W ostatnich latach zespół reagowania na incydenty komputerowe CERT Polska odnotował znaczący wzrost prób związanych m.in. z phishingiem, w tym również bardziej zaawansowanych ataków typu spear phishing, które dotykają milionów osób na całym świecie. Cyberprzestępcy, wykorzystując coraz to bardziej wyrafinowane metody, mogą podszywać się pod urzędy administracji, znane marki, naszych znajomych na portalach społecznościowych, czy też każdą inną osobę lub instytucje w celu wyłudzenia poufnych danych. Liczne wiadomości e-mail i komunikaty, przygotowywane są z dbałością o szczegóły i wyglądają na autentyczne, co zwiększa ryzyko, że nawet najbardziej ostrożni użytkownicy mogą paść ofiarą oszustwa. Zarówno dane karty kredytowej, jak i loginy do używanych przez nas kont społecznościowych – żadne informacje nie są w stu procentach bezpieczne. W obliczu rosnącej liczby prób ataków, przygotowywanych przez cyberprzestępców, a które mają za zadanie „łowić” potencjalne ofiary lub konkretną osobę, ważne jest, aby każdy z nas był świadomy, jakie podjąć kroki w razie znalezienia się w takiej sytuacji.
Oszustwo internetowe typu phishing – czym jest?
Oszustwo na phishing to jedna z najczęstszych i najbardziej podstępnych metod oszustwa w internecie, która może przybrać wiele form np. blika i poczty e-mail. Wszystkie mają jeden cel – wyłudzić od Ciebie poufne informacje i jak najwięcej wrażliwych danych. Wyobraź sobie sytuację, w której otrzymujesz e-mail, który na pierwszy rzut oka wygląda jak typowy komunikat z Twojego banku. Informuje Cię on o rzekomym problemie z kontem i prosi o zalogowanie się do niego za pomocą dołączonego linku, tak aby szybko rozwiązać zaistniały problem. Klikając w link i wpisując swoje dane, nieświadomie przekazujesz je oszustom. To właśnie jest phishing – oszustwo internetowe, w którym przestępcy wykorzystują fałszywe e-maile, SMS-y, kody blik, komunikaty na portalach społecznościowych podszywając się m.in. pod znaną nam osobę, lub instytucję, w celu wyłudzenia danych osobowych, danych do logowania, numerów kart kredytowych klientów banków lub innych wrażliwych informacji.
Jak działa Phishing?
Mechanizm działania phishingu jest złożony i wyrafinowany. Cyberprzestępcy nieustannie udoskonalają swoje metody, tak aby były jak najbardziej wiarygodne. Komunikanty phishingowe są ciężkie do odróżnienia na pierwszy rzut oka od prawdziwych informacji przesyłanych przez banki, firmy kurierskie, operatorów telekomunikacyjnych czy nawet Twoich znajomych. Mogą zawierać specyficzne zapisy, które sprawiają, że treść wydaje się być skierowana bezpośrednio do Ciebie, co tylko zwiększa wiarygodność. Oszuści mogą również wykorzystywać aktualne wydarzenia, takie jak pandemia COVID-19, oferując fałszywe informacje o szczepieniach czy też zwrotach podatkowych, aby skłonić Cię do kliknięcia w zainfekowane linki lub załączniki.
Phishing nie ogranicza się tylko do e-maili. Oszuści wykorzystują również SMS-y, znane jako smishing oraz komunikatory i media społecznościowe, tak aby dotrzeć do potencjalnych ofiar. Wiadomości mogą prosić nas o potwierdzenie danych osobowych, aktualizację informacji o koncie lub nawet o przekazanie pieniędzy. Bardzo często, w ramach ataków phishingowych, oferowane są także fałszywe nagrody, zwroty pieniędzy lub inne korzyści finansowe, które mają na celu przyciągnąć uwagę i skłonić do podjęcia działań, które ostatecznie prowadzą do kradzieży danych.
Kluczowym elementem, który łączy wszystkie te metody, jest wykorzystanie inżynierii społecznej, czyli systemu manipulowania ludźmi, tak aby skłonić ich do wykonania określonych działań lub ujawnienia poufnych informacji. Oszuści stosują różnorodne techniki psychologiczne, które mają wzbudzić do nich przekonanie i wywołać poczucie zaufania lub też strachu, co skłania ofiary do działania bez większego zastanowienia. To sprawia, że phishing jest tak niebezpieczny – wykorzystywanie ludzkich emocji i odruchów, aby osiągnąć swoje przestępcze cele.
Jakie środki ostrożności zachować, by nie paść ofiarą phishingu?
Pierwsza zasada to zawsze mieć się na baczności. Cyberprzestępcy są sprytni i przebiegli, co sprawia, że rozsyłane przez nich e-maile lub SMS-y mogą wyglądać bardzo przekonująco. Zanim klikniesz jakikolwiek link lub odpowiesz na wiadomość, zastanów się dwa razy. Jeśli treść powiadomienia prosi o Twoje dane logowania, numer karty kredytowej lub inne poufne informacje, to prawdopodobnie jest to próba phishingu. Banki i instytucje finansowe nigdy nie proszą o takie informacje przez pocztę e-mail lub SMS.
Zawsze sprawdzaj adres e-mail nadawcy. Czy wygląda na oficjalny? Czy domena w adresie e-mail zgadza się z domeną instytucji, która miała wysłać wiadomość? Cyberprzestępcy często używają adresów, które na pierwszy rzut oka wydają się prawdziwe, ale przy bliższym przyjrzeniu okazują się fałszywe. Przykładowo zamiast nazwy „bank.pl” może być „banck.pl” lub coś podobnie mylącego. Oprócz tego warto aktualizować oprogramowanie na swoich urządzeniach. Cyberprzestępcy wykorzystują luki w zabezpieczeniach starych wersji oprogramowania, by instalować złośliwe oprogramowanie na Twoim urządzeniu. Regularne aktualizacje pomagają zapobiegać takim atakom.
Jak rozpoznać próbę phishingu? Dziwne wiadomości e-mail, SMS-y, linki i załączniki
Wiadomości phishingowe często mają cechy wspólne, które mogą pomóc Ci je zidentyfikować. Po pierwsze, sprawdź, czy powiadomienie, które otrzymałeś, wywiera na Tobie presję, abyś szybko podjął konkretne działania. Oszuści często próbują wywołać poczucie upływającego czasu, twierdząc, że Twoje konto zostanie zablokowane lub zamknięte, jeśli natychmiast nie zareagujesz.
Zwróć też uwagę na gramatykę i ortografię. Komunikaty phishingowe często zawierają błędy językowe, które mogą być sygnałem ostrzegawczym. Ponadto fałszywe e-maile mogą zawierać nietypowe formatowanie lub wyglądać inaczej niż zwykle. Należy być też szczególnie ostrożnym w momencie, gdy e-mail lub SMS zawiera załącznik, lub linki. Zanim w nie wejdziesz, sprawdź je, tak aby upewnić się, dokąd rzeczywiście prowadzą. Jeśli adres URL wydaje się podejrzany lub nie ma nic wspólnego z rzekomym nadawcą, nie klikaj w niego, ponieważ możesz wtedy m.in. utracić dostęp do swoich danych osobowych.
Jakie kroki należy podjąć oraz jak zgłosić podejrzane działania, gdy padniemy ofiarą phishingu?
Gdy zorientujesz się, że jesteś ofiarą ataku typu phishing, może Ci się wydawać, że jest już za późno. Jednak szybkie działanie może ograniczyć szkody i pomóc w ochronie Twoich danych. Oto co powinieneś zrobić:
- zgłoś zaistniały incydent – pierwszym krokiem jest zgłoszenie incydentu odpowiednim organom. W Polsce instytucją zajmującą się takimi sprawami jest CERT Polska, czyli specjalny zespół reagowania. Możesz również zgłosić próbę oszustwa bezpośrednio policji lub CSIRT NASK, które zajmują się cyberbezpieczeństwem na szczeblu krajowym;
- zmień hasła – jeśli podałeś swoje dane logowania fałszywej stronie internetowej, natychmiast zmień hasła, szczególnie do kont bankowych lub używanych przez Ciebie stron społecznościowych i innych ważnych systemów biznesowych;
- skontaktuj się z bankiem – jeśli phishing dotyczył Twoich danych bankowych, niezwłocznie skontaktuj się z bankiem, aby zablokować dostęp do konta i karty kredytowej. Instytucje finansowe mają procedury szybkiego reagowania na takie sytuacje i mogą pomóc w zabezpieczeniu Twoich środków;
- monitoruj swoje konta – w kolejnych dniach i tygodniach po ataku bacznie obserwuj aktywność na swoich kontach. Jeśli zauważysz jakiekolwiek nieautoryzowane transakcje, natychmiast zgłoś to do swojego banku;
- edukuj siebie i innych – wyciągnij wnioski z tego doświadczenia i podziel się nimi z rodziną i znajomymi, tak aby i oni mogli lepiej ochronić się przed każdym rodzajem phishingu lub innych typów oszustw.
Rola instytucji finansowych w ochronie przed phishingiem
Banki odgrywają kluczową rolę w walce zarówno z phishingiem, jak i np. atakami typu whaling. Instytucje finansowe mają nie tylko obowiązek chronić swoich klientów, lecz także dysponują licznymi raportami, narzędziami i wiedzą, które mogą skutecznie zapobiegać takim działaniom. Oto jak instytucje finansowe mogą pomóc w ochronie przed phishingiem:
- edukacja klientów – banki często prowadzą kampanie informacyjne na temat bezpieczeństwa online, ucząc swoich klientów, jak rozpoznać próby phishingu i jak się przed nimi chronić. Informacje te mogą być dostępne np. na stronach internetowych banków, w specjalnych mailach czy nawet poprzez systemy bankowości internetowej;
- zaawansowane systemy bezpieczeństwa – instytucje finansowe inwestują w zaawansowane systemy bezpieczeństwa, które mogą wykrywać i blokować podejrzane transakcje, zanim te zdążą wyrządzić szkody. Obejmuje to również systemy monitorujące próby logowania i transakcje online w celu wyłudzenia poufnych informacji;
- wsparcie ofiar phishingu – w przypadku, gdy klient padnie ofiarą phishingu, banki oferują wsparcie w postaci blokowania kart, zmiany haseł i monitorowania konta pod kątem podejrzanych aktywności. Mogą również pomóc w zgłoszeniu incydentu odpowiednim organom;
- współpraca z organami ścigania – banki i instytucje finansowe współpracują z policją i innymi organami ścigania w celu wykrycia i namierzenia cyberprzestępców oraz zapobiegania przyszłym atakom.
Zawsze pamiętaj o tym, że ochrona przed phishingiem to wspólna odpowiedzialność – zarówno instytucji finansowych, jak i ich klientów. Bycie świadomym zagrożeń w internecie i stosowanie się do zasad bezpieczeństwa to najlepsza obrona przed cyberprzestępcami.