11 Września 2023

Phishing – co to takiego i jak się przed nim chronić?

Udostępnij:
Odbierasz wiadomość e-mail, w której przedstawiciel banku prosi cię o zaakceptowanie nowej polityki prywatności? Aby to zrobić, musisz kliknąć w link. To tylko jeden z możliwych scenariuszy phishingu, czyli internetowego oszustwa, które polega na tym, że cyberprzestępcy podszywają się pod powszechnie znane instytucje, takie jak banki, dostawcy energii elektrycznej, portale aukcyjne i sprzedażowe czy firmy kurierskie. Celem tych zabiegów jest pozyskanie wrażliwych danych, które dają dostęp np. do konta bankowego.

Internet to narzędzie, którym posługujemy się na co dzień. Wydaje się, że rośnie świadomość zagrożeń, jakie czyhają w sieci, jednak cyberprzestępcy wciąż opracowują nowe metody działania. Na przestrzeni ostatnich lat wzrosła liczba ataków phishingowych. Według danych zebranych przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego w 2021 r. liczba tego rodzaju incydentów wynosiła 22,5 tys., a rok później zgłoszono ponad 25,5 tys. przypadków.

Phishing – co to takiego?

Phishing to jedna z najczęściej spotykanych obecnie metod oszustwa w sieci. Cyberprzestępcy podszywają się pod wiarygodną instytucję lub osobę – może to być bank, firma kurierska, portal aukcyjny, a nawet Twój znajomy – aby wykraść wrażliwe dane i wykorzystać je do swoich celów. Wysyłają wiarygodnie brzmiące e-maile, SMS-y lub wiadomości na komunikatorach z prośbą o wykonanie określonej czynności, którą jest najczęściej kliknięcie w link. Gdy ofiara wykona polecenie, oszust wejdzie w posiadanie ważnych informacji, np. danych dostępowych do konta w banku lub hasła do poczty elektronicznej. Dzięki temu może np. pozbawić Cię oszczędności lub włamać się na Twoje konto e-mail i wysyłać fałszywe wiadomości w Twoim imieniu.

Samo słowo „phishing” można przetłumaczyć jako „password harvesting fishing”, czyli „łowienie haseł”. Pod względem brzmienia termin ten wyraźnie nawiązuje do angielskiego czasownika „fishing”, co oznacza łowienie ryb. Mimo że ataki phishingu nasiliły się w ostatnich latach, nie jest on zjawiskiem nowym. Pierwszy incydent zarejestrowano w połowie lat 90. XX w., kiedy to cyberprzestępcy obrali sobie za cel dostęp do kont w serwisie America Online (AOL) – jednego z głównych dostawców usług internetowych w USA w tamtym okresie. Aby zrealizować swoje zamierzenie, podawali się za członków zespołu AOL i wysyłali wiadomości do użytkowników z prośbą o zweryfikowanie konta. Osoby, które padły ofiarą oszustwa, podawały swoje dane dostępowe, a napastnicy wykorzystywali ich konta np. do rozsyłania spamu.

W przeciwieństwie do technik hakerskich, których celem jest sprzęt (komputer, laptop, smartfon) i jego oprogramowanie, phishing to atak na osobę. Cyberprzestępcy odwołują się do metod socjotechnicznych i bazują na emocjach oraz stanach człowieka, do których należą m.in.:
  • strach – gdy dostawca energii elektrycznej wysyła ponaglenie do zapłaty, człowiek działa pod wpływem strachu;
  • pośpiech – gdy bank informuje klienta, że upływa termin aktualizacji danych, zaczyna on działać w pośpiechu;
  • zaufanie – cybeprzestępcy wykorzystują fakt, że ludzie z reguły ufają autorytetom i nie przechodzą obojętnie obok wiadomości od instytucji takich jak bank czy urząd pocztowy;
  • współczucie i chęć pomocy – najbardziej wyrafinowane formy phishingu to podszywanie się pod znajomą osobę i prośba o pomoc, czyli m.in. kliknięcie w podejrzany link.

Phishing – przykłady

Aby wyłudzić dane osobowe, cyberprzestępcy korzystają z takich kanałów komunikacji jak e-mail, SMS, komunikator internetowy (Whatsapp, Messenger), wiadomości prywatne w mediach społecznościowych czy rozmowy telefoniczne. Sztandarowym przykładem ataków phishingowych są SMS-y lub fałszywe maile od banków lub dostawców prądu, w których znajduje się prośba o kliknięcie w przesłany link w celu potwierdzenia danych, akceptacji nowego regulaminu czy zapłaty brakującej należności. Inne przykłady komunikatów, pod które podszywają się oszuści, to:
  • wiadomość e-mail od portalu aukcyjnego lub platformy sprzedażowej (np. Allegro, OLX) z informacją o zmianie regulaminu i prośbą o jego akceptację albo informacją o zawieszeniu konta. Cyberprzestępcy posługują się prawdziwym logo i odwołują się do rzeczywiście istniejących usług, aby zdobyć zaufanie swojej ofiary; w obu przypadkach w wiadomości zwykle pojawia się link, który przenosi do strony z pozoru podobnej do tej prawdziwej – ofiara po podaniu danych logowania traci dostęp do konta, ponieważ przejmują je cyberprzestępcy;
  • wiadomość e-mail od administratora mediów społecznościowych (np. Facebook, Instagram) z informacją o zmianie polityki prywatności. Oszuści odwołują się tutaj do często poruszanego tematu, który ma duże znaczenie dla użytkownika social mediów; mechanizm działania jest podobny jak w przypadku platform sprzedażowych;
  • wiadomość e-mail lub SMS od sieci sklepów, w której znajduje się informacja o wyjątkowej promocji lub ekskluzywnej puli bonów podarunkowych do rozdania. Aby je otrzymać, należy kliknąć w link i uzupełnić formularz z danymi osobowymi;
  • informacja o wygasającym terminie ubezpieczenia samochodu z linkiem do specjalnie przygotowanych ofert polis;
  • wiadomość SMS lub e-mail o wygranej na loterii – to forma ataku, którą większość ludzi potrafi zidentyfikować jako oszustwo, jednak cyberprzestępcy wciąż liczą na to, że marzenia o bogactwie lub nadzieja na poprawę statusu materialnego okażą się silniejsze niż zdrowy rozsądek;
  • telefon z banku z informacją, że ktoś próbował pobrać pieniądze z konta. Osoba, która podszywa się pod pracownika infolinii, zazwyczaj brzmi bardzo wiarygodnie i odwołuje się do praktyk stosowanych przez dany bank. Celem takiej rozmowy jest przeważnie uzyskanie danych dostępowych do konta użytkownika;
  • wiadomość od znajomej osoby z prośbą o wsparcie internetowej zbiórki, szybki przelew lub zachętą do obejrzenia galerii zdjęć, która znajduje się pod linkiem. Takie incydenty wymagają wcześniejszego zhakowania czyjegoś konta (nadawcy).

Pamiętaj, że wymienione sytuacje nie wyczerpują wszystkich możliwości działania cyberprzestępców. Phishing przybiera coraz to nowe formy i odwołuje się do bardziej wyrafinowanych podstępów.

Phishing – gdzie zgłosić?

Ataki phishingowe są często nagłaśniane przez media, aby ostrzec potencjalne ofiary przed próbami wyłudzenia danych. Każdy tego rodzaju incydent, tj. otrzymanie wiadomości z podejrzanym linkiem, należy zgłaszać zespołowi reagowania na incydenty komputerowe CERT Polska. W tym celu wystarczy wypełnić krótki formularz online i dołączyć do niego podejrzaną wiadomość.

Jeśli padłeś ofiarą oszustwa, złóż zawiadomienie na policji lub w prokuraturze. Udaj się na najbliższy komisariat i zgłoś sprawę oficerowi dyżurnemu. Pamiętaj, aby przedstawić mu wszystkie dowody, które mogą mieć znaczenie dla sprawy, np. otrzymane wiadomości e-mail. Jeżeli z Twojego konta zniknęły pieniądze, zgłoś sprawę na policję, a oprócz tego złóż reklamację w banku, używając w tym celu stosownego formularza.

Jak rozpoznać wiadomości, które mają na celu wyłudzenie wrażliwych danych?

W wiadomościach od cyberprzestępców zazwyczaj spotkasz błędy ortograficzne, gramatyczne oraz interpunkcyjne. Często brakuje też polskich znaków, a sam e-mail nadawcy – mimo że na pierwszy rzut oka wygląda wiarygodnie – jest skonstruowany w dość nietypowy sposób: jest długi i może zawierać ciąg przypadkowych znaków. Linki, które znajdują się w wiadomościach rozsyłanych przez oszustów, również mają nietypowy wygląd: najczęściej mają skróconą formę i nawet na pierwszy rzut oka nie wyglądają jak wiarygodny adres strony internetowej. W SMS-ach i e-mailach, które mają na celu wyłudzenia danych, często znajdują się perswazyjne komunikaty takie jak: „uzupełnij formularz w ciągu 24 godzin”. Pamiętaj, że inne instytucje publiczne nie proszą o podanie danych osobowych za pośrednictwem wiadomości e-mail.

Jak chronić się przed phishingiem?

Aby uchronić się przed phishingiem:
  1. Zanim odpowiesz na wiadomość od instytucji, skontaktuj się z jej przedstawicielem (np. zadzwoń na infolinię) i zapytaj, czy rzeczywiście informacje o określonej treści były wysyłane.
  2. Zwracaj uwagę na wygląd adresu e-mail nadawcy.
  3. Nie klikaj w podejrzane linki i oznaczaj podejrzane wiadomości jako SPAM.
  4. Ignoruj wiadomości, w których znajdują się perswazyjne komunikaty, np. „Zapłać teraz”, „Kliknij natychmiast.
  5. Nie przesyłaj znajomemu żadnych pieniędzy wyłącznie na podstawie prośby, którą kieruje do Ciebie za pośrednictwem komunikatora internetowego. Zadzwoń do niego i upewnij się, czy rzeczywiście potrzebuje pomocy.
  6. Nie ufaj wiadomościom, w których obiecywane są Ci pieniądze, vouchery lub innego rodzaju korzyści.
Gdy dostaniesz niepokojącą wiadomość, w pierwszej kolejności opanuj emocje i zastanów się, czy może ona dotyczyć Ciebie – czy rzeczywiście czekasz na przesyłkę pocztową lub czy rachunek za prąd faktycznie mógł zostać źle uregulowany.

Jeśli padłeś ofiarą cyberprzestępców lub obawiasz się, że może się to stać, rozważ zakup jednego z pakietów Chroń PESEL. Dzięki temu będziesz w stanie szybko zareagować, gdy ktoś zechce zaciągnąć pożyczkę lub kredyt na Twoje dane albo założyć na nie firmę. W ten sposób będziesz w stanie zmniejszyć ryzyko przykrych konsekwencji prawnych i finansowych działania cyberprzestępców. Możesz też zdecydować się na pakiet usług obejmujący monitoring Twoich danych w internecie.

Źródła
1. https://cert.pl/uploads/docs/Raport_CP_2021.pdf#page=12.
2. https://www.gov.pl/web/baza-wiedzy/krajobraz-bezpieczenstwa-polskiego-internetu-w-2022-roku--raport-roczny-cert-polska.


Niniejszy materiał ma charakter wyłącznie reklamowy/marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).
Wróć
Dostępne metody płatności:
CHRONPESEL.PL
konsument@chronpesel.pl
ul. Danuty Siedzikówny 12
51-214 Wrocław
Informacja o produkcie i obsługa klienta:
71 773 78 00*
(infolinia czynna pon.-pt. 7:30–18:00)

Numer alarmowy:
71 785 03 95*
(czynny 24 h/dobę)
*Koszt połączenia wg taryfy operatora
Kontakt dla mediów:
media@chronpesel.pl
71 773 65 41*
O nasRegulaminy i OWUPolityka prywatnościObowiązek informacyjnyPlatforma ODR
Partnerzy CHP i nasze marki:Serwis oferowany przez:Jesteśmy uczestnikiem programu:
Partnerzy CHP i nasze marki:
logo-krd
KRD BIG S.A. certyfikowane ISO 270001
logo-rzf
logo-tue
Serwis oferowany przez:
logo-kg
Jesteśmy uczestnikiem programu:logo-rzf

W ramach usługi ChronPESEL.pl jej użytkownik otrzymuje powiadomienie, gdy ktoś zapyta o niego w bazie KRD BIG S.A. – np. na skutek złożenia wniosku o zakupy ratalne, udzielenie pożyczki lub podpisanie abonamentu telefonicznego. Usługa ChronPESEL.pl nie zapewnia całkowitej ochrony przed wyłudzeniem usługi lub pożyczki, lecz, dzięki wykorzystaniu danych pochodzących z bazy KRD BIG S.A., może znacząco zmniejszyć ryzyko wystąpienia takiej sytuacji. Usługa jest aktywna po założeniu konta zgodnie z instrukcją.

Ochrony ubezpieczeniowej udziela Towarzystwo Ubezpieczeń Europa S.A. Ochrona udzielana jest na podstawie Umowy Grupowego Ubezpieczenia. Warunki Grupowego ubezpieczenia dostępne są na stronie chronpesel.pl/Uslugi. KACZMARSKI GROUP SP. J. ul. Danuty Siedzikówny 12, 51-214 Wrocław, spółka zarejestrowana w Sądzie Rejonowym dla Wrocławia-Fabrycznej, VI Wydział Gospodarczy; KRS: 0000880153; NIP: 8952053350; wkłady wspólników 50 000 000 zł.