Zabezpiecz się! Phishing – najpopularniejsza metoda wyłudzania danych

Jakub Grzybowski Jakub Grzybowski  • 
Zaktualizowano:
 • 
Przeczytasz w ciągu 8 minut

Obecnie, dostęp do Internetu jest bardzo powszechny. W sieci możemy zrobić zakupy, wysłać przelew czy kupić niemal dowolny produkt. Popularność Internetu jest też niestety okazją dla cyberprzestępców. Najczęściej popełnianym przez nich przestępstwem jest phishing – metoda pozwalająca na wykradanie wrażliwych danych internautów. Co to jest phishing i jak się przed nim bronić?

phishing

Phishing – co to jest?

Phishing to najczęściej występujący przejaw cyberprzestępczości w XXI wieku. Polega na wyłudzaniu wrażliwych danych od internautów (dane logowania do poczty, hasło do bankowości elektronicznej, numer konta, dane karty kredytowej). Cyberprzestępca, podszywający się pod osobę lub instytucję, stara się stworzyć wiarygodny komunikat, za pomocą którego przekona ofiarę na przykład do kliknięcia w specjalny link. Następnie internauta jest przenoszony na stronę przygotowaną w celu wykradania danych. Dane te wykorzystywane są w celu osiągnięcia zysku. 

Wiadomości phishingowe często wyglądają jak powiadomienia z banku, z sądu lub od dostawcy prądu albo Internetu. Taka forma nie tylko zwiększa prawdopodobieństwo, że komunikat zostanie otworzony i odczytany, ale też, że nie wzbudzi większych podejrzeń. W teorii, nadawcą wiadomości będzie instytucja ciesząca się dużym zaufaniem społecznym. Schemat tworzenia takich phishingowych treści z reguły jest ten sam: chodzi o zachęcenie internauty, by jak najszybciej zaktualizował lub wprowadził dane na swój temat, bo inaczej je utraci, wraz z dostępem do ważnych dla niego stron. Pozyskiwanie poufnych informacji na temat użytkowników sieci to problem występujący już od niemal 30 lat.

Phishing – jak się przed nim chronić? Złote zasady, które pomogą ochronić Twoje dane

Konsekwencje przedostania się naszych wrażliwych danych do rąk przestępcy mogą być dla nas bardzo dotkliwe. Zakupy w sieci stały się bardzo powszechne. Większość transakcji, takich jak płatności za rachunki, także dokonujemy przez Internet. Rezygnujemy z faktur papierowych na rzecz tych elektronicznych. Oszuści mają naprawdę duże pole do manewru i poszukiwania luk. Banki czy serwisy na których robimy zakupy starają się edukować swoich klientów i nawołują do uważnego czytania maili i smsów. Do jakich zasad należy się stosować by uniknąć wyłudzenia danych?

  1. Logując się na strony instytucji, banku lub robiąc zakupy w sieci, staraj się nie korzystać z publicznego wifi. Są to zazwyczaj sieci niezabezpieczone, co naraża Cię na niebezpieczeństwo wykradnięcia danych.
  2. Kupuj na sprawdzonych stronach lub serwisach aukcyjnych. Pozwoli Ci to mieć pewność, że zakupiony przez Ciebie towar trafi do Twoich rąk, a cała transakcja będzie bezpieczna.
  3. Sprawdzaj czy dana transakcja odbywa się za pośrednictwem szyfrowanego połączenia. Adres strony powinien zaczynać się od https:// i dodatkowo zawierać ikonkę kluczyka lub kłódki.
  4. Nigdy nie podawaj PINU, danych do logowania itp. sprzedawcy lub przedstawicielowi banku.
  5. Ustal limity dla dziennych wypłat i transakcji. Może być to pomocne przy próbie wyłudzenia.
  6. Nie loguj się na stronę banku z wykorzystaniem linku, jaki otrzymasz w mailu czy SMSie lub przez portale społecznościowe.
  7. Czytaj bardzo uważnie i zachowuj korespondencję elektroniczną otrzymywaną z banku itp. Jeśli jakaś wiadomość budzi Twoje wątpliwości, zgłoś to.
  8. Nie otwieraj wiadomości e-mail i nie korzystaj z wysyłanych linków od nadawcy, którego nie znasz.
  9. Korzystaj z bezpiecznych i sprawdzonych urządzeń przy wykonywaniu wszelkich płatności. Dbaj o zabezpieczenia i aktualizuj oprogramowanie antywirusowe.
  10. Zaglądaj na strony banku, czytaj wiadomości, które znajdziesz w serwisie transakcyjnym. Tam zazwyczaj otrzymujesz informacje o najnowszych zagrożeniach.
  11. Ustaw dwuetapową weryfikację na mediach społecznościowych i tronach do logowania do bankowości mobilnej. Tym sposobem przestępca nie otrzyma dostępu do naszych finansów, ponieważ logowanie do konta będzie trzeba dodatkowo potwierdzić np. wprowadzając kod SMS, wysłany na podany numer telefonu
  12. Zabezpiecz swoje karty płatnicze. Takie działanie spowoduje, że cyberprzestępcy o wiele trudniej będzie je wykorzystać do wykorzystać je do oszustwa.

Dobrym pomysłem może być również skorzystanie z alertów BIK. Usługa ta powiadomi nas, gdy nasze dane pojawią się w bazach dłużników. Może to wskazywać, że ktoś wykradł nasze dane i posłużył się nimi w celu wyłudzenia kredytu lub pożyczki.

Podczas korzystania z internetu nie zapominajmy o filtrowaniu spamu oraz o zainstalowaniu modułu antyphishingowego. Jeśli sami w porę się nie zorientujemy, to on będzie odpowiadał za ostrzeżenie nas przed podawaniem ważnych danych: numeru PIN, kodu CVV lub numeru karty kredytowej.

Jak działa phishing? Wyłudzanie danych osobowych i pieniędzy

Ataki phishingowe wyglądają zazwyczaj podobnie. Za pośrednictwem Facebooka, poczty elektronicznej czy komunikatora, odbieramy spreparowaną wiadomość (spam). Jesteśmy jednymi z wielu, do których trafia taki komunikat, chodzi przecież o pozyskanie jak największej ilości danych, a więc też większy zarobek. Treść jest najczęściej przygotowana w ten sposób, aby wywoływać poczucie zagrożenia. Może to być na przykład ostrzeżenie o konieczności dopłaty lub o zbliżającym się terminie wyłączenia usługi. Strona internetowa, łudząco podobna do prawdziwej strony banku czy innej instytucji, przechwytuje wtedy wpisane przez nas informacje, takie jak dane do logowania. Cyberprzestępcy korzystają z nieświadomości swoich ofiar, ale takze z błędów i luk systemowych. Kilka lat temu odnotowano bardzo wiele ataków phishingowych w związku z błędem przeglądarki Internet Explorer, który pozwalał ukryć rzeczywisty adres wyświetlanej strony.

Jak rozpoznać fałszywą wiadomość?

Przede wszystkim pamiętajmy, że legalnie działające serwisy nie będą nas nagabywały, byśmy je odwiedzili i się na nich zalogowali. Jeśli otrzymasz wiadomość od banku, sklepu czy innej instytucji, zawierającą link do logowania, powinieneś zachować szczególną czujność. Do serwisów najlepiej logować się wchodząc na ich strony główne, a nie poprzez linki, które mogą prowadzić do spreparowanej przez oszustów strony. 

Kiedyś, wiadomości phishingowe często można było rozpoznać po licznych błędach ortograficznych, językowych czy składniowych. Często były to bardzo prymitywne wiadomości, które na pierwszy rzut oka mogły budzić podejrzenia. Dzisiaj, wiadomości te są jednak znacznie lepiej przygotowane. Mogą posiadać logo banku, być pisane tą samą czcionką i pochodzić od łudząco podobnie wyglądającego adresu nadawcy. Dlatego tak ważne jest zachowanie szczególnej ostrożności.

Rodzaje phishingu

Jako zjawisko obecne od wielu lat w cyberprzestrzeni, phishing ma wiele rodzajów, które mają nieco inny sposób działania. Wyróżnia się:

  • spear phishing, czyli wyłudzanie kredytów, danych lub pieniędzy od konkretnej osoby. Przekaz jest wtedy dużo bardziej spersonalizowany, szczególnie, że poprzedza go zebranie informacji na temat potencjalnej ofiary ataku. Takie gruntowne przygotowanie sprawia, że ten rodzaj phishingu uznawany jest za najefektywniejszy – ok. 91% akcji kończy się sukcesem. Jako przykład warto podać sytuację z wyborów prezydenckich w Stanach Zjednoczonych. W 2016 roku grupa przestępców dokonała ataku na skrzynkę mailową Hilary Clinton i upubliczniła jej zawartość.
  • clone phishing. Polega przesłaniu do odbiorcy wiadomości łudząco podobnej do oryginału, wraz z linkami i załącznikami. Jest to złośliwa kopia przesłana z fałszywego adresu mailowego. Jest to dość trudna metoda, chociaż wciąż jest bardzo skuteczna. Jej siła polega na maksymalnym upodobnieniu komunikatu do prawdziwych wiadomości wysyłanych na przykład przez banki.
  • whaling, jest skierowany do firm, głównie do kierownictwa wyższego szczebla. Treść komunikatów brzmi dużo poważniej niż w innych przypadkach i często dotyczy potencjalnych monitów czy wezwań sądowych. Łatwo się domyślić, że większość osób otworzy taką wiadomość ze strachu. Tym samym niczego nie świadome ofiary dostarczają oszustom informacji na temat siebie i firmy.

Skąd się wziął i kiedy pojawił się phishing?

Pojęcie phishingu pojawiło się w połowie lat 90′. To wtedy crackerzy podjęli pierwsze próby kradzieży danych z bazy jednego z głównych amerykańskich dostawców Internetu. Podając się za pracowników tej firmy, wysyłali do potencjalnych ofiar prośby o podanie hasła do konta by je zweryfikować lub zaktualizować numer rachunku bankowego. Z tego właśnie powodu termin „phishing” tłumaczy się czasem jako „łowienie haseł”, choć wielu uważa, że pochodzi raczej od nazwiska Briana Phisha, który jako pierwszy miał zastosować techniki psychologiczne, aby wykradać numery kart kredytowych.

Dziś, phishing służy najczęściej do wykradania haseł do bankowości elektronicznej, sklepów internetowych, portali aukcyjnych i portali społecznościowych. To w tych miejscach zostawiamy najwięcej informacji o sobie, zwiększając tym samym ryzyko ataku phishingowego.

Zostaw komentarz

Twój adres e-mail nie bedzie opublikowany. *wymagane pola są zaznaczone

Sprawdź również ostatnie artykuły