Czym jest phishing? Jak można się obronić przed oszustwem/atakiem phishingowym?

Niestety phishing to jedna z metod oszustw, które zyskują ostatnimi czasy na popularności. Przestępcy wykorzystują możliwości stwarzane przez nowe technologie do tego, by wyłudzać od swoich ofiar wrażliwe dane, a często także pieniądze.

Są to działania, o których w dzisiejszych czasach słyszała większość z nas. Chodzi tu m.in. o oszustów podszywających się pod słynnych już wnuczków, ale także banki czy firmy telekomunikacyjne. Jak rozpoznać phishing i bronić się przed tym zjawiskiem? Wszystkiego dowiesz się z poniższego artykułu.

Czym jest phishing?

Phishing to metoda oszustwa, która polega na podszywaniu się pod znaną ofierze instytucję lub osobę po to, by nakłonić ją do podjęcia określonych działań. Może chodzić o wyłudzenie pieniędzy czy informacji lub zainfekowanie złośliwym oprogramowaniem urządzenia, z którego ktoś korzysta.

Pamiętaj więc, by zachować ostrożność wobec podejrzanych wiadomości e-mail czy SMS-ów oraz telefonów. Nie klikaj w żaden link ani załącznik, jeżeli nie masz pewności co do jego autentyczności. Nie dzwoń też na podany numer telefonu bez jego wcześniejszej weryfikacji.

Przykłady phishingu – oszustwa phishingowe w wiadomości e-mail, w SMS, podejrzane załączniki i linki

Phishing może przybierać różne formy. Niestety, kreatywność cyberprzestępców jest pod tym względem bardzo duża. Świadomość stosowanych przez nich metod może Ci jednak pomóc skutecznie się przed nimi bronić. Ataki typu phishing to między innymi:

• E-mail phishingowy. Jak to działa? Możliwości jest oczywiście wiele, posłużmy się jednak przykładem. Osoba podszywająca się pod bank, urząd skarbowy czy inną instytucję wysyła wiadomość e-mail, w której informuje o podejrzanych aktywnościach na koncie lub karcie płatniczej. Mail zawiera adres strony, na której należy wprowadzić login i hasło. Jeśli ofiara kliknie w link i poda swoje dane logowania, oszuści będą w stanie włamać się na jej konto i dokonać nieautoryzowanych transakcji.
• SMS phishingowy (Smishing): Cyberprzestępca wysyła SMS-a, w którym informuje o nieprawidłowościach związanych z usługą. Może podszywać się pod np. firmę kurierską czy operatora telekomunikacyjnego. Wiadomość zawiera odnośnik do fałszywej witryny internetowej lub numer telefonu. Kliknięcie w link i wpisanie swoich danych lub zadzwonienie na podany numer spowoduje, że oszuści uzyskają dostęp do Twojego konta bankowego czy smartfona.
• Phishing telefoniczny (Vishing): Osoba podszywająca się pod pracownika banku, policji, urzędu skarbowego lub innej instytucji dzwoni i próbuje przekonać potencjalną ofiarę do podania danych. Oszuści wykorzystują w tym celu różne techniki nacisku emocjonalnego. Mogą również podszyć się pod znajome osoby i poprosić o pomoc w różnych sprawach.

Czym jest spear phishing? Jak sprawdzić, czy masz do czynienia z fałszywą wiadomością?

Spear phishing polega na podszywaniu się pod konkretne osoby lub instytucje, którym potencjalna ofiara ufa i regularnie otrzymuje od nich wiadomości. To metoda, która często okazuje się bardziej "skuteczna" niż zwykły phishing. Dzieje się tak ze względu na to, że cyberprzestępcy wykonują dokładną pracę wywiadowczą, co pozwala im dostosować wiadomość do potrzeb i zainteresowań ofiary. Można się jednak przed tym bronić.

Aby sprawdzić, czy masz do czynienia z fałszywą wiadomością spear phishingową, zachowaj ostrożność i krytyczne myślenie. Oto kilka wskazówek, jak to zrobić:

• Sprawdź adres nadawcy i adres URL strony internetowej. Czy są one poprawne? Czy nie zawierają błędów ortograficznych lub innych nieprawidłowości? Czy nie wyglądają na podejrzane? Czy pochodzą z nieznanego źródła?
• Przeanalizuj treść wiadomości. Czy jest ona spójna i logiczna? Czy zawiera błędy językowe lub gramatyczne? Czy używa emocjonalnych lub groźnych słów? Czy prosi o podanie danych osobowych lub finansowych?
• Dokładnie przyjrzyj się załącznikom lub linkom. Czy są one bezpieczne i niezainfekowane? Czy mają odpowiednią nazwę pliku lub adres URL? Czy załączniki korzystają ze standardowych formatów - jak np. pdf?
• Zweryfikuj inne źródła informacji. Czy wiadomość jest zgodna z tym, co wiesz o danej instytucji i jej działalności? Czy istnieją dowody na jej autentyczność?

Jak reagować w przypadku phishingu? Gdzie można go zgłosić?

Jeśli podejrzewasz, że zostałeś ofiarą phishingu lub otrzymałeś podejrzanego maila lub SMS-a, podejmij następujące kroki:

• Nie klikaj w żaden link ani załącznik. Może to spowodować zainfekowanie Twojego urządzenia złośliwym oprogramowaniem lub przekierować Cię na fałszywą stronę internetową.
• Skontaktuj się ze swoim bankiem lub inną instytucją, której dotyczy wiadomość, i poinformuj ich o próbie oszustwa. W razie potrzeby zmień swoje hasła i zablokuj swoje karty płatnicze.
• Zgłoś sprawę na policję lub do prokuratury. Możesz to zrobić osobiście, telefonicznie lub przez Internet. Przygotuj dowody na próbę oszustwa, takie jak treść wiadomości, numer telefonu, adres e-mail lub adres URL podejrzanej strony.
• Zgłoś podejrzaną wiadomość lub stronę do zespołu reagowania na incydenty komputerowe CERT Polska. Możesz to zrobić przez internetowy formularz na stronie incydent.cert.pl. Dzięki temu pomożesz ostrzec innych użytkowników przed zagrożeniem i zablokować dostęp do fałszywych stron.

Pamiętaj, że phishing może mieć poważne konsekwencje prawne i finansowe. Zgłaszając go, chronisz nie tylko siebie, ale także pomagasz w walce z cyberprzestępczością.

Jakie kary grożą za stosowanie phishingu?

Phishing jest ścigany w ramach artykułu 287 Kodeksu karnego (jako oszustwo komputerowe). Zgodnie z przepisami w Polsce za tego typu przestępstwo grozi od 3 miesięcy do 5 lat pozbawienia wolności.

Jakich konsekwencji może doświadczyć ofiara phishingu?

Ofiara tego przestępstwa może doświadczyć różnych przykrych skutków – w zależności od tego, jaki cel przyświecał oszustom. Niektóre z możliwych konsekwencji to:

• Utrata pieniędzy z konta bankowego lub karty płatniczej.
• Utrata danych osobowych, które można wykorzystać do kradzieży tożsamości, oszustw kredytowych, szantażu czy innych przestępstw.
• Utrata własności intelektualnej – dokumentów, projektów, patentów, które mogą być wykorzystane do szpiegostwa przemysłowego, sabotażu, kopiowania lub sprzedaży konkurencji.
• Utrata zaufania i reputacji, jeśli ofiara została oszukana przez osobę lub instytucję, którą znała lub z którą współpracowała, lub jeśli jej dane zostały wykorzystane do oszukania innych osób.

Utrata prywatności i naruszenie bezpieczeństwa, jeśli doszło do zainfekowania złośliwym oprogramowaniem. Może ono śledzić czyją aktywność w sieci, a także pozwala uzyskać dostęp do kamery, mikrofonu czy różnego rodzaju plików lub nawet umożliwia zdalną obsługę danego urządzenia.