Co to jest phising?
Phising to rodzaj oszustwa, wykorzystywany do wyłudzenia poufnych danych lub nakłonienia ofiary do podjęcia określonego działania. W tym celu przestępcy wysyłają odpowiednio przygotowane wiadomości (np. e-mail lub SMS), które mają sprawiać wrażenie autentycznych komunikatów wysyłanych przez np.: firmy kurierskie, portale aukcyjne, banki, operatorów telekomunikacyjnych czy instytucje państwowe.
Jak działa phising?
Wiadomości phisingowe często mają charakter ponaglenia: pilnego dokonania płatności, zmiany hasła lub uzupełnienia danych. Może to być także zachęta do skorzystania z jakiejś wyjątkowej okazji, która może łatwo przejść Ci koło nosa.
W treści takiej wiadomości zazwyczaj znajduje się link do fałszywej strony, która swoim wyglądem może przypominać serwis rozpoznawalnej firmy lub urzędu. Wszystkie poufne dane, jakie podasz na takiej stronie (dane logowania, numer karty kredytowej, PESEL etc.) zostaną przechwycone przez autorów przekrętu.
Obiektem ataków nie są zatem luki w zabezpieczeniach aplikacji lub oprogramowania. Atakowane jest słabsze ogniwo - człowiek.
Wykorzystywane elementy socjotechniki (mniej lub bardziej wyrafinowane) mają za zadanie uśpić czujność ofiary. Adres URL strony, na którą przekierowuje link w wiadomości może zawierać niezauważalną na pierwszy rzut oka literówkę (np.: imgbank.pl zamiast ingbank.pl). Podobnie może być z adresem e-mail nadawcy wiadomości.
Tutaj warto zaznaczyć, że ikona kłódki w pasku adresowym przeglądarki nie jest potwierdzeniem autentyczności danej strony. Może informować jedynie o aktualności stosowanego certyfikatu SSL i szyfrowanej wymianie danych. Do aktywacji podstawowej wersji certyfikatu SSL dla domeny nie jest wymagane przedkładanie jakichkolwiek dokumentów rejestrowych.
Coraz częściej do wysyłania takich fałszywych wiadomości wykorzystywane są także media społecznościowe.
Celem atakujących może być także próba zainfekowania urządzenia użytkownika. Otwieranie załączników z niepewnych źródeł może Cię narazić na utratę danych i/lub kontroli nad własnym komputerem.
Jak się bronić przed phisingiem?
Stosuj zasadę ograniczonego zaufania do wszelkich wiadomości e-mail, SMS lub w mediach społecznościowych. Nie klikaj w linki, dopóki nie sprawdzisz autentyczności danej wiadomości. Nie otwieraj załączników, których się nie spodziewałeś otrzymać.
Jak rozpoznać phising?
- Przeczytaj uważnie treść otrzymanej wiadomości. Zwróć uwagę na pisownie - fałszywe wiadomości często zawierają błędy językowe.
- Zwróć uwagę na adres e-mail nadawcy. Fałszywe wiadomości często są wysyłane z adresów, które już na pierwszy rzut oka wyglądają podejrzanie i w żaden sposób nie wiążą się z nazwą firmy lub organizacji, na którą powołują się oszuści. Adres nadawcy może także zawierać łatwe do przeoczenia literówki, dzięki czemu w pierwszej chwili może wyglądać wiarygodnie. Prosta sztuczka z zamianą litery „O” cyfrą „0” lub litery „l” cyfrą „1” może być trudna do wychwycenia.
- Sprawdzaj adresy URL stron, na które prowadzą linki zawarte w treści wiadomości. Tutaj także częstym zabiegiem jest stosowanie nazw zbliżonych do adresów rozpoznawalnych firm lub organizacji. Adresy mogą zawierać wspomniane wyżej literówki lub przekręconą bądź niepełną nazwę rzeczywistej firmy.
- Sygnałem ostrzegawczym niech będą dla Ciebie wszelkie wezwania do podjęcia szybkich działań: uzupełnienie płatności, zmiany hasła, pilne uzupełnienie danych etc.
- Żaden bank, instytucja finansowa lub urząd nie powinien Cię prosić o przesłanie drogą mailową danych osobowych lub karty kredytowej.
- Przestępcy coraz częściej przejmują kontrolę nad kontami w mediach społecznościowych. Zachowaj czujność, kiedy otrzymasz od swojego znajomego lub członka rodziny wiadomość z linkiem lub dziwną prośbą.
- W razie wątpliwości przed podjęciem działania, o którą jesteś proszony w otrzymanej wiadomości, lepiej sprawdzić jej autentyczność innym kanałem - np. dzwoniąc do banku lub znajomego, który po latach milczenia właśnie napisał na Messengerze coś o darmowych bonach do Lidla.