załoga Mobile VikingsAngielskojęzyczne słowo phishing nieprzypadkowo kojarzy się z fishingiem, czyli łowieniem ryb. Internetowi przestępcy zarzucają bowiem wędkę z przynętą i czekają, aż ktoś się złowi. Gdy tak się stanie, wystarczy tylko oskubać nieszczęśnika z danych lub pieniędzy. Sprawdź, czym jest phishing i jak możesz się przed nim obronić.
Phishing. Co to jest?
Phishing może pozbawić Cię dostępu do konta mailowego, poszczególnych stron internetowych, doprowadzić do wyczyszczenia środków z konta oszczędnościowego. Phishingiem nazywa się perfidne internetowe oszustwo, polegające na wyłudzeniu danych, którego ofiarą z roku na rok pada coraz więcej osób.
Przynętą w tym przypadku są fałszywe e-maile i SMS-y. Wystarczy kliknąć link podany w wiadomości, by w jednej chwili zainstalować na swoim urządzeniu złośliwe oprogramowanie. Sekundę później nasze dane, takie jak loginy i hasła, numery kart kredytowych czy numer PESEL znajdą się w niepowołanych rękach. Oszuści atakują w ten sam sposób również za pośrednictwem komunikatorów i portali społecznościowych. Krótko mówiąc, na baczności w sieci trzeba się mieć niemal na każdym kroku. Inaczej jeden przypadkowy klik może sprowadzić nam na głowę poważne problemy.
Phishing – ile osób pada jego ofiarami
Statystyki dotyczące internetowych incydentów prowadzi w naszym kraju CERT Polska, zespół funkcjonujący w strukturach NASK – Państwowego Instytutu Badawczego. Według danych, które dostarcza, w roku 2021 najpowszechniejszym typem incydentów był właśnie phishing. Stanowił niemal 80 procent wszystkich przypadków, z którymi do czynienia mieli specjaliści z CERT. Rok do roku oznacza to wzrost incydentów zakwalifikowanych jako phishing aż o 196%!
Wśród najpopularniejszych metod tego typu przestępstw znalazło się wyłudzanie danych poprzez podszywanie się pod Facebooka (4852 przypadki). Drugim typem incydentów było instalowanie na komputerach niczego niespodziewających się użytkowników sieci szkodliwego oprogramowania. Liczba 2847 zarejestrowanych w 2021 roku przypadków oznacza wzrost tego rodzaju przestępstw do roku poprzedniego o 281 procent.1
Zobacz także: Internet mobilny w Mobile Vikings
Przykłady internetowych oszustw
Po oszustach trudno spodziewać się oznak empatii, a należy raczej tego, że będą żerować na naszej ciekawości i, niestety, naiwności. Mnóstwo takich przykładów pojawiło się w trakcie niedawnej pandemii koronawirusa. Zamknięci w domach konsumowaliśmy coraz to nowsze informacje na temat wirusa, korzystając z tego, co podsunęła wyszukiwarka, znajomi lub… przestępcy. Oszuści tworzyli fałszywe witryny internetowe na podobieństwo tych, które specjalizują się w dostarczaniu sensacyjnych newsów. Tak spreparowana fałszywka przyciągała do klikania. Link miał prowadzić do rzekomego filmu i strony udającej np. Facebooka. Wpisując login i hasło, natychmiast traciliśmy je na rzecz oszustów, którzy mogli podszywać się pod nasze dane.
Dokładnie na tej samej zasadzie działają podsyłane masowo na maila lub SMS-em fałszywki, które imitują strony internetowe banków, znanych firm kurierskich, portali aukcyjnych czy telekomów. Może to być na przykład żądanie zapłacenia zaległej faktury za usługę. Zawsze znajduje się tam prośba o kliknięcie linku, który zamiast na wskazany adres prowadzi do strony wyłudzającej dane. W SMS-ach podsyłane są linki, których uruchomienie może doprowadzić do całkowitego zablokowania telefonu lub przejęcia danych logowania do kont oszczędnościowych. Mechanizm oszustwa jest oparty na socjotechnice. Tak skonstruowany powoduje, że wpaść w jego sidła jest bardzo łatwo.
Jak bronić się przed phishingiem?
Możesz nie dać się złowić na phishing. Musisz być sprytniejszy niż oszuści. Czytać, rozmawiać ze znajomymi, ba, nawet oglądać wiadomości w telewizji, bo przed internetowymi przestępstwami ostrzega tam policja. Słowem, wytrychem jest wiedza na temat zachowań przestępców i świadomość występowania konkretnych zagrożeń cybernetycznych. Niestety, internet stał się miejscem, w którym przede wszystkim powinieneś kierować się zasadą ograniczonego zaufania.
Warto zadać sobie trud, by nauczyć się rozpoznawać fałszywe witryny. W internecie nie mogą funkcjonować dwie witryny o takim samym adresie. Przestępcy mogą skopiować z oryginału układ graficzny, czcionkę, kolor, ale ich adresy www zawsze będą się różniły. Dlatego jeśli masz podejrzenia, zwracaj uwagę na adres strony internetowej. Czasem będzie znacząco różnił się od oryginału, a czasem niemal niezauważalnie, jedną lub dwoma literami.
Istotna będzie również analiza treści podejrzanej wiadomości. Fałszywe strony często zdradzają błędy językowe. Przede wszystkim nie klikaj ani podejrzanych linków, ani też żadnych plików do pobrania umieszczonych w wiadomościach. Możesz zadzwonić na infolinię dostawcy e-maila (banku, zakładu ubezpieczeń) i poprosić o weryfikację przysłanej wiadomości. Jeśli w wiadomości e-mail nadawca poprosi Cię o podanie loginu i hasła, danych osobowych lub skanu dowodu osobistego, zignoruj tę prośbę. Jeśli już zdarzy Ci się kliknąć link podany w e-mailu czy wiadomości SMS, nie loguj się na swoje konto bankowe czy media społecznościowe.
Ponadto w przeglądarce łatwo sprawdzisz dane podmiotu, dla którego został wystawiony certyfikat SSL, czyli poziom zabezpieczeń witryny. Mogą to być np. nazwa firmy, adres, miejscowość. By to zrobić, kliknij zieloną kłódkę, która znajduje się obok paska adresu www. Następnie z rozwijanego menu wybierz polecenie Wyświetl certyfikat.
Co jeszcze możesz zrobić? Możliwości techniczne
Istnieją również techniczne możliwości obrony przed phishingiem. W tym celu warto włączyć dwuskładnikowe uwierzytelnianie konta e-mail i w mediach społecznościowych czy używać menedżera haseł. Przeanalizuj również możliwości swojej skrzynki pocztowej. Nie wszystkie systemy radzą sobie z filtrowaniem spamu i złośliwych wiadomości. Dlatego dobrze jest ustawić w poczcie e-mail filtry antyspamowe, które przechwycą i oznaczą podejrzane wiadomości.
Skuteczną metodą do uniknięcia ataku phishingowego będzie bieżące aktualizowanie oprogramowania na komputerze i instalacja dobrego programu antywirusowego. Wiele z nich ma zabezpieczenia dla używanych przeglądarek, co pozwoli ograniczyć skutki ataku, jeśli klikniesz link w podejrzanej wiadomości. Pomóc może korzystanie z VPN podczas łączenia się z siecią. Wiele z nich ma w opcjach możliwość filtrowania witryn ze złośliwym oprogramowaniem.
Jeśli padłeś ofiarą przestępstwa zwanego phishingiem, polegającego na kradzieży danych lub mienia, powinieneś zgłosić to na policję. Dobrze powiadomić również o przestępstwie CERT, czyli zespół, który zajmuje się reagowaniem na zdarzenia naruszające bezpieczeństwo w internecie. Wystarczy skorzystać z formularza na stronie https://incydent.cert.pl/.
1 https://cert.pl/posts/2022/04/statystyki-obslugi-incydentow-2021/
