Co to jest phishing i jak się chronić przed fałszywymi stronami? W XXI wieku każdy internauta musi wiedzieć czym jest phishing, jak go rozpoznać i przede wszystkim, jak się przed nim bronić. Niestety oszuści internetowi również nadążają za rozwojem technologii, a atak typu phishing jest dzisiaj codziennością wielu z nas.
Pokaż więcej

Atak phishingowy to coraz częściej występujące zjawisko, z którym każdy z nas może spotkać się zarówno w swojej skrzynce mailowej, jak i w telefonie czy portalu społecznościowym. Żeby skutecznie bronić się przed takim atakiem, trzeba dobrze zrozumieć co to jest phishing, jak go rozpoznać i co zrobić, gdy już się z nim zetkniemy. Szczęśliwie użytkownicy sieci coraz częściej wykazują się stosowną uwagą na tego rodzaju niechciane przygody. Nie bez przyczyny coraz częściej wyszukiwarki odpowiadają na zestawienia słów takich jak phishing email, phishing facebook czy sms phishing. 

Co to jest phishing?

Wielu z nas zastanawia się - phishing co to właściwie jest?  To oszustwo internetowe stosowane przez przestępców, którzy usiłują pozyskać od nas cenne informacje, takie jak loginy i hasła, wrażliwe dane typu numer PESEL czy też numery kart płatniczych wraz z zabezpieczeniami.

Definicja phishingu wzięła się od słowa fishing, czyli dosłownie od łowienia ryb. W tym przypadku to oszust jest wędkarzem, a jego ofiara ma złapać się na haczyk. Z kolei strona internetowa, fałszywy e-mail bądź sms jest przynętą, na którą nabierze się ofiara i nieświadomie wpadnie w pułapkę udostępniając dane oszustowi.

Oszuści usiłują za wszelką cenę wzbudzić zaufanie ofiary podszywając się pod znane i rozpoznawalne firmy i instytucje, z których korzystamy każdego dnia. Może być to zarówno bank czy urząd, jak i firma kurierska, która dostarcza nam paczki. Dzięki temu jako ofiara ataku phishingowego możesz łatwiej wpaść w pułapkę i w pośpiechu kliknąć w link umieszczony w spreparowanej wiadomości. Z reguły ten link prowadzi do strony łudząco podobnej do prawdziwej witryny, ale jej środek zawiera mechanizm przechwytujący dane nieostrożnych internautów, którzy dadzą się nabrać na przynętę.

Przykłady ataków phishingowych

Najważniejsze, aby zrozumieć dokładnie jak działa sam proces phishingu. Gdy to zrozumiemy, wtedy łatwiej jest analogicznie zrozumieć, jak może działać oszust.

Przykładowo, jedną z metod działania przestępców jest nakłanianie ofiar do wchodzenia na fałszywe witryny banków. Ich adresy najczęściej są przesyłane za pomocą poczty elektronicznej i zawierają budzący niepokój komunikat (np. o naruszeniu bezpieczeństwa konta) oraz link prowadzący do serwera przestępców. Link może z pozoru wyglądać identycznie jak znany adres strony, ale dopiero najechanie na niego kursorem myszy lub otwarcie go w przeglądarce pokazuje, że adres serwera różni się od prawdziwego. Oto przykład dobrej praktyki w tego rodzaju sytuacji. Można uniknąć ryzyka wejścia na serwer przestępców samodzielnie wpisując adres strony banku, i nigdy nie klikając w linki rzekomo do niej prowadzące.

Inną metodą stosowaną przez przestępców jest podmienianie numeru rachunku w momencie, gdy kopiujesz go do formularza przelewu lub już na poziomie okna przeglądarki, przed wysłaniem przelewu do banku. Pamiętaj, aby bardzo uważnie analizować treść każdej wiadomości SMS z kodem autoryzującym transakcję – koniecznie sprawdzaj nie tylko kwotę wykonywanego przelewu ale także numer rachunku podany w SMSie. Złośliwe oprogramowanie potrafi także podmieniać numer rachunku w historii transakcji wyświetlanej na stronie banku - możesz go jednak zweryfikować pobierając z serwisu banku potwierdzenie wykonania przelewu w formacie pliku PDF. W razie najdrobniejszych wątpliwości, natychmiast dzwoń na infolinię banku – szybka interwencja może uratować Twoje pieniądze.

Jak rozpoznać phishing?

Phishing w Polsce przybiera najróżniejsze formy i oprócz fałszywych stron internetowych czy adresów email, coraz częściej można spotkać również fałszywe smsy czy komunikaty z wykorzystaniem portali społecznościowych. Jeszcze kilka lat temu phishing bankowy był dominujący, a oszuści podszywali się głównie pod instytucje finansowe. Dzisiaj coraz częściej wykorzystywane są także strony internetowe różnych usługodawców, takich jak chociażby operatorzy komórkowi czy dostawcy energii.

Ważnym elementem, który trudno jest przestępcom podrobić, jest znak zielonej kłódki znajdujący się na początku adresu strony oznaczający, że połączyłeś się do zweryfikowanego serwera. Jeśli widzisz prawidłowy adres strony banku poprzedzony ciągiem “https://” a obok niego zieloną kłódkę, to najprawdopodobniej połączyłeś się z serwerem swojego banku.

Może się zdarzyć, że przestępcy zainfekują Twój komputer złośliwym oprogramowaniem, które potrafi modyfikować wygląd strony banku. W takiej sytuacji nawet gdy odwiedzasz prawdziwą witrynę swojego banku, to przestępcy mogą wpływać na jej wygląd i zawartość. Zauważyć to możesz dopiero, gdy na stronie banku pojawi się niecodzienny komunikat. 

Przykłady stosowane do tej pory przez przestępców to:

  • informacje o pracach serwisowych lub innych przerwach w dostępie
  • prośba o podanie pełnych danych osobowych
  • prośba o podanie danych karty płatniczej
  • informacja o konieczności zwrotu niesłusznie otrzymanego przelewu
  • propozycja darmowego ubezpieczenia transakcji
  • prośba o instalację dodatkowego oprogramowania na telefonie

Komunikaty te najczęściej pojawiają się dopiero po zalogowaniu do rachunku. Głównym celem przestępców jest wyłudzenie od Ciebie kodu jednorazowego (którym autoryzują przelew wyprowadzający środki z Twojego konta) lub przejęcie kontroli nad Twoim telefonem przez instalację złośliwej aplikacji, przesyłającej przestępcom treść Twoich SMSów z kodami jednorazowymi. Jeśli widzisz na stronie banku komunikat, którego nie było tam podczas poprzedniej wizyty na stronie (szczególnie gdy np. bank prosi Cię w nim o podanie danych, które powinien posiadać, lub wymaga podania kodu jednorazowego w innym miejscu, niż zazwyczaj) natychmiast zadzwoń do swojego banku aby potwierdzić, czy faktycznie nastąpiła jakaś zmiana i komunikat który widzisz na ekranie, pochodzi od banku a nie od przestępców. Pamiętaj! Lepiej niepotrzebne zapytać, niż stracić swoje pieniądze.

Jak się bronić przed phishingiem?

Żeby skuteczniej bronić się przed atakiem phishingowym, trzeba zrozumieć jak działa phishing, co próbuje osiągnąć oszust i jakich technik do tego używa. Dzięki temu będziesz w stanie nie tylko rozpoznać potencjalne zagrożenie, ale także ostrzegać inne osoby i interweniować w każdej sytuacji, gdzie pojawią się oznaki potencjalnego phishingu.

Podstawowa zasada to ograniczone zaufanie w każdej sytuacji, gdzie ktokolwiek prosi o podanie danych lub sugeruje zalogowanie się w banku bądź innej usłudze. Banki nie przesyłają linków do logowania, nie proszą o wysyłanie danych, numerów kart czy tego typu wrażliwych danych. Każdy tego typu atak phishingowy możemy zweryfikować w instytucji, która rzekomo wysyła wiadomość. Wystarczy zweryfikować na infolinii procedurę, a w wielu przypadkach okaże się, że za wysłaną wiadomością stoi oszust, a nie bank.

Dobrą obroną przez phishingiem może być również atak, czyli aktywne zgłaszanie wszelkich stron, które wydadzą się niebezpieczne. Taka aktywna postawa powoduje relatywnie szybkie czyszczenie nowych stron phishingowych, a wyedukowani klienci to najlepsza zapora przed potencjalnymi oszustami.

Gdzie zgłosić phishing?

Każdy może zgłosić podejrzaną stronę internetową wypełniając specjalny formularz na stronach CERT Polska. Jest to pierwszy w Polsce zespół reagowania na incydenty, którego zespół działa w strukturach NASK, czyli Państwowego Instytutu Badawczego, prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne.

Każde zgłoszenie jest weryfikowane, po czym dana strona może trafić na listę ostrzeżeń, a operatorzy mogą nawet ograniczać jej obsługę. W niektórych wypadkach powiadamiane są także organy ścigania.

Warto również skontaktować się z bankiem lub instytucją, pod którą podszywają się oszuści. W ten sposób instytucja będzie mogła informować innych klientów o zagrożeniu oraz zawiadomić odpowiednie organy w sprawie potencjalnego przestępstwa.

Nasi Partnerzy

logo
logo