Cyberprzestępcy stosują phishing już od lat, ale w ostatnim czasie wykorzystują go szczególnie chętnie. Coraz częściej oszuści wykazują się niemałą kreatywnością, by wykorzystać znany mechanizm w niestandardowy sposób. Skoro wyłudzanie danych za pomocą phishingu jest tak popularne, to znaczy, że niestety przynosi efekty. Przygotowaliśmy więc poradnik, w którym dokładnie omawiamy to zjawisko i wyjaśniamy, jak się przed nim bronić.
Co to jest phishing?
Phishing polega na wyłudzaniu prywatnych informacji od użytkowników internetu. Obiektem zainteresowania cyberprzestępców mogą być różne dane osobowe, ale także np. hasła do portali społecznościowych czy dane logowania do bankowości internetowej. W ostatnich miesiącach bardzo wielu oszustów stara się pozyskać dane kart płatniczych swoich ofiar.
W tym momencie niektórym może nasuwać się pytanie, w jaki sposób cyberprzestępcy uzyskują dostęp do prywatnych danych innych ludzi. Dobrowolnie nikt nie przekaże swoich wrażliwych informacji oszustom, grożenie ofiarom przez internet też na niewiele się zda – przeczytanie groźby na ekranie komputera czy smartfona, przy świadomości, że jej autor jest prawdopodobnie oddalony od nas o setki lub tysiące kilometrów, nie zrobi przecież na nas szczególnego wrażenia.
Oszuści podszywają się więc pod firmy, instytucje i inne podmioty, którym ufamy i dobrowolnie podalibyśmy im nasze dane. Właśnie to jest kluczowy aspekt phishingu – ofiara sama podaje prywatne informacje o sobie przestępcom, będąc przekonana, że po drugiej stronie jest np. urzędnik czy administrator platformy internetowej, a nie oszust.
Wyłudzanie danych na konkretnych przykładach
W praktyce cyberprzestępcy często tworzą fałszywe strony internetowe, mające do złudzenia przypominać ich oryginalne odpowiedniki. Oszuści umiejętnie zachęcają internautów, by ci weszli na podrobione witryny, a następnie uzupełnili formularz informacjami o sobie. Oto przykładowe działania, jakie mogą przeprowadzić przestępcy:
- Oszuści podrabiają stronę logowania do bankowości internetowej jednego z najpopularniejszych banków. Następnie wysyłają maile z linkiem do fałszywej witryny i z opisem, że bank prosi np. o zalogowanie się i potwierdzenie zmian w regulaminie lub o zmianę swojego hasła. Dane wpisane przez ofiarę na podrobionej stronie trafią prosto do oszustów.
- Cyberprzestępcy podają się za firmę kurierską. Wysyłają SMS-y z informacją, że przesyłka utknęła na sortowni, a żeby została doręczona, trzeba dopłacić kilkadziesiąt groszy. Ofiara otwiera załączony link i podaje np. dane swojej karty płatniczej, myśląc, że wykonuje przelew na drobną kwotę. Tak naprawdę znajduje się jednak na fałszywej witrynie, która tylko udaje system płatności online.
Oczywiście potencjalnych wariantów jest więcej. Czasem oszuści wykorzystują np. zdobyte wcześniej od innej osoby dane logowania do Facebooka, by z jej konta wysyłać do jej znajomych wiadomości z prośbą o podanie prywatnych informacji. Taki zabieg ma duże szanse na powodzenie. Ofiara jest przekonana, że rozmawia z osobą, którą dobrze zna i może jej zaufać.
Dlaczego phishing jest tak groźny
Prywatne dane, które próbują wyłudzić oszuści, są cenne i mają większe znaczenie, niż niektórym się wydaje. Przestępcy, którzy zdobędą nasz login i hasło do portali społecznościowych, mogą dowiedzieć się bardzo wiele na nasz temat. Potem mają możliwość wykorzystania zdobytej wiedzy w szkodliwy dla nas sposób. Nawet jeśli sami oszuści, których ofiarą padniemy, nie planują bezpośrednio nam zaszkodzić, mogą np. sprzedać zdobyte przez siebie informacje komuś innemu.
Jeszcze gorzej jest w przypadku danych logowania do bankowości internetowej, danych kart płatniczych czy szczegółowych informacji osobistych, takich jak numer PESEL czy numer dowodu osobistego. Oszuści dysponujący takimi danymi mogą najzwyczajniej w świecie nas okraść lub założyć na nasze dane np. konto w banku, na które będą wpływać pieniądze z innych nielegalnych działań. Zgadnijcie, kogo jako pierwszego odwiedzi policja po ich ujawnieniu.
Wreszcie phishing jest bardzo groźnym zjawiskiem, ponieważ oszuści na ogół wysyłają maile i SMS-y z linkami do fałszywych witryn na masową skalę. Z raportu CERT Polska Krajobraz bezpieczeństwa polskiego internetu wynika, że w ubiegłym roku phishing był najczęściej występującym rodzajem ataku w sieci.
Phishing – jak się przed nim bronić?
Chcąc uchronić się przed wyłudzeniami danych przez cyberprzestępców, warto stosować kilka zasad bezpieczeństwa. Pierwsza z nich to weryfikacja nadawcy wiadomości, którą otrzymaliśmy. Dostaliśmy wiadomość od znajomego na Facebooku z prośbą o podanie prywatnych danych? Zadzwońmy do niego i spytajmy, czy to na pewno on do nas napisał. Otrzymaliśmy maila od banku lub urzędu z linkiem i zachęceniem do jakiegoś działania? Sprawdźmy, czy adres nadawcy się zgadza, czy nie ma w nim literówek, czy na pewno należy do danej instytucji. W razie wątpliwości zadzwońmy na infolinię danego podmiotu.
Jeśli wszystko wygląda wiarygodnie i chcemy otworzyć zawarty w wiadomości link, sprawdźmy adres witryny, do której on prowadzi. Tu także powinny nas zaniepokoić wszelkie literówki, znaki i nietypowe domeny wskazujące, że jest to podrobiona strona. Gdy już otworzymy witrynę, sprawdźmy, czy obok pasku adresu jest ikonka kłódki/oznaczenie https. Jeśli nie, to połączenie nie jest szyfrowane, a nasze dane nie są zupełnie bezpieczne. Jakiekolwiek błędy, źle wykadrowane grafiki czy nieprzetłumaczone elementy na stronie powinny wzbudzić nasze zaniepokojenie.
Czytaj także: Kolejne oszustwo na OLX przy wykorzystaniu komunikatora WhatsApp
Warto także włączyć dwuetapową weryfikację przy logowaniu do różnych serwisów i portali. Dzięki temu mamy szansę na to, że nawet gdy ktoś wejdzie w posiadanie naszych danych logowania np. do Facebooka, nie uda mu się dostać do naszego profilu. Oszust musiałby bowiem dysponować jeszcze naszym telefonem. Dobrze również śledzić informacje na temat strategii wykorzystywanych przez cyberprzestępców. Na łamach naszego portalu często informujemy o oszustwach phishingowych.
źródło: własne