Phishing  to rodzaj oszustwa polegającego na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia informacji, zainfekowania sprzętu złośliwym oprogramowaniem lub nakłonienia ofiary do określonych działań.

Do ataków typu phishing wykorzystywane są wszystkie formy komunikacji elektronicznej:

• wiadomości e-mail
• SMS-y
• wiadomości na komunikatorach (np. WhatsApp)
• wiadomości prywatne w serwisach społecznościowych (np. na Instagramie)
• rozmowy telefoniczne

Phishing — w przeciwieństwie do innych ataków komputerowych, które wykorzystują błędy, luki czy słabości w oprogramowaniu i jego konfiguracji — skupia się na wykorzystaniu metod takich jak socjotechnika lub inżynieria społeczna. Celem ataku phishingowego nie jest sprzęt czy oprogramowanie, ale sam człowiek.

W przypadku phishingu atakujący korzysta najczęściej z autorytetu osoby lub instytucji pod którą się podszywa, kontaktując się np. jako przełożony, kolega z pracy, bank, dostawca prądu, urząd, firma przewozowa lub znany sklep.

Treść wiadomości najczęściej ma za zadanie wzbudzić w odbiorcy silne emocje takie jak strach czy wymusić pośpiech, aby skłonić ofiarę do szybkiego działania, którego oczekuje atakujący.

Działaniami, do których ma skłaniać wiadomość phishingowa są często na przykład:

• podanie danych logowania do banku na spreparowanej stronie WWW
• podanie danych karty płatniczej / kredytowej
• wpisanie loginu i hasła logowania do skrzynki pocztowej czy innego serwisu internetowego po kliknięciu w link z wiadomości
• podanie danych osobowych (np. PESEL, nazwisko panieńskie matki, data urodzenia, miejsce urodzenia, numer dowodu) potrzebnych do uzyskania dostępu do niektórych kont lub np. zaciągnięcia kredytu
• pobranie pliku ze złośliwym oprogramowaniem (np. faktury, wezwania do zapłaty, pisma od kancelarii prawnej)
• instalacja złośliwego oprogramowania (np. ransomware, trojana, wirusa)

Phishing — przykłady:

- Phishing e-mail

Najpopularniejszym rodzajem phishingu jest ten mailowy. Założę się, że Twoja skrzynka (a szczególnie folder SPAM) pełna jest tego typu dziwnych wiadomości wysyłanych masowo — od informacji o zablokowanym koncie w jakimś serwisie po rzekome faktury do pilnego opłacenia. Częstym motywem phishingowych wiadomości e-mail są też faktury i płatności z nimi powiązane — oczywiście z niebezpiecznymi załącznikami lub linkami w treści.

- SMS phishing (Smishing)

Phishing przez wiadomości SMS nazywany jest smishingiem. W dobie zalewu spamu i coraz lepszych filtrów antyspamowych w skrzynkach e-mail, część phisherów przerzuciła się na wysyłkę wiadomości SMS — te w przeciwieństwie do e-maili odczytuje praktycznie każdy. A dodatkowo w prosty sposób można wysyłać wiadomości z dowolną nazwą nadawcy SMS-a.

Może to być np. popularny SMS z dopłatą brakującej niewielkiej kwoty za fakturę operatora prądu, gazu, wody, internetu, telefonii itd.

- Phishing telefoniczny (Vishing)

Mniej popularnym rodzajem phishingu jest phishing przez telefon (czyli: Vishing). Atak ten wymaga trochę więcej zachodu ze strony przestępców, bo w końcu po drugiej stronie słuchawki musi być żywy człowiek, który do Ciebie dzwoni. Niestety skuteczność takich ataków jest duża. Tym bardziej że tak jak w poprzednim przypadku, tak i tutaj phisherzy mogą dzwonić z dowolnie wybranego przez siebie numeru (np. numeru infolinii banku), który wyświetli się na twoim telefonie.

Przykład takiego ataku (phishing bankowy) w formie telefonu od fałszywego pracownika banku.

Jak rozpoznać phishing?

Dobrze przygotowany phishing naprawdę trudno rozpoznać. Jednak większość masowych ataków ma kilka cech, na które warto zwrócić szczególną uwagę:

• wiadomości często są pełne błędów językowych, gramatycznych i nie są pisane poprawną polszczyzną
• zazwyczaj wiadomości zmuszają do pilnego i szybkiego działania i grożą nieprzyjemnymi konsekwencjami (konto zablokowane, weryfikacja, usunięty fanpage, wyłącznie prądu itd.)
• mogą zawierać dziwny numer, adres lub nazwę nadawcy (adres nadawcy e-maila, nazwa nadawcy SMS-a, nazwa konta na serwisie społecznościowym czy komunikatorze)
• zawierają linka, który nie jest w domenie firmy czy instytucji (np. allego-platnosci24[.]pl zamiast allegro.pl)
• zawierają załączniki w niestandardowym formacie jak na to, co powinno tam być (np. .zip, ,.xls, .xlsx, .rar, .iso czy .doc zamiast zwykłej faktury w PDF)

Jak się bronić przez phishingiem?

1. Weryfikuj nadawcę wiadomości!

• Domena nadawcy e-maila wygląda inaczej niż zwykle? Nie klikaj i nie otwieraj załączników.
• Nadawca SMS-a wygląda podejrzanie? Nic nie rób i w nic nie klikaj.
• Wiadomość na komunikatorze czy w social media z konta, z którym nie korespondowałeś? Nie odpisuj.

2. Nie klikaj w linki z niespodziewanych wiadomości. Wejdź na stronę WWW, wpisując adres ręcznie.

• Konto zostało zablokowane? Nie klikaj.
• Profil w serwisie społecznościowym wymaga weryfikacji? Nie klikaj.
• Ze względów bezpieczeństwa trzeba ustalić nowe hasło? Nie klikaj.
• Trzeba autoryzować płatność? Nie klikaj.

A jeżeli musisz już kliknąć w link, bo innej opcji nie ma, to zweryfikuj czy adres strony WWW jest prawidłowy:

• czy jest to prawidłowa domena (np. allego.pl, a nie „allegro-payment.md”)
• czy nie ma literówek i zmienionych znaków (np. „I” miast „l”, „rn” zamiast „m”)
• czy w adresie strony nie ma „dziwnych ogonków” z innych alfabetów (np. „ķ” zamiast „k”)

3. Weryfikuj informację innym kanałem kontaktowym (lub samodzielnie inicjując kontakt)

• Ktoś prosi w mailu o przelew na nowy numer konta? Zadzwoń lub napisz SMS z prośbą o potwierdzenie.
• Firma czy bank dzwoni i pyta Twoje dane? Oddzwoń samodzielnie, wybierając numer ze strony WWW lub napisz na czacie na stronie firmy.
• Dostajesz SMS z informacją o konieczności zapłaty? Zadzwoń (na numer ze strony WWW wpisanej ręcznie) i zapytaj o szczegóły.
• Dzwoni policjant, prokurator czy śledczy i ma jakiś prośbę? Zadzwoń na komisariat czy do prokuratury i zweryfikuj czy taka osoba tam pracuje + poproś o połączenie z nią.

4. Nie pobieraj i nie otwieraj załączników do maili, których się nie spodziewasz.

• Nieoczekiwana faktura do zapłaty? Jeśli znasz tę firmę, to zweryfikuj inną drogą. Nie znasz — wiadomość do kosza.
• Wezwanie do zapłaty? Jeśli wszystko płacisz na czas — wiadomość do kosza.
• Ważne wezwanie czy pismo w załączniku? Jeśli się go nie spodziewasz, to do kosza. Jeżeli prawdziwe, to przyjdzie pewnie też pocztą tradycyjną.