Zabezpiecz się! Phishing – metody wyłudzania danych

 • 
Przeczytasz w ciągu 9 minut
natalia
Obecnie dostęp do internetu jest dość powszechny. Ma to swoje plusy, ale wiążą się z tym również minusy. Z jednej strony otrzymujemy nieograniczony dostęp do wiedzy z różnych dziedzin, możemy się rozwijać i bogacić o nowe znajomości, ale z drugiej stajemy się łatwym celem dla cyberprzestępców. Korzystanie z bankowości elektronicznej, poczty czy portali społecznościowych wymaga od nas podawania tzw. danych wrażliwych, które mogą dostać się w niepowołane ręce, jeśli tylko odpowiednio ich nie zabezpieczymy. Dowiedzmy się czym jest phishing, czyli metoda wyłudzania danych, znacznie bardziej inwazyjna i niebezpieczna niż zwykły spam.
phishing

Spis treści:

Phishing – co to jest i skąd się wziął?

Phishing jest uznawany za najczęściej występujący przejaw cyberprzestępczości w XXI wieku. Polega na wyłudzaniu danych o konkretnym internaucie (dane logowania do poczty, hasło do bankowości elektronicznej, numer konta, dane karty kredytowej), by czerpać z tego korzyści materialne. Przestępca, podszywający się pod osobę lub instytucję, stara się stworzyć na tyle wiarygodny komunikat, by nikt nie dopatrzył się w nim znamion oszustwa.

Wiadomości phishingowe często wyglądają jak powiadomienia z banku, z sądu lub od dostawcy prądu albo internetu – taka forma nie tylko zwiększa prawdopodobieństwo, że komunikat zostanie otworzony i odczytany, ale też, że nie wzbudzi większych podejrzeń, ponieważ w teorii jej nadawcą będzie instytucja ciesząca się dużym zaufaniem społecznym. Schemat tworzenia takich phishingowych treści z reguły jest ten sam: chodzi o zachęcenie internauty, by jak najszybciej zaktualizował lub wprowadził dane na swój temat, bo inaczej je utraci, wraz z dostępem do ważnych dla niego stron. Pozyskiwanie poufnych informacji na temat użytkowników sieci to problem występujący już od niemal 30 lat.

Kiedy pojawił się phishing?

W połowie lat 90., skrystalizowało się pojęcie phishingu. To wtedy crackerzy podjęli pierwsze próby kradzieży danych z bazy jednego z głównych amerykańskich dostawców internetu. Podając się za pracowników tej firmy, wysyłali do potencjalnych ofiar prośby o podanie hasła do konta, by, teoretycznie, je zweryfikować lub zaktualizować numer rachunku bankowego. Z tego właśnie powodu termin „phishing” tłumaczy się czasem jako „łowienie haseł”, choć wielu uważa, że pochodzi raczej od nazwiska Briana Phisha, który jako pierwszy miał zastosować techniki psychologiczne, aby wykradać numery kart kredytowych.

Dziś przestrzeniami, w których najczęściej dochodzi do popełniania tego cyberprzestępstwa, są banki, portale społecznościowe oraz aukcje internetowe. To w tych miejscach zostawiamy najwięcej informacji o sobie, zwiększając tym samym ryzyko ataku phishingowego.

Wyłudzanie danych osobowych

Ataki phishingowe wyglądają zazwyczaj podobnie. Za pośrednictwem, na przykład, Facebooka lub poczty elektronicznej odbieramy wiadomość (spam). Jesteśmy jednymi z wielu, do których trafia taki komunikat, chodzi przecież o pozyskanie jak największej ilości danych, a więc też większy zarobek. Wśród najczęściej wpisywanych treści znajdziemy te o możliwości dezaktywowania naszego konta bankowego. Strona internetowa, łudząco podobna do prawdziwej strony banku, przechwytuje wtedy wpisane przez nas informacje, nierzadko korzystając nie tylko z naszego braku świadomości, ale również z błędów systemowych. Odnotowano bardzo wiele ataków phishingowych w związku z błędem przeglądarki Internet Explorer kilka lat temu, który pozwalał ukryć rzeczywisty adres wyświetlanej strony.

Dobrze zaprojektowana phishingowa witryna działa zwykle ok. 5 dni, zanim wykryje ją filtr lub zgłosi do weryfikacji albo usunięcia jakiś użytkownik. Zaleca się wzmożoną czujność, ponieważ jakość takich stron i komunikatów jest bardzo wysoka – fałszywe witryny wyglądają niemal tak samo jak oryginały, a ich ilość wcale nie maleje, ponieważ przestępcy wciąż rejestrują nowe, na miejsce starych, usuwanych.

Wyłudzanie pieniędzy

Większość wiadomości o charakterze phishingowym trafia do nas za pośrednictwem poczty i bankowości elektronicznej oraz portali społecznościowych. Wprawdzie z biegiem czasu wzrosła nasza świadomość odnośnie mejli i komunikatów, będących zwyczajnym spamem, ale sztuczki stosowane przez cyberprzestępców wciąż sprawiają, że otwieramy część wiadomości, które tak naprawdę od razu powinniśmy kasować.

Przeczytaj również artykuł o zabezpieczeniach przed wyłudzeniami kredytów USŁUGA ALERTY BIK POZWOLI OCHRONIĆ TWOJE FINANSE!

Jak rozpoznać fałszywą wiadomość?

Przede wszystkim pamiętajmy, że legalnie działające serwisy nie będą nas nagabywały, byśmy je odwiedzili i się na nich zalogowali. Jeżeli mamy wątpliwości, co do prawdziwości takiego przekazu, skontaktujmy się z administratorem strony albo, w przypadku banków, z osobami odpowiedzialnymi za bezpieczeństwo.

PAMIĘTAJ! BANK NIGDY NIE POPROSI CIĘ O PRZESŁANIE DANYCH DO LOGOWANIA!

 

Przestrzegamy, by nie klikać w żadne linki umieszczone w treści wiadomości, ponieważ zachodzi ryzyko, że zostaniemy przekierowani do nieautoryzowanej, podszywającej się strony internetowej. Do naszych obowiązków, jeśli chcemy bezpiecznie korzystać z możliwości, jakie daje dostęp do sieci, musi też należeć regularne instalowanie aktualizacji systemu i oprogramowania, ze szczególnym uwzględnieniem skrzynki pocztowej i przeglądarki. Im nowszą ich wersję będziemy posiadać, tym większe szanse na sprawniejsze i skuteczniejsze działanie filtrów antyspamowych oraz antyphishingowych.

Nie pomoże nam jednak żadne zabezpieczenie, jeśli nie zastosujemy się do podstawowej zasady wpajanej wszystkim internautom, by pod żadnym pozorem nie przesyłać mejlowo poufnych danych na swój temat: haseł do kont, numerów kart kredytowych, o kodach PIN nie wspominając.

O zabezpieczeniach kart płatniczych pisaliśmy już w artykule JAK ZABEZPIECZAĆ SWOJE KARTY PŁATNICZE?

 

Rodzaje phishingu

Jako zjawisko obecne od wielu lat w cyberprzestrzeni, phishing został już na tyle rozpracowany przez badaczy, że możemy wyodrębnić jego trzy rodzaje:

  • spear phishing, czyli wyłudzanie kredytów, danych lub pieniędzy od konkretnej osoby. Przekaz jest wtedy dużo bardziej spersonalizowany, szczególnie, że poprzedza go zebranie informacji na temat potencjalnej ofiary ataku. Takie gruntowne przygotowanie sprawia, że ten rodzaj phishingu uznawany jest za najefektywniejszy – ok. 91% akcji kończy się sukcesem. Jako przykład warto podać sytuację z wyborów prezydenckich w Stanach, w 2016 roku, kiedy grupa przestępców dokonała ataku na skrzynkę mejlową Hilary Clinton i upubliczniła jej zawartość.
  • clone phishing. Polega przesłaniu do odbiorcy wiadomości łudząco podobnej do oryginału, wraz z linkami i załącznikami, jednak prawdziwą wersję zastępuje złośliwa kopia przesłana z fałszywego adresu mejlowego. To już trudniejsza metoda, co nie znaczy, że wśród cyberprzestępców nie znajdziemy jej amatorów.
  • whaling, jest skierowany do firm, do kierownictwa wyższego szczebla. Treść komunikatów brzmi dużo poważniej niż w powyższych przypadkach i często dotyczy potencjalnych monitów czy wezwań sądowych. Łatwo się domyślić, że większość, ze strachu, otworzy taką wiadomość i, tym samym, dostarczy danych na swój temat osobie po drugiej stronie komputera.

Phishing – jak się przed nim chronić?

Konsekwencje przedostania się naszych wrażliwych danych do rąk przestępcy mogą być dla nas bardzo dotkliwe. Sposobność do wyłudzenia takich informacji to zielone światło dla atakujących, by na nasze nazwisko zaciągnąć kredyt lub aby opróżnić nasze konto w banku. Pilnujmy więc nie tylko kart płatniczych, ale także dowodu osobistego – w tym miejscu przeczytacie dlaczego to takie ważne.

Podczas korzystania z internetu nie zapominajmy o filtrowaniu spamu oraz o zainstalowaniu modułu antyphishingowego. Jeśli sami w porę się nie zorientujemy, to on będzie odpowiadał za ostrzeżenie nas przed podawaniem ważnych danych: numeru PIN, kodu CVV lub numeru karty kredytowej.

Złote zasady, które mogą Cię ochronić przed phishingiem

Zakupy w sieci stały się bardzo powszechne. Większość transakcji, takie jak płatności za rachunki także dokonujemy przez internet. Rezygnujemy z faktur papierowych na rzecz tych elektronicznych. Cyberoszuści mają naprawdę duże pole do manewru i poszukiwania luk. Banki, seriwsy na których robimy zakupy starają się edukować i nawołują do uważnego czytania maili, smsów, które mają pochodzi np. z banku. Jednak stosując się do kilku żelaznych zasad jesteśmy w stanie uchronić się przed zagrożeniami.

  1. Logując się na strony banku, pocztę, robiąc zakupy w sieci staraj się nie korzystać z publicznego wifi. Są to zazwyczaj sieci niezabezpieczone, co naraża Cię na niebezpieczeństwo wykradnięcia danych.
  2. Kupuj na sprawdzonych stronach czy serwisach aukcyjnych. Pozwoli Ci to mieć pewność, że zakupiony przez Ciebie towar trafi do Twoich rąk, a cała transakcja będzie bezpieczna.
  3. Sprawdzaj czy dana transakcja odbywa się za pośrednictwem szyfrowanego połączenia. Adres strony powinien zaczynać się od https:// i dodatkowo zawierać ikonkę kluczyka lub kłódki.
  4. Nigdy nie podawaj PINU, danych do logowania itp. sprzedawcy lub przedstawicielowi banku.
  5. Ustal limity dla dziennych wypłat i transakcji. Może być to pomocne przy próbie wyłudzenia.
  6. Nie loguj się na stronę banku z wykorzystaniem linku, jaki otrzymasz w mailu czy SMSie lub przez portale społecznościowe.
  7. Czytaj bardzo uważnie i zachowuj korespondencję elektroniczną otrzymywaną z banku itp. Jeśli jakaś wiadomość budzi Twoje wątpliwości, zgłoś to. Kiedy jesteś pewny, że nie masz kwoty do dopłaty, skontaktuj się operatorem czy dostawcą w celu wyjaśnienia.
  8. Nie otwieraj wiadomości e-mail i nie korzystaj z wysyłanych linków od nadawcy, którego nie znasz.
  9. Korzystaj z bezpiecznych i sprawdzonych urządzeń przy wykonywaniu wszelkich płatności. Dbaj o zabezpieczenia i aktualizuj oprogramowanie antywirusowe.
  10. Zaglądaj na strony banku, czytaj wiadomości, które znajdziesz w serwisie transakcyjnym. Tan zazwyczaj otrzymujesz informacje o najnowszych zagrożeniach.
  11. Na istotnych dla nas rachunkach bankowych ustawmy dwuetapową weryfikację. Tym sposobem przestępca nie otrzyma dostępu do naszych finansów, ponieważ logowanie do konta będzie trzeba dodatkowo potwierdzić np. wprowadzając kod SMS, wysłany na podany numer telefonu.

Stosując się do zasad, możemy uniknąć wielu zagrożeń, a nasze pieniądze i dane będą bezpieczne.

Zostaw komentarz

Twój adres e-mail nie bedzie opublikowany. *wymagane pola są zaznaczone

Podobne artykuły