Co to jest phishing i jak się przed nim bronić?

Co to jest phishing i jak się przed nim bronić?

test

Phishing to jedna z metod, która wykorzystywana jest przez cyberprzestępców do wyłudzenia wrażliwych danych. W wyniku tego ataku możesz stracić nie tylko dostęp do konta mailowego, lecz także środki zgromadzone na rachunku bankowym. Radzimy, jak rozpoznać próby oszustwa i jak się przed nimi bronić.

Co to jest phishing?

Phishing to oszustwo stosowane przez internetowych przestępców w celu uzyskania cennych informacji, takich jak:

  • loginy i hasła,
  • numery kart kredytowych,
  • numer PESEL

Nazwa budzi dźwiękowe skojarzenia z fishingiem – czyli łowieniem ryb. Przestępcy, podobnie jak wędkarze, stosują bowiem odpowiednio przygotowaną „przynętę”, którą  najczęściej są fałszywe e-maile i SMS-y. Coraz częściej oszuści działają także za pośrednictwem komunikatorów i portali społeczności.

Infografika dotycząca phishingu

Aby wzbudzić zaufanie ofiary, phisherzy podszywają się pod powszechnie rozpoznawalne firmy i instytucje – banki, urzędy, portale aukcyjne, firmy kurierskie i telekomunikacyjne.

Za pomocą spreparowanych wiadomości próbują nakłonić ofiarę do kliknięcia umieszczony w wiadomości link. Przeważnie prowadzi on do strony internetowej stworzonej przez oszustów. Jest ona łudząco podobna do autentycznej witryny firmy czy instytucji, od której rzekomo pochodzi wiadomość – ale tak naprawdę jest pułapką zastawioną na nieostrożnych internautów.

Przykłady phishingu – jak to działa?

Żeby skutecznie bronić się przed phishingiem, należy przede wszystkim poznać i zrozumieć metody, którymi posługują się oszuści. Oto pierwszy przykład phishingu z użyciem strony podszywającej się pod Pocztę Polską. Link, który użytkownik otrzymał w SMSie przenosił na stronę płatności.

Podejrzenie powinna wzbudzić płatność w euro oraz napis „Wysłać” zamiast informacji o kosztach transportu. Adres strony również nie jest jednoznaczny.

phishing Poczta Polska

Za pomocą tak zbudowanej, fałszywej strony przestępcy uzyskują dane, które udostępnia im sama ofiara, będąc przekonana, że loguje się np. do prawdziwego serwisu transakcyjnego swojego banku. Powszechną praktyką jest także rozsyłanie fałszywych maili, których treść skłania internautów do pobrania szkodliwego pliku, który umieszczony jest w załączniku.

Oto kolejne przykłady phishingu, na który w ciągu ostatnich lat narażeni byli polscy internauci. Ataki zostały opisane w raporcie stworzonym przez ekspertów CERT Orange, zajmujących się monitorowaniem zagrożeń w sieci.

Zespół CERT Orange zarejestrował ponad tysiąc domen udających znany lokalny serwisy OLX.

Przestępcy wystawiają na aukcje przedmioty, które mają wiarygodne opisy wraz z danymi sprzedawcy. Jeśli chcemy zakupić taki produkt, sprzedawca wysyła nam link do płatności elektronicznych, w którym zamiast płatności DotPay jest pole do podania danych karty kredytowej. To strona, którą stworzył przestępca i jeśli wpiszemy swoje dane, to stracimy pieniądze z karty do wartości ustawionego limitu.

Hakerzy działają także, wypatrując produktów o akceptowalnej dla nich wartości, i udają zainteresowanego zakupieniem od nas przedmiotu. Podsyłają nam link do łudząco podobnej strony OLX. Gdy potwierdzimy chęć odbioru pieniędzy za nasz przedmiot, po kliknięciu okazuje się, że jedyną opcją do potwierdzenia odbioru pieniędzy jest wprowadzenie danych swojej karty kredytowej. Jeśli to zrobimy, to przestępca przechwyci nasze dane i za chwilę możemy stracić pieniądze z karty do wartości ustawionego limitu.

Dość częstym zjawiskiem są fałszywe aplikacje mobilne, które udają „oficjalnych braci”. Tak właśnie stało się 4 stycznia 2021, kiedy hakerzy rozsyłali SMS-em informacje od rzekomej paczce, która czeka na nas w paczkomacie, i zachęcali do pobrania podrobionej aplikacji inPost.

Aplikacja ta to znany trojan Cerberus. Trojan ten generuje coraz więcej powiadomień push wyświetlanych użytkownikom, podszywając się pod aplikacje bankowe. Wiadomości nakłaniają do otwarcia aplikacji i sprawdzenia swoich kart oraz kont bankowych poprzez podanie danych uwierzytelniających. Po wpisaniu loginów i haseł przestępcy mają dostęp do kont bankowych.

phishing w smartfonie

Przeczytaj też: Najpopularniejsze zagrożenia w internecie – zobacz, na co uważać >>

Jak się bronić przed phishingiem?

1. Pamiętaj o tym, że w sieci należy stosować zasadę ograniczonego zaufania. Odruchowe klikanie w linki i pobieranie plików z nieznanych źródeł jest bardzo ryzykownym zachowaniem – zanim otworzysz wiadomość od „firmy kurierskiej”, zastanów się, czy faktycznie czekasz na jakąś przesyłkę.

2. Pod żadnym pozorem nie udostępniaj innym osobom Twoich haseł i loginów.

3. Zanim otworzysz załącznik, dokładnie przeczytaj treść e-maila. Fałszywe wiadomości bardzo często (choć nie zawsze) zawierają błędy ortograficzne, gramatyczne i interpunkcyjne.

4. Zwróć uwagę na dane nadawcy wiadomości. Adresy mailowe, którymi posługują się oszuści, mogą się różnić od tych autentycznych łatwymi do przeoczenia szczegółami, np. literówką w nazwie domeny – zamiast kontakt@bank.pl – kontakt@bank.ppl. Adresy mogą również zawierać przekręconą lub niepełną nazwę firmy czy instytucji.

5. Przed kliknięciem link dokładnie się mu przyjrzyj. Oszuści często wykorzystują pozornie banalne, ale trudne do wykrycia sztuczki – np. zastępują literę „l” cyfrą „1”, a literę „O” – cyfrą „0”. Jeżeli chcesz zalogować się do serwisu transakcyjnego banku, najbezpieczniej będzie, jeżeli własnoręcznie wprowadzisz jego adres www.

6. Jeżeli masz wątpliwości, czy wiadomość faktycznie pochodzi od danej firmy, czy instytucji, skontaktuj się z jej przedstawicielem, np. za pośrednictwem infolinii.

7. Upewnij się, czy korzystasz z najnowszej wersji przeglądarki internetowej i zaktualizowanego systemu operacyjnego, a na Twoim urządzeniu zainstalowane jest oprogramowanie antywirusowe.

8. Jeżeli korzystasz z internetu Orange, swoje bezpieczeństwo możesz zwiększyć za pomocą CyberTarczy, która chroni m.in. przed kradzieżą danych i szyfrowaniem plików.

Zabezpiecz PESEL

Jedną z najważniejszych danych osobowych jest nasz indywidualny numer PESEL. Tymczasem zdarza się, że wpisujemy go na fałszywych stronach, myśląc, że przekazujemy informacje np. do banku. Z roku na rok rośnie też liczba tzw. wycieków danych, w tym właśnie numerów PESEL. Jeśli numer trafi w niepowołane ręce, może się okazać, że ktoś na nasze dane wziął kredyt lub założył firmę.

Szczegółową analizę wyników oraz komentarze i wskazówki ekspertów na co dzień zajmujących się ochroną danych osobowych znajdziesz w raporcie pt. „Wiedza na temat bezpieczeństwa danych osobowych w Polsce” przeprowadzonego przez serwis ChronPESEL.pl oraz Krajowy Rejestr Długów BIG SA, pod patronatem UODO.

Aby zapobiec takiej sytuacji, możemy skorzystać z usługi Zabezpiecz PESEL. Jak działa?

Gdy ktoś chce się posłużyć naszymi danymi np. w banku lub firmie finansowej, te instytucje muszą sprawdzić dane w Krajowym Rejestrze Długów. Po włączeniu usługi o takiej sytuacji zostaniemy natychmiast powiadomieni SMS-owo. Dzięki temu możemy szybko zareagować i zgłosić oszustwo, zanim te instytucje podpiszą umowę z osobą, która się pod nas podszywa.

Od kilkunastu miesięcy obserwujemy wzmożoną aktywność przestępców wyłudzających dane osobowe. Oszuści podszywają się pod firmy kurierskie, sklepy internetowe, operatorów sieci telefonicznych oraz pod banki. Cały czas wykorzystują także kontekst pandemii. Dlatego warto na bieżąco śledzić ostrzeżenie w mediach. Utrata czujności otworzy bowiem pole do kolejnych działań oszustów, którzy będą chcieli wykorzystać nasz chwilowy brak uwagi – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Zabezpiecz PESEL, to nasza wszechstronna usługa zwiększająca bezpieczeństwo Twoich danych. Wzmacnia ochronę przed oszustami. Mogą z niej skorzystać klienci Orange, którzy zawierają lub przedłużają umowę na abonament komórkowy (również w pakietach).

Usługa działa całodobowo, 7 dni w tygodniu.

Dzięki Zabezpiecz PESEL:

  • otrzymasz powiadomienie o użyciu Twojego numeru PESEL lub założeniu firmy na Twoje dane,
  • dowiesz się też, kto w ciągu ostatnich 12 miesięcy wykorzystał Twój PESEL,
  • sprawdzisz, czy nie jesteś wpisany do Krajowego Rejestru Długów,
  • poznasz wiarygodność firmy, z którą współpracujesz lub planujesz podjąć współpracę, np. pracodawcy, biura podróży czy dewelopera,
  • w razie potrzeby uzyskasz również informację o zmianie kondycji  finansowej danego przedsiębiorstwa.

Orange prezentuje: Zabezpiecz PESEL

 

Dowiedz się więcej o usłudze Zabezpiecz PESEL >>

4.7/5 - (3 votes)

Mogą Cię zainteresować również