Czym jest phishing i jak sobie z nim radzić?

Phishing, to jeden z najpopularniejszych typów ataków, który opiera się o wiadomości e-mail lub SMS.
Wykorzystuje się tutaj technikę polegającą na tym, że przestępcy internetowi podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet naszych znajomych, starają się wyłudzić nasze dane do logowania np. do kont bankowych, kont społecznościowych, czy systemów biznesowych. Starają się wpłynąć na nasze zachowanie i spowodować, że podejmiemy decyzje zgodnie z ich zamierzeniami.

Wiadomości phishingowe są przygotowywane w taki sposób, aby wyglądały na prawdziwe, jednak w rzeczywistości są próbą kradzieży naszych danych, bądź wyłudzeniem pieniędzy.

Cyberprzestępcy mogą Cię skłonić do ujawnienia jakichś informacji, poprzez link do strony internetowej o podobnej nazwie do takiej, której używamy. Takie „strony” mogą rozprzestrzeniać linki do szkodliwych oprogramowań lub zainfekowanych załączników.

Jednym z rodzajów phishingu jest tzw. spear-phishing, który jest szczególnie niebezpieczny. Ten rodzaj cyberoszustwa polega na ukierunkowaniu ataku na konkretnego adresata. To oszustwo ma na celu wywrzeć na poszkodowanym określony wpływ lub wymusić jakieś działania.

Przestępcy mogą podszywać się pod partnerów biznesowych, z którymi współpracujmy, a wiadomość może dokładnie dotyczyć naszej sytuacji, gdyż taki typ ataku jest często poprzedzony dokładnym rozpoznaniem przez atakującego naszej firmy, urzędu lub dostępnych o nas danych w mediach społecznościowych.

W 2019 roku zespół reagowania na incydenty cyberbezpieczeństwa - CSIRT NASK – zarejestrował 6484 incydentów, wśród których 4100 było atakami typu "fraud", czyli oszustw internetowych.

Jak radzić sobie z fałszywymi wiadomościami?

Abyśmy nie zostali ofiarą cyberprzestępstwa, a nasze dane pozostały bezpieczne, nie klikajmy w żadne linki w wiadomościach email, ani nie odpowiadajmy na wiadomości, dopóki nie mamy pewności, że nadawca jest prawdziwy. W wiadomościach SMS lub mailach często wykorzystywane są tzw. tiny-URL, czyli skrócone adresy stron internetowych. Stąd też zalecana jest szczególna uwaga o sprawdzanie nazw stron internetowych, które przesyłane są w podejrzanych mailach czy SMSach. Należy również ustalić, czy wiadomość e-mail jest autentyczna i nie jest oszustwem.

Jak rozpoznać e-mail wyłudzający informacje:

-Wiele wiadomości phishingowych ma niepoprawną gramatykę, interpunkcję, pisownię, czy też brak polskich znaków diakrytycznych np. „ą”, „ę” itd.

-Sprawdź, czy mail pochodzi z organizacji, na którą powołuje się nadawca. Często adres mailowy nadawcy jest zupełnie niewiarygodny, czy też nie jest tożsamy np. z podpisem pod treścią maila.

-Oceń, czy wygląd i ogólna jakość e-maila może pochodzić z organizacji / firmy, od której powinna pochodzić taka wiadomość np. użyte logotypy, stopki z danymi nadawcy itd.

-Sprawdź, czy e-mail jest adresowany do Ciebie z imienia i nazwiska, czy odnosi się do „cenionego klienta”, „przyjaciela” lub „współpracownika”? Może to oznaczać, że nadawca tak naprawdę cię nie zna i że jest to część oszustwa typu phishing.

-Sprawdź, czy e-mail zawiera ukryte zagrożenie, które wymaga natychmiastowego działania? Bądź podejrzliwy w stosunku do słów typu „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”.

-Spójrz na nazwę nadawcy, czy wygląda na prawdziwą, czy może tylko naśladuje kogoś, kogo znasz.
Jeśli wiadomość brzmi zbyt dobrze, aby mogła być prawdziwa, prawdopodobnie nie jest ona prawdziwa. Jest mało prawdopodobne, aby ktoś chciał Ci dać pieniądze lub dostęp do tajnej części Internetu.
Twój bank lub jakakolwiek inna instytucja nigdy nie powinna prosić Cię o podanie w wiadomości e-mail danych osobowych.

-Urzędy administracji publicznej nigdy nie proszą Cię przy pomocy SMS, czy maili o dopłatę do szczepionki, czy uregulowanie należności podatkowych.

-Sprawdź wszelkie polecenia lub pytania w wiadomości e-mail na przykład dzwoniąc do banku z pytaniem czy rzeczywiście wysłana została do Ciebie taka wiadomość lub wyszukaj w wyszukiwarce Google (lub podobnej) wybrane słowa użyte w wiadomości e-mail.

-Zwracaj uwagę na linki przekazywane również między znajomymi, sprawdź czy link faktycznie prowadzi do właściwej strony. Coraz częściej przestępcy uzyskując w nielegalny sposób kontrolę nad naszymi kontami społecznościowymi podszywają się pod naszych znajomych i rodzinę.

-Uważaj na skrócone linki, jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.

-Jeśli zauważysz podejrzanego e-maila, oznacz go w skrzynce odbiorczej jako spam lub wiadomości śmieci lub podejrzany. Spowoduje to usunięcie go ze skrzynki odbiorczej, a także poinformowanie dostawcy poczty e-mail, że zidentyfikowałeś go jako potencjalnie niebezpieczny.

Co zrobić gdy zachodzi podejrzenie phishingu?

Zgłaszanie phishingu jest niezwykle proste i intuicyjne. Aby zgłosić próbę cyberprzestępstwa trzeba wejść stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska https://incydent.cert.pl/ oraz wypełnić krótki formularz online, następnie dołączyć podejrzaną wiadomość i wysłać. Jednak jeśli podejrzewasz istnienie podejrzenie o tego typu oszustwie u siebie, niezwłocznie udaj się do Policji lub do prokuratury!

Mundurowi podpowiadają, jak zidentyfikować próby wyłudzenia Twoich danych osobowych:

-Nie podawaj poufnych informacji na żądanie. Banki i inne instytucje finansowe nigdy nie będą Cię prosić o podanie hasła, numeru karty kredytowej lub innych poufnych informacji poprzez e-mail, telefon lub wiadomość tekstową. Jeśli otrzymasz taką prośbę, nie odpowiadaj na nią.

-Zwróć uwagę na nieznane adresy e-mail i linki. Oszuści często wysyłają e-maile wyglądające na oficjalne, ale mające fałszywy adres nadawcy. Przed kliknięciem na link, upewnij się, że prowadzi on do bezpiecznej strony internetowej.

-Uważaj na nieoczekiwane załączniki. Oszuści często wysyłają e-maile z podejrzanymi załącznikami, które mogą zawierać wirusy lub inne szkodliwe oprogramowanie.

-Używaj silnych haseł i zabezpieczeń. Użyj złożonego hasła i unikaj używania go w wielu miejscach. Zabezpiecz swoje urządzenia oprogramowaniem antywirusowym i aktualizuj systemy na bieżąco.

-Bądź czujny i zwracaj uwagę na sygnały ostrzegawcze. Jeśli coś wydaje Ci się podejrzane, nie ryzykuj i skonsultuj się z ekspertem lub z instytucją, która rzekomo się z Tobą kontaktuje.

-Pamiętaj, że Twoje dane osobowe to cenna informacja, a oszustwo może Cię kosztować dużo czasu i pieniędzy.

-Bądź czujny i nie ufaj każdemu e-mailowi, telefonowi lub wiadomości tekstowej, która prosi Cię o podanie poufnych informacji.