Co znajdziesz w tym artykule:
Każdego dnia użytkownicy mogą spotykać się z internetową przestępczością. Poprzez portale społecznościowe, zamawiane usługi, wprowadzanie informacji, pocztę email. Tylko w 2020 roku ponad połowa firm mierzyła się z co najmniej jednym cyberatakiem. Internet ma być przede wszystkim bezpieczny, dlatego oddajemy w Wasze ręce poradnik PHISHING: NIE DAJ SIĘ ZŁOWIĆ.
Phishing. Co to właściwie jest?
Phishing kojarzy się z łowieniem ryb. Tylko w tym przypadku przynętą jesteśmy my sami. Definicja phishingu? Atak, który nakłania ludzi do kliknięcia łącza w wiadomości sms czy wiadomości e-mail, które wyglądają na prawdziwe, wpisanie i wprowadzenie danych, pobieranie załączników – a to już prosta droga do włamań i zainfekowania złośliwym oprogramowaniem – lub po prostu do rozmowy przez telefon. Ta technika i ten temat coraz częściej wykorzystywany jest w mediach społecznościowych za pośrednictwem komunikatorów portali społecznościowych.
Szacuje się, że aż 91% cyberataków zaczyna się od wiadomości e-mail. Przestępca podszywa się pod markę, która wydaje się prawdziwa, wysyłając spreparowaną wiadomość. Jej wysłaniu towarzyszą linki. Wykonując danę prośbę czyli wezwanie stajemy się ofiarą phishingu.
CERT Polska średnio 93 domeny dziennie wpisuje na listę ostrzeżeń przed niebezpiecznymi stronami.[2]
Jak działa phishing?
Phishing bazuje na uśpieniu naszej czujności w internecie, oszuści za pośrednictwem poczty elektronicznej próbują pozyskać poufne informacje, takie jak dane logowania, numery kart kredytowych, kont bankowych itp – wystarczy, że wiadomość będzie zawierać link, który klikniesz. Wrażliwe dane, jak na przykład podanie hasła czy loginu celem rzekomej weryfikacji to metody działania cyberprzestępców.
Celem ataku phishingowego jest ukierunkowanie ofiary na dobrowolne wykonanie określonej czynności. Urząd Ochrony Danych Osobowych zbadał tę kwestię. Okazuje się, że hakerzy nakłaniają ofiarę do: wejścia w dany link/adres url (50%), otworzenia załącznika w wiadomości e-mail (45%), a także dokonanie podejrzanej płatności (pieniądze)(28%) [1] Klikając w wiadomości link, otwieramy fałszywą stronę danej organizacji
Rodzaje ataków phishingowych
Hakerzy stosują różne działanie, które pozwala uzyskać dostęp. Forma przeprowadzania ataków phishingowych może przybierać zarówno o wiadomość sms, wiadomość głosową (smishing) czy pocztę elektroniczną, a także przy pomocy spear phishingu – jako personalizowanej formy oszustwa. Przykłady można mnożyć. Pamiętaj, aby w przypadku wiadomości zawierających linki, informacje w załączniku, określone żądania zachować ostrożność.
E-mail phishing
To najpopularniejsza forma phishingu. Zasługuje na szczególną uwagę. W większości przypadków, użytkownik dostaje na swój adres e-mail wiadomość, która łudząca przypomina tę rzeczywistą. Kolory marki się zgadzają, layout również. Sytuacja zmienia się gdy patrzysz na domenę, zawiera dużo znaków i liczby. Dodatkowo wiadomość jest napisana w dziwnym tonie i wymaga wejścia w link, może też zawierać podejrzany załącznik, gdzie po kliknięciu złośliwe oprogramowanie zostanie zainstalowane na komputerze ofiary. Odmianą email phishingu jest spear phishing, który jest atakiem wymierzonym w konkretną osobę czy podmiot (np. instytucje finansowe, bank), co znacznie zwiększa jego powodzenie.
Smishing
Kolejną formą phishingu jest ten wykorzystujący wiadomość tekstową (sms-y). Narażone zwłaszcza są na nie firmy kurierskie. Dostajemy krótkiego sms-a od firmy kurierskiej z prośbą o sprawdzenie płatności/zalogowanie się do konta, bo system nie może jej zaksięgować za produkt, czy w kontekście danego przedmiotu, a termin jest na już. Użytkownik klika w link, a logując się do panelu jest przenoszony na stronę internetową sieci, która z daną firmą nie ma wiele wspólnego. W tym celu cyberprzestępcy często wykorzystują w wiadomościach sms skrócone adresy www, tak zwane tiny-URL, aby uśpić czujność. Hakerzy tym sposobem mogą dokonać kradzieży tożsamości. Dotyczy to np. ujawnienia danych karty kredytowej, loginów, czy innych danych wrażliwych.
Vishing
Rozmowa głosowa, to również metoda, która oszuści wykorzystując w celu nakłonienia ofiary do wykonania określonych działań. Używanie jej staje się coraz bardziej popularne. W przeciwieństwie do smishingu, phishing telefoniczny polega na tym, że przestępca dzwoni do nas, przedstawiając się np. jako pracownik banku czy kurier doręczający przesyłkę. Scenariuszy rozmowy może być na prawdę wiele. Jako przynętę wykorzystują m.in. informację, że paczka zostanie przekierowana do paczkomatu innego niż wcześniej zakładano albo, że płatność została niezaksięgowana. Rozmówca prosi wówczas, aby kliknąć w link, który podeślę w wiadomości smsem, podaję łącze. Kliknij, sprawdź – to częste hasła.
Ataki phishingowe czyli jak rozpoznać phishing?
Ofiarami phishingu możemy zostać sami, są zagrożeniem mogącym spowodować znaczne straty. Ataki typu phishing próbują wyłudzić od Ciebie informacje osobiste i finansowe za pomocą nieszkodliwych wiadomości e-mail i witryn internetowych, podszywając się pod zaufaną organizację, taką jak banki lub sprzedawcy online i podrabiając jej stronę www. Oszustwa phishingowe mogą pochodzić z kilku źródeł, a wiadomości, które wydają się autentyczne, to często najłatwiejszy sposób na oszukanie użytkowników w celu podania poufnych informacji.
Emocje, to właśnie one są wykorzystywane przez cyberprzestępców. Ważny jest też czas jaki ma ofiara. Odbiorca, nic nie podejrzewając, poprzez realizacje wezwania dąży do przekazania danych logowania, czy numeru karty itd.
Co powinno Cię zaniepokoić? Zobacz, na co należy zwracać uwagę w korespondencji e-mail.
Nadawca wiadomości i domena, z której do nas trafiła
Adres nadawcy. Zwróć uwagę nie tylko na pole nadawcy, ale przede wszystkim na domenę. Jeżeli zawiera dużą liczbę znaków i cyfr, może okazać się, że adres, z którego przyszła wiadomość nie ma nic wspólnego z marką, za którą się podaje, jest domeną przestępcy.
Zwrot rozpoczynający wiadomość
Styl komunikacji, który stosuje dana firma to kolejny aspekt, na który należy zwrócić uwagę dostając wiadomość. Jeżeli do tej pory była to komunikacja bezpośrednia, a nagle dostajesz maila zaczynającego się od słów „Szanowna Pani/Szanowny Panie”, to coś ewidentnie nie gra.
Błędy językowe
Komunikacja, zanim trafi do odbiorcy jest starannie analizowana. Zwracaj uwagę na treść. Wszelkie literówki i błędy ortograficzne świadczę przecież o tym jak postrzegamy firmę. Dlatego jeżeli widzisz błędy stylistyczne, kolokwializmy może to oznaczać, że treść została przetłumaczone z innego jezyka i tak przygotowana, aby filtry antyspamowe nie wychwyciły nieprawidłowości.
CTA
Najważniejszy punkt. Jesteś proszony o dokonanie określonej czynności i masz to zrobić natychmiast. To zadanie. Może to być np. w celu potwierdzenia informacji kliknięcie łącza i zalogowanie się do panelu, który w rzeczywistości nie jest prawdziwy, a dane organizacji czy swoje, które tam podajesz zostają przechwycone i wykorzystywanie przez oszustów.
Jak skutecznie chronić się przed phishingiem?
Codziennie korzystasz z sieci. Jak się bronić? Poniżej oddajemy Ci w ręce nasz poradnik phishingowy, w którym szerzej opowiadamy o tym jak przebiega atak/wyłudzenie, na co zwracać uwagę w celu rozpoznania i wykrycia ataku jak należy zachować ostrożność przed phishingiem. Istnieją pewne środki, które należy podejmować, aby nie paść ofiarą tego rodzaju oszust. Jedną z pierwszych jest świadomość. Musisz zapoznać się z jasną listą, tego jak wyglądają strony lub wiadomości phishingowe od przestępcy. Być może całą tę wiedzę masz gdzieś w zanadrzu, ale teraz nadszedł czas, żeby usystematyzować wiedzę i wykorzystywać ją w praktyce. Równolegle z tym krokiem należy zadbać o higienę korzystania z sieci.
Pamiętaj, aby:
- nie udostępniać swoich danych do logowania innym osobom. – zabezpiecz loginy
- zmieniać hasła do strony logowania
- nie dokonywać żadnej zapłaty
- nie podawać numerów kart kredytowych, adresu, banku, loginów do strony, komputera
- upewnić się, że adres strony internetowej jest tożsamy z domeną z której są przesyłane wiadomość e-mail.
- zastanów się nad zabezpieczeniem swoje konta poprzez 2FA (np. dla facebooka)
- nie otwieraj maili, co do których nie masz pewności
- nie klikać w linki stron i nie otwieraj załączników, odnośnika, linków co do których nie masz pewności i uważasz za podejrzane wiadomości.
- nie podawać przez połączenie czy rozmowę telefoniczną przestępcy nr pesel, nazwiska ani innych danych wrażliwych
- sprawdzać domenę w wyszukiwarce (nie tylko nazwę nadawcy), z której otrzymałeś e-maila.
- korzystaj z zabezpieczeń typu antywirus, filtry spam
- nie ulegaj presji czasu, w podejrzanych wiadomościach często jest to wykorzystywane
- zgłaszaj oszustwo i ostrzegaj znajomych
Czym jest phishing? Pobierz nasz poradnik i dowiedz się m.in., czym są ataki phishingowe, jakie są najczęstsze metody oszusta, jak prawidłowo rozpoznać próbę wyłudzenia danych przez wiadomość e-mail i przede wszystkim jak się skutecznie bronić przed phishingiem – czyli dobre nawyki wzmacniające bezpieczeństwo w sieci internet.
Phishing to aktualnie najpopularniejsza forma cyberprzestępczości na świecie. Szacuje się, że aż 91% cyberataków zaczyna się właśnie od wiadomości e-mail. Powszechna opinia jest taka, że internetowe oszustwa dotykają głównie ogromnych przedsiębiorstw lub międzynarodowych korporacji. Jednak nic bardziej mylnego. Niestety, phishing dotyczy każdego użytkownika Internetu, bez względu na to, czy jest to wielka spółka, mała firma czy pojedynczy internauta. Cyberprzestępcy stanowią zagrożenie dla wszystkich, również dla Ciebie.
Pobierz nasz poradnik i dowiedz się m.in., czym jest phishing, jakie są najczęstsze metody oszusta, jak prawidłowo rozpoznać próbę wyłudzenia danych i przede wszystkim jak się skutecznie bronić.
