Phishing

27.05.2021 r.

Phishing  jest metodą oszustwa, w której przestępca podszywa się pod jakaś osobę czy instytucję, do której mamy zaufanie. Następnie wyłudza od nas poufne informacje. Mogą to być dane do logowania – także do bankowości internetowej - czy dane karty kredytowej. Jest to też metoda na zainfekowanie komputera przez szkodliwe oprogramowanie.

Nazwa tego sposobu wyłudzenia  - phishing  nawiązuje do angielskiego fishing – łowienia ryb.

Cyberprzestępcy niczym wędkarze zarzucają na ofiarę przynętę. Najczęściej są nią e-maile, ale mogą to być wszelkiego typu wiadomości przesyłane poprzez komunikatory czy portale społecznościowe.

Wiadomości, na które łowione są ofiary, przygotowane są bardzo skrupulatnie. Mają wyglądać jak autentyczne wiadomości przesyłane z dobrze znanych stron lub od osób, co do których mamy zaufanie. Często adresy różnią się niewielkimi szczegółami, które można przeoczyć przy braku uważności. A wtedy łatwo przekazać osobom niepowołanych poufne dane o sobie, swoim koncie czy też ściągnąć złośliwe oprogramowanie.

Najczęściej cyberprzestępcy podszywają się pod firmy kurierskie, urzędy, operatorów telekomunikacyjnych a nawet naszych znajomych. Ich najprostszą formą  „złowienia” ofiary jest link zawarty w wiadomości, który wystarczy kliknąć. W tym celu stosowane są tiny-URL – skrócone adresy stron internetowych. Warto porównać je z autentycznymi adresami nadawców, pod których podszywają się oszuści i sprawdzić, czy nie różnią się drobnymi szczegółami. Można też najechać na link bez klikania i wtedy powinien ukazać się pełny adres strony. A ten o wiele łatwiej zweryfikować niż skrócony.

A w razie wątpliwości – po prostu nie klikać.

Chociaż w niektórych wypadkach jest to trudne, bo przestępcy stosują socjotechniki, które odsuwają logiczne myślenie na dalszy tor, a każą dochodzić do głosu emocjom. Takimi chwytami są informacje „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast” czy  „wyślij te dane w ciągu 24 godzin”. Ale wyposażeni w wiedzę, że tymi chwytami się posługują, możemy potraktować je jak znak ostrzegawczy, który będzie wzmagał naszą czujność.

Dlatego jeszcze raz: Jeśli nie mamy pewności, że link w wiadomości jest bezpieczny – najlepiej w niego nie klikać. W przypadku wiadomości wysyłanych przez komunikatory dobrze jest odesłać wiadomości do osoby, która nam link wysyła. Często to ona sama padła ofiarą phishingu wcześniej i teraz jej zawirusowane konto rozsyła linki do wszystkich z jej listy znajomych. A ona sama jest nieświadoma zainfekowania konta i zagrożenia jakie stwarza dla innych.

Warto uważnie przyglądać się przesyłanym linkom, ale też samym wiadomościom, które im towarzyszą.

Niektóre z wiadomości posługują się niepoprawną gramatyką czy interpunkcją. Niezależnie od tego, jakie zdanie mamy o instytucji, z której wiadomość rzekomo pochodzi, można podejrzewać, że jednak powinna być ona poprawnie zredagowana.

Istotne jest także to, jaki jest nagłówek maila. Czasem pojawia się zwrot bardzo ogólny – „drogi kliencie”, „Szanowna Pani” – a nigdzie nie ma podanego naszego imienia i nazwiska. Może to świadczyć o tym, że jest to jeden z wielu maili wysłanych na różne adresy jako wiadomość masowa. Im więcej sieci przestępca zarzuci, tym większe prawdopodobieństwo, że kogoś złowi.

Chociaż szczególnie niebezpieczną formą phishingu jest ta, która przekracza tę barierę naszej własnej ochrony. Chodzi o tzw. spear-phishing. To rodzaj oszustka ukierunkowanego na konkretnego odbiorcę. Prawdopodobnie poprzedzony wyciekiem jakichś danych lub zdobyciem wiedzy na nasz temat chociażby przez śledzenie aktywności w mediach społecznościowych. Wtedy cyberprzestępcy mogą podszywać się np. pod partnerów biznesowych i personalizować wiadomość tak, że bezpośrednio powołuje się na wzajemne relacje i korzysta z imienia i nazwiska. Zawsze jednak w przypadku, gdy pojawia się niespodziewany mail od kogoś, można go o to zapytać. Najlepiej nie za pomocą odpowiedzi na tego maila, tylko pisząc wiadomość na znany nam adres z pominięciem tej, która budzi podejrzenie.

Przed phishingiem chroni uważność, ostrożność i wiedza na temat tego kto, co i w jakiej formie może do nas przesyłać.

Chociażby bank czy inna instytucja nie prosi o wysyłanie danych mailem. Urzędy nie wysyłają takich informacji w celu dokonania dodatkowych płatności. A wszystko to zawsze można zweryfikować dzwoniąc do odpowiedniej instytucji.

I przede wszystkim: Jeśli coś jest zbyt piękne, by było prawdziwe – nie jest prawdziwe. Nikt nie napisze do nas z drugiego końca świata chcąc nam przekazać wielomilionowy spadek, za co musimy uiścić tylko drobną opłatę manipulacyjną. Nikt nam też nie zaoferuje z dobroci serca dostępu do ukrytych przed innymi informacjami. Za takimi niespodziewanymi prezentami może czaić się oszustwo. I to nie ktoś nam, tylko my temu komuś przelejemy pieniądze. Czasem nawet wszystkie, jakie posiadamy.

W przypadku, gdy jednak damy się złowić i staniemy się ofiarą oszustwa, ważne jest zgłoszenie tego na policję lub do prokuratury. Takie działania możemy też podjąć  w przypadku, gdy podejrzewamy próbę oszustwa.