Phishing. Reaguj!
Phishing to rodzaj oszustwa polegającego na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia informacji, zainfekowania sprzętu złośliwym oprogramowaniem lub nakłonienia ofiary do określonych działań.
Do ataków typu phishing wykorzystywane są wszystkie formy komunikacji elektronicznej:
- wiadomości e-mail
- SMS-y
- wiadomości na komunikatorach (np. WhatsApp)
- wiadomości prywatne w serwisach społecznościowych (np. na Instagramie)
- rozmowy telefoniczne
Phishing — w przeciwieństwie do innych ataków komputerowych, które wykorzystują błędy, luki czy słabości w oprogramowaniu i jego konfiguracji — skupia się na wykorzystaniu metod takich jak socjotechnika lub inżynieria społeczna. Celem ataku phishingowego nie jest sprzęt czy oprogramowanie, ale sam człowiek.
W przypadku phishingu atakujący korzysta najczęściej z autorytetu osoby lub instytucji pod którą się podszywa, kontaktując się np. jako przełożony, kolega z pracy, bank, dostawca prądu, urząd, firma przewozowa lub znany sklep.
Treść wiadomości najczęściej ma za zadanie wzbudzić w odbiorcy silne emocje takie jak strach czy wymusić pośpiech, aby skłonić ofiarę do szybkiego działania, którego oczekuje atakujący.
Działaniami, do których ma skłaniać wiadomość phishingowa są często na przykład:
- podanie danych logowania do banku na spreparowanej stronie WWW
- podanie danych karty płatniczej / kredytowej
- wpisanie loginu i hasła logowania do skrzynki pocztowej czy innego serwisu internetowego po kliknięciu w link z wiadomości
- podanie danych osobowych (np. PESEL, nazwisko panieńskie matki, data urodzenia, miejsce urodzenia, numer dowodu) potrzebnych do uzyskania dostępu do niektórych kont lub np. zaciągnięcia kredytu
- pobranie pliku ze złośliwym oprogramowaniem (np. faktury, wezwania do zapłaty, pisma od kancelarii prawnej)
- instalacja złośliwego oprogramowania (np. ransomware, trojana, wirusa)
Phishing — przykłady:
- Phishing e-mail
Najpopularniejszym rodzajem phishingu jest ten mailowy. Założę się, że Twoja skrzynka (a szczególnie folder SPAM) pełna jest tego typu dziwnych wiadomości wysyłanych masowo — od informacji o zablokowanym koncie w jakimś serwisie po rzekome faktury do pilnego opłacenia. Częstym motywem phishingowych wiadomości e-mail są też faktury i płatności z nimi powiązane — oczywiście z niebezpiecznymi załącznikami lub linkami w treści.
- SMS phishing (Smishing)
Phishing przez wiadomości SMS nazywany jest smishingiem. W dobie zalewu spamu i coraz lepszych filtrów antyspamowych w skrzynkach e-mail, część phisherów przerzuciła się na wysyłkę wiadomości SMS — te w przeciwieństwie do e-maili odczytuje praktycznie każdy. A dodatkowo w prosty sposób można wysyłać wiadomości z dowolną nazwą nadawcy SMS-a.
Może to być np. popularny SMS z dopłatą brakującej niewielkiej kwoty za fakturę operatora prądu, gazu, wody, internetu, telefonii itd.
- Phishing telefoniczny (Vishing)
Mniej popularnym rodzajem phishingu jest phishing przez telefon (czyli: Vishing). Atak ten wymaga trochę więcej zachodu ze strony przestępców, bo w końcu po drugiej stronie słuchawki musi być żywy człowiek, który do Ciebie dzwoni. Niestety skuteczność takich ataków jest duża. Tym bardziej że tak jak w poprzednim przypadku, tak i tutaj phisherzy mogą dzwonić z dowolnie wybranego przez siebie numeru (np. numeru infolinii banku), który wyświetli się na twoim telefonie.
Przykład takiego ataku (phishing bankowy) w formie telefonu od fałszywego pracownika banku.
Jak rozpoznać phishing?
Dobrze przygotowany phishing naprawdę trudno rozpoznać. Jednak większość masowych ataków ma kilka cech, na które warto zwrócić szczególną uwagę:
- wiadomości często są pełne błędów językowych, gramatycznych i nie są pisane poprawną polszczyzną
- zazwyczaj wiadomości zmuszają do pilnego i szybkiego działania i grożą nieprzyjemnymi konsekwencjami (konto zablokowane, weryfikacja, usunięty fanpage, wyłącznie prądu itd.)
- mogą zawierać dziwny numer, adres lub nazwę nadawcy (adres nadawcy e-maila, nazwa nadawcy SMS-a, nazwa konta na serwisie społecznościowym czy komunikatorze)
- zawierają linka, który nie jest w domenie firmy czy instytucji (np. allego-platnosci24[.]pl zamiast allegro.pl)
- zawierają załączniki w niestandardowym formacie jak na to, co powinno tam być (np. .zip, ,.xls, .xlsx, .rar, .iso czy .doc zamiast zwykłej faktury w PDF)
Jak się bronić przez phishingiem?
1. Weryfikuj nadawcę wiadomości!
- Domena nadawcy e-maila wygląda inaczej niż zwykle? Nie klikaj i nie otwieraj załączników.
- Nadawca SMS-a wygląda podejrzanie? Nic nie rób i w nic nie klikaj.
- Wiadomość na komunikatorze czy w social media z konta, z którym nie korespondowałeś? Nie odpisuj.
2. Nie klikaj w linki z niespodziewanych wiadomości. Wejdź na stronę WWW, wpisując adres ręcznie.
- Konto zostało zablokowane? Nie klikaj.
- Profil w serwisie społecznościowym wymaga weryfikacji? Nie klikaj.
- Ze względów bezpieczeństwa trzeba ustalić nowe hasło? Nie klikaj.
- Trzeba autoryzować płatność? Nie klikaj.
A jeżeli musisz już kliknąć w link, bo innej opcji nie ma, to zweryfikuj czy adres strony WWW jest prawidłowy:
- czy jest to prawidłowa domena (np. allego.pl, a nie „allegro-payment.md”)
- czy nie ma literówek i zmienionych znaków (np. „I” miast „l”, „rn” zamiast „m”)
- czy w adresie strony nie ma „dziwnych ogonków” z innych alfabetów (np. „ķ” zamiast „k”)
3. Weryfikuj informację innym kanałem kontaktowym (lub samodzielnie inicjując kontakt)
- Ktoś prosi w mailu o przelew na nowy numer konta? Zadzwoń lub napisz SMS z prośbą o potwierdzenie.
- Firma czy bank dzwoni i pyta Twoje dane? Oddzwoń samodzielnie, wybierając numer ze strony WWW lub napisz na czacie na stronie firmy.
- Dostajesz SMS z informacją o konieczności zapłaty? Zadzwoń (na numer ze strony WWW wpisanej ręcznie) i zapytaj o szczegóły.
- Dzwoni policjant, prokurator czy śledczy i ma jakiś prośbę? Zadzwoń na komisariat czy do prokuratury i zweryfikuj czy taka osoba tam pracuje + poproś o połączenie z nią.
4. Nie pobieraj i nie otwieraj załączników do maili, których się nie spodziewasz.
- Nieoczekiwana faktura do zapłaty? Jeśli znasz tę firmę, to zweryfikuj inną drogą. Nie znasz — wiadomość do kosza.
- Wezwanie do zapłaty? Jeśli wszystko płacisz na czas — wiadomość do kosza.
- Ważne wezwanie czy pismo w załączniku? Jeśli się go nie spodziewasz, to do kosza. Jeżeli prawdziwe, to przyjdzie pewnie też pocztą tradycyjną.
bardzo ważne
Więcej wiem, jestem bezpieczniejszy.
Ważne. Dobrze wiedzieć.