Menu

15. marca 2024 | Poradniki

Bezpieczeństwo on-line w naszych rękach, czyli uwaga na phishing!

Przemiła rozmowa z sympatyczną konsultantką, kliknięcie w link czy wysłanie SMS-a mogą się dla nas zakończyć poważnymi kłopotami, a nawet stratą finansową. Wszystko przez to, że w ten sposób kontaktują się z nami nie tylko zaufane firmy czy organizacje. Ten model działania często wykorzystują także przestępcy, którzy chcą wyłudzić nasze dane osobowe, loginy i hasła do kont bankowych, numery kart płatniczych itp. Jest to tzw. phishing. Więcej o tym, czym charakteryzuje się ten sposób działalności przestępczej, jakie są jego rodzaje oraz jak się przed nim bronić dowiecie się z poniższego tekstu.

„Dla nas bardzo ważne jest, aby nasi Klienci mieli poczucie bezpieczeństwa ze względu na stosowane przez nas rozwiązania procesowe i technologiczne, a zarazem mieli świadomość ryzyka, które jest tworzone przez współczesny niezwykle szybki i masowy obieg informacji. Wiedza na temat tego, jak realizowane są współcześnie wyłudzenia i przestępstwa internetowe, może być kluczem do tego, aby ich po prostu uniknąć i tym samym pozostać bezpiecznym. Dlatego też przygotowaliśmy poniższy poradnik.” – skomentował Maksymilian Pawłowski, kierownik komunikacji korporacyjnej w DPD Polska.

Phishing to rodzaj ataku internetowego, w którym oszust podszywa się pod wiarygodną osobę lub instytucję po to, aby oszukać swoją ofiarę. W ten sposób chce uzyskać poufne informacje, takie jak loginy i hasła do kont bankowych czy poczty e-mail, numery kart kredytowych, dane osobowe, w tym PESEL itp. Osoby dokonujące phishingu wysyłają fałszywe e-maile, wiadomości tekstowe lub prowadzą fałszywe strony internetowe, które wyglądają jak autentyczne komunikaty lub strony instytucji, takich jak banki, serwisy społecznościowe lub firmy. Gdy użytkownik zaufa fałszywemu komunikatowi i poda swoje poufne dane, oszust może je wykorzystać do kradzieży tożsamości, malwersacji finansowych lub innych nieuczciwych działań. Dlatego phishing jest poważnym zagrożeniem dla bezpieczeństwa w internecie i wymaga ostrożności oraz świadomości ze strony użytkowników sieci.

Najczęstsze rodzaje phishingu

Pod nazwą phishing znajdziemy różnorodne rodzaje działań, które mają jeden cel – nieuprawnione zdobycie dostępu do wrażliwych danych. Do tego metody przestępców ewoluują wraz z rozwojem technologii. Obecnie najczęstsze metody działania cyberprzestępców w tym zakresie to:

  • Phishing e-mailowy – najczęstsza forma phishingu, w której oszuści wysyłają fałszywe e-maile, udając instytucje finansowe, firmy technologiczne, serwisy społecznościowe lub inne zaufane organizacje. E-maile te często zawierają prośby o aktualizację danych konta, potwierdzenie tożsamości lub informacje finansowe.
    PRZYKŁAD: Otrzymujemy wiadomość e-mail, która wydaje się pochodzić od banku, w którym mamy konto. E-mail informuje nas o konieczności natychmiastowej zmiany hasła ze względów bezpieczeństwa i zawiera prośbę o kliknięcie w załączony link, który prowadzi do fałszywej strony logowania. Jeśli klikniemy w link, oszuści uzyskają dostęp do naszych danych logowania do konta bankowego.
  • Phishing smishingowy: Ten rodzaj phishingu wykorzystuje wiadomości tekstowe (SMS-y) zamiast e-maili. Oszuści wysyłają fałszywe wiadomości tekstowe, często zawierające linki do podejrzanych stron internetowych lub numery telefonów, poprzez które ofiary mają skontaktować się rzekomo z instytucją, jednak kontakt służy jedynie uzyskaniu dostępu do ich danych osobowych lub finansowych.
    PRZYKŁAD: Otrzymujemy SMS-a informującego, że nasze konto bankowe zostało zablokowane i musimy kliknąć w link lub zadzwonić pod podany numer telefonu, aby je odblokować. Link prowadzi do fałszywej strony logowania, na której oszuści kradną nasze dane logowania.
  • Phishing telefoniczny (vishing): Oszuści kontaktują się telefonicznie z ofiarą, podszywając się pod pracowników banków, firm technologicznych lub innych instytucji. Mogą udawać, że ofiara ma problem z kontem lub, że jej dane zostały naruszone, a następnie próbują uzyskać poufne informacje, takie jak numery kart kredytowych czy hasła. Do phishingu telefonicznego możemy zaliczyć także oszustwo metodą „na wnuczka”, choć tu przestępcy najczęściej bezpośrednio wyłudzają pieniądze, rzadziej poufne dane.
  • Phishing na portalach społecznościowych: Oszuści wykorzystują również portale społecznościowe, takie jak Facebook, Twitter, LinkedIn itp., aby podszyć się pod prawdziwe profile użytkowników i wysyłać wiadomości lub linki do fałszywych stron internetowych, które mogą prowadzić do kradzieży danych.
    PRZYKŁAD: Otrzymujemy prywatną wiadomość na platformie społecznościowej od profilu, który wydaje się należeć do jednego z naszych znajomych. W wiadomości jesteśmy zachęcani do odwiedzenia strony internetowej, która wygląda jak autentyczna strona logowania np. do innego serwisu społecznościowego. W rzeczywistości jest to fałszywa strona stworzona przez oszustów w celu kradzieży danych logowania.
  • Spear phishing: Ten rodzaj phishingu jest bardziej ukierunkowany i spersonalizowany. Oszuści badają swoje ofiary, zbierają o nich informacje z mediów społecznościowych lub innych dostępnych źródeł, a następnie wysyłają specjalnie dostosowane wiadomości e-mailowe lub inne komunikaty w celu zwiększenia prawdopodobieństwa uzyskania poufnych informacji. Cechą charakterystyczną spear phishingu jest to, że wiadomości są spersonalizowane i dostosowane do konkretnego odbiorcy, co sprawia, że są bardziej przekonujące i trudniejsze do zidentyfikowania jako oszustwo. Osoby dokonujące spear phishingu mogą używać imion, stanowisk, firmowych terminów lub innych szczegółów specyficznych dla danej osoby lub organizacji, aby zwiększyć wiarygodność swojego ataku. Ataki spear phishingowe mogą być szczególnie skuteczne w przypadku pracowników firm, ponieważ oszuści mogą udawać wysoko postawione osoby z ich własnej organizacji, co zwiększa prawdopodobieństwo, że ofiara ulegnie manipulacji i poda poufne informacje.
    PRZYKŁAD: Jako pracownik otrzymujemy wiadomość e-mail rzekomo od naszego przełożonego lub innego pracownika wyższego szczebla, w której prosi nas o podanie mu poufnych informacji finansowych lub haseł dostępu do systemów. Wiadomość wydaje się autentyczna, ale w rzeczywistości pochodzi od oszustów, którzy podszywają się pod prawdziwe osoby w firmie po to, by uzyskać nieuprawniony dostęp do poufnych informacji.
  • Pharming: To zaawansowana technika phishingu, w której oszuści przechwytują ruch internetowy i przekierowują go na fałszywe strony internetowe, nawet jeśli ofiary tych działań wpisują poprawne adresy URL. Pharming może być bardzo trudny do wykrycia przez zwykłych użytkowników sieci, ponieważ nie polega na wysyłaniu fałszywych wiadomości, lecz na manipulacji ruchem sieciowym.

To niektóre z głównych rodzajów phishingu. Jednak trzeba pamiętać, że oszuści stale opracowują nowe metody i taktyki, aby omijać systemy zabezpieczeń i pozyskiwać dane ofiar. Dlatego ważne jest, aby być świadomym zagrożeń i zachować ostrożność w internecie.

Jak się bronić?

Choć czasem jak widać phishing może przybierać wyrafinoiwane formy, to najczęściej jest to działanie masowe, obliczone na znalezienie wśród szerokiego grona odbiorców wiadomości osób, które będą mniej czujne, bardziej ufne lub nieuważne. Dlatego czerwona lampka ostrzegawcza powinna nam się zapalić, kiedy otrzymujemy SMS-a z wiadomością o wygranej w loterii, w której nie braliśmy udziału, paczce do odbioru, jeśli nic nie zamawialiśmy, czy mailu informującym o pokaźnym spadku od nieznanego krewnego z dalekiego kraju. Co jeszcze możemy zrobić? Oto kilka sposobów obrony przed phishingiem:

Bądźmy ostrożni

Bądźmy świadomi zagrożeń związanych z phishingiem i zawsze zachowujmy ostrożność, szczególnie w przypadku otrzymywania nieoczekiwanych e-maili, wiadomości tekstowych czy komunikatów na portalach społecznościowych. Nie ufajmy niezweryfikowanym źródłom i zawsze sprawdzajmy autentyczność komunikatów, szczególnie jeśli zawierają prośbę o podanie poufnych informacji.

Sprawdzajmy adresy URL

Przed kliknięciem w linki w e-mailach, wiadomościach tekstowych lub na stronach internetowych, dokładnie sprawdźmy adresy URL. Upewnijmy się, że adres URL jest autentyczny i zgodny z oczekiwaną stroną, którą chcemy odwiedzić. Unikajmy klikania w podejrzane linki.
Uważajmy na prośby o poufne informacje
Żadna wiarygodna instytucja nigdy nie poprosi nas o podanie poufnych informacji, takich jak hasła, numery konta bankowego czy dane karty kredytowej poprzez e-mail, wiadomość tekstową lub telefon. Bądźmy czujni wobec takich próśb i nigdy nie podawajmy w ten sposób poufnych informacji.

Sprawdźmy wiarygodność nadawcy

Przed podjęciem jakichkolwiek działań na podstawie otrzymanej wiadomości, zweryfikujmy wpierw wiarygodność nadawcy. Sprawdźmy, czy adres e-mail lub numer telefonu są zgodne z rzeczywistymi danymi kontaktowymi firmy lub osoby, od której wiadomość pochodzi.
Skorzystajmy z oprogramowania antyphishingowego
Korzystajmy z oprogramowania antywirusowego i antyphishingowego, które może pomóc w wykrywaniu i blokowaniu podejrzanych wiadomości e-mail, stron internetowych i innych form ataków phishingowych.

Regularnie aktualizujmy oprogramowanie

Upewnijmy się, że system operacyjny, przeglądarka internetowa i wszelkie zainstalowane w urządzeniu aplikacje są regularnie aktualizowane. Aktualizacje zawierają zwykle poprawki bezpieczeństwa, które mogą pomóc w zapobieganiu atakom phishingowym.
Raportujmy podejrzane działania
Jeśli otrzymamy podejrzaną wiadomość e-mailową, tekstową lub napotkamy budzącą zastrzeżenia aktywność online, natychmiast zgłośmy ją odpowiednim organom bezpieczeństwa, aby inni mogli zostać ostrzeżeni, a działania przestępcze były ścigane.

Poprawne stosowanie tych praktyk może znacznie zmniejszyć ryzyko stania się ofiarą ataku phishingowego i zwiększyć ogólne bezpieczeństwo online.

Kto jest szczególnie narażony na atak phisingowy?

Phishing potencjalnie może dotknąć każdego użytkownika internetu, niezależnie od wieku, płci, zawodu czy umiejętności technicznych. Oszuści mogą kierować swoje ataki wobec szerokiego grona osób, ale istnieją grupy, które są szczególnie narażone na ryzyko stania się ofiarami phishingu:

  • Pracownicy firm: Oszuści mogą wybierać pracowników firm jako cele ataków phishingowych, ponieważ liczą, że będą oni mieć dostęp do poufnych informacji, systemów firmy lub mogą mieć możliwość dokonywania transakcji finansowych w imieniu firmy.
  • Korzystający z bankowości internetowej: Osoby, które regularnie korzystają z usług bankowości internetowej, mogą być celem ataków phishingowych, ponieważ oszuści mogą próbować pozyskać ich dane logowania do konta bankowego w celu kradzieży pieniędzy lub innych oszustw finansowych.
  • Osoby starsze: Osoby starsze mogą być bardziej narażone na ataki phishingowe ze względu na ich mniejsze doświadczenie z technologią i często większe zaufanie do komunikatów internetowych. Ponadto osoby starsze mogą być bardziej skłonne do podawania poufnych informacji lub klikania w podejrzane linki.
  • Poszukujący pracy: Oszuści mogą wykorzystywać ataki phishingowe wobec osób poszukujących pracy, wysyłając fałszywe oferty pracy lub informacje o rekrutacji w celu pozyskania ich danych osobowych lub finansowych.
  • Użytkownicy portali społecznościowych: Osoby korzystające z portali społecznościowych mogą być narażone na ataki phishingowe, ponieważ oszuści mogą próbować pozyskać ich dane logowania do kont społecznościowych lub inne poufne informacje poprzez fałszywe wiadomości i linki.

Jednak ponieważ, jak to powiedzieliśmy już wcześniej, w rzeczywistości każdy, kto korzysta z internetu, może być potencjalną ofiarą phishingu, ważne jest, abyśmy wszyscy byli świadomi zagrożeń i stosowali się do najlepszych praktyk bezpieczeństwa online, aby zminimalizować ryzyko wpadnięcia w kłopoty na skutek ataku cyberprzestępców.