rozsyłanie fałszywych maili, których treść skłania internautów do pobrania szkodliwego pliku, który umieszczony jest w załączniku.

 

Phishing

Przykłady phishingu – jak to działa?

Żeby skutecznie bronić się przed phishingiem, należy, przede wszystkim poznać i zrozumieć metody, którymi posługują się oszuści. Oto kilka przykładów phishingu, na który w ciągu ostatnich lat narażeni byli polscy internauci. Ataki zostały opisane w raporcie stworzonym przez ekspertów CERT Orange, zajmujących się monitorowaniem zagrożeń w sieci.

  1. Zespół CERT Orange zarejestrował ponad tysiąc domen udających znany lokalny serwisy OLX.
    Przestępcy wystawiają na aukcje przedmioty, które maja wiarygodne opisy wraz z danymi sprzedawcy. Jeśli chcemy zakupić taki produkt, sprzedawca wysyła nam link do płatności elektronicznych, w którym zamiast płatności DotPay jest pole do podania danych karty kredytowej. To strona, którą stworzył przestępca i, jeśli wpisze swoje dane, to stracimy pieniądze z karty, do wartości ustawionego limitu.
    Hakerzy działają także, wypatrując produktów o akceptowalnej dla nich wartości i udają zainteresowanego zakupieniem od nas przedmiotu. Podsyłają nam link do łudząco podobnej strony OLX. Gdy potwierdzimy chęć odbioru pieniędzy za nasz przedmiot, po kliknięciu okazuje się, że jedyną opcją do potwierdzenia odbioru pieniędzy jest wprowadzenie danych swojej karty kredytowej. Jeśli to zrobimy, to przestępca przechwyci nasze dane i za chwilę możemy stracić pieniądze z karty, do wartości ustawionego limitu.
  2. Dość częstym zjawiskiem są fałszywe aplikacje mobilne, które udają „oficjalnych braci”. Tak właśnie stało się 4 stycznia 2021, kiedy hakerzy rozsyłali SMS-em informacje od rzekomej paczce, które czeka na nas w paczkomacie i zachęcali do pobrania podrobionej aplikacji inPost. Aplikacja ta to znany trojan Cerberus.
    Trojan ten generuje coraz więcej powiadomień push wyświetlanych użytkownikom, podszywając się pod aplikacje bankowe. Wiadomości nakłaniają do otwarcia aplikacji i sprawdzenia swoich kart oraz kont bankowych poprzez podanie danych uwierzytelniających. Po wpisaniu loginów i haseł, przestępcy maja dostęp do kont bankowych.
  3. W lutym 2021 kampanią phisingowa rozesłaną za pomocą SMS-ów ofiarą mogli paść klienci operatorów mobilnej telefonii komórkowej – drobna kwota, groźne wezwanie do działania (groźba dezaktywacji numeru) no i faktyczny adres, ukryty pod skrótem. Po kliknięciu w link do płatności, otwiera się fałszywa strona płatności, a tam, jeśli damy się oszukać, czają się przestępcy, wykradający nasze login i hasła, a w efekcie może nawet oszczędności całego życia.

phishing w smartfonie

 

Jak się bronić przed phishingiem?

  • Pamiętaj o tym, że w sieci należy stosować zasadę ograniczonego zaufania. Odruchowe klikanie w linki i pobieranie plików z nieznanych źródeł jest bardzo ryzykownym zachowaniem – zanim otworzysz wiadomość od „firmy kurierskiej”, zastanów się, czy faktycznie czekasz na jakąś przesyłkę.
  • Pod żadnym pozorem nie udostępniaj innym osobom Twoich haseł i loginów.
  • Zanim otworzysz załącznik, dokładnie przeczytaj treść e-maila. Fałszywe wiadomość bardzo często (choć nie zawsze) zawierają błędy ortograficzne, gramatyczne i interpunkcyjne.
  • Zwróć uwagę na dane nadawcy wiadomości. Adresy mailowe, którymi posługują się oszuści, mogą się różnić od tych autentycznych łatwymi do przeoczenia szczegółami, np. literówką w nazwie domeny – zamiast kontakt@bank.pl – kontakt@bank.ppl. Adresy mogą również zawierać przekręconą lub niepełną nazwę firmy czy instytucji.
  • Przed kliknięciem w link dokładnie się mu przyjrzyj. Oszuści często wykorzystują pozornie banalne, ale trudne do wykrycia sztuczki – np. zastępują literę „l” cyfrą „1”, a literę „O” – cyfrą „0”. Jeżeli chcesz zalogować się do serwisu transakcyjnego banku, najbezpieczniej będzie, jeżeli własnoręcznie wprowadzisz jego adres www.
  • Jeżeli masz wątpliwości, czy wiadomość faktycznie pochodzi od danej firmy czy instytucji, skontaktuj się z jej przedstawicielem, np. za pośrednictwem infolinii.
  • Upewnij się, czy korzystasz z najnowszej wersji przeglądarki internetowej i zaktualizowanego systemu operacyjnego, a na Twoim urządzeniu zainstalowane jest oprogramowanie antywirusowe.
  • Jeżeli korzystasz z internetu Orange, swoje bezpieczeństwo możesz zwiększyć za pomocą CyberTarczy, która chroni m.in. przed kradzieżą danych i szyfrowaniem plików.

Zabezpiecz PESEL

Jedną z najważniejszych danych osobowych jest nasz indywidualny numer PESEL. Tymczasem zdarza się, że wpisujemy go na fałszywych stronach, myśląc, że przekazujemy informacje np. do banku. Z roku na rok rośnie też liczba tzw. wycieków danych, w tym właśnie numerów PESEL. Jeśli numer trafi w niepowołane ręce, może się okazać, że ktoś na nasze dane wziął kredyt lub założył firmę.

Aby zapobiec takiej sytuacji, możemy skorzystać z usługi Zabezpiecz PESEL. Jak działa?

Gdy ktoś chce się posłużyć naszymi danymi np. w banku lub firmie finansowej, te instytucje muszą sprawdzić dane w Krajowym Rejestrze Długów. Po włączeniu usługi o takiej sytuacji zostaniemy natychmiast powiadomieni SMS-owo. Dzięki temu możemy szybko zareagować i zgłosić oszustwo, zanim te instytucje podpiszą umowę z osobą, która się pod nas podszywa.

Dowiedz się więcej o usłudze Zabezpiecz PESEL >>

Numery PESEL są cennym łupem dla cyberprzestępców. Niestety często sami podajemy je na fałszywych stronach lub hakerzy wykradają je z różnych baz. Przykładowo w lutym 2020 r. nastąpił wyciek danych klientów ubezpieczyciela Ergo Hestia  ze współpracującej  multiagencji Unilink. Z bazy zniknęły imiona i nazwiska klientów, adresy zamieszkania, numery PESEL, daty urodzenia, numery telefonów i adresy e-mail.
Firma ubezpieczeniowa rozesłała do klientów ostrzeżenie, w którym radziła m.in., aby sprawdzili oni w biurach informacji gospodarczej, czy nie pytał tam o nich bank, co mogłoby świadczyć, że ktoś próbuje wziąć na ich dane kredyt czy pożyczkę.


Mogą Cię zainteresować również