W ostatnich latach zespół reagowania na incydenty komputerowe CERT Polska odnotował znaczący wzrost prób związanych m.in. z phishingiem, w tym również bardziej zaawansowanych ataków typu spear phishing, które dotykają milionów osób na całym świecie. Cyberprzestępcy, wykorzystując coraz to bardziej wyrafinowane metody, mogą podszywać się pod urzędy administracji, znane marki, naszych znajomych na portalach społecznościowych, czy też każdą inną osobę lub instytucje w celu wyłudzenia poufnych danych. Liczne wiadomości e-mail i komunikaty, przygotowywane są z dbałością o szczegóły i wyglądają na autentyczne, co zwiększa ryzyko, że nawet najbardziej ostrożni użytkownicy mogą paść ofiarą oszustwa. Zarówno dane karty kredytowej, jak i loginy do używanych przez nas kont społecznościowych – żadne informacje nie są w stu procentach bezpieczne. W obliczu rosnącej liczby prób ataków, przygotowywanych przez cyberprzestępców, a które mają za zadanie „łowić” potencjalne ofiary lub konkretną osobę, ważne jest, aby każdy z nas był świadomy, jakie podjąć kroki w razie znalezienia się w takiej sytuacji.
Oszustwo na phishing to jedna z najczęstszych i najbardziej podstępnych metod oszustwa w internecie, która może przybrać wiele form np. blika i poczty e-mail. Wszystkie mają jeden cel – wyłudzić od Ciebie poufne informacje i jak najwięcej wrażliwych danych. Wyobraź sobie sytuację, w której otrzymujesz e-mail, który na pierwszy rzut oka wygląda jak typowy komunikat z Twojego banku. Informuje Cię on o rzekomym problemie z kontem i prosi o zalogowanie się do niego za pomocą dołączonego linku, tak aby szybko rozwiązać zaistniały problem. Klikając w link i wpisując swoje dane, nieświadomie przekazujesz je oszustom. To właśnie jest phishing – oszustwo internetowe, w którym przestępcy wykorzystują fałszywe e-maile, SMS-y, kody blik, komunikaty na portalach społecznościowych podszywając się m.in. pod znaną nam osobę, lub instytucję, w celu wyłudzenia danych osobowych, danych do logowania, numerów kart kredytowych klientów banków lub innych wrażliwych informacji.
Mechanizm działania phishingu jest złożony i wyrafinowany. Cyberprzestępcy nieustannie udoskonalają swoje metody, tak aby były jak najbardziej wiarygodne. Komunikanty phishingowe są ciężkie do odróżnienia na pierwszy rzut oka od prawdziwych informacji przesyłanych przez banki, firmy kurierskie, operatorów telekomunikacyjnych czy nawet Twoich znajomych. Mogą zawierać specyficzne zapisy, które sprawiają, że treść wydaje się być skierowana bezpośrednio do Ciebie, co tylko zwiększa wiarygodność. Oszuści mogą również wykorzystywać aktualne wydarzenia, takie jak pandemia COVID-19, oferując fałszywe informacje o szczepieniach czy też zwrotach podatkowych, aby skłonić Cię do kliknięcia w zainfekowane linki lub załączniki.
Phishing nie ogranicza się tylko do e-maili. Oszuści wykorzystują również SMS-y, znane jako smishing oraz komunikatory i media społecznościowe, tak aby dotrzeć do potencjalnych ofiar. Wiadomości mogą prosić nas o potwierdzenie danych osobowych, aktualizację informacji o koncie lub nawet o przekazanie pieniędzy. Bardzo często, w ramach ataków phishingowych, oferowane są także fałszywe nagrody, zwroty pieniędzy lub inne korzyści finansowe, które mają na celu przyciągnąć uwagę i skłonić do podjęcia działań, które ostatecznie prowadzą do kradzieży danych.
Kluczowym elementem, który łączy wszystkie te metody, jest wykorzystanie inżynierii społecznej, czyli systemu manipulowania ludźmi, tak aby skłonić ich do wykonania określonych działań lub ujawnienia poufnych informacji. Oszuści stosują różnorodne techniki psychologiczne, które mają wzbudzić do nich przekonanie i wywołać poczucie zaufania lub też strachu, co skłania ofiary do działania bez większego zastanowienia. To sprawia, że phishing jest tak niebezpieczny – wykorzystywanie ludzkich emocji i odruchów, aby osiągnąć swoje przestępcze cele.
Pierwsza zasada to zawsze mieć się na baczności. Cyberprzestępcy są sprytni i przebiegli, co sprawia, że rozsyłane przez nich e-maile lub SMS-y mogą wyglądać bardzo przekonująco. Zanim klikniesz jakikolwiek link lub odpowiesz na wiadomość, zastanów się dwa razy. Jeśli treść powiadomienia prosi o Twoje dane logowania, numer karty kredytowej lub inne poufne informacje, to prawdopodobnie jest to próba phishingu. Banki i instytucje finansowe nigdy nie proszą o takie informacje przez pocztę e-mail lub SMS.
Zawsze sprawdzaj adres e-mail nadawcy. Czy wygląda na oficjalny? Czy domena w adresie e-mail zgadza się z domeną instytucji, która miała wysłać wiadomość? Cyberprzestępcy często używają adresów, które na pierwszy rzut oka wydają się prawdziwe, ale przy bliższym przyjrzeniu okazują się fałszywe. Przykładowo zamiast nazwy „bank.pl” może być „banck.pl” lub coś podobnie mylącego. Oprócz tego warto aktualizować oprogramowanie na swoich urządzeniach. Cyberprzestępcy wykorzystują luki w zabezpieczeniach starych wersji oprogramowania, by instalować złośliwe oprogramowanie na Twoim urządzeniu. Regularne aktualizacje pomagają zapobiegać takim atakom.
Wiadomości phishingowe często mają cechy wspólne, które mogą pomóc Ci je zidentyfikować. Po pierwsze, sprawdź, czy powiadomienie, które otrzymałeś, wywiera na Tobie presję, abyś szybko podjął konkretne działania. Oszuści często próbują wywołać poczucie upływającego czasu, twierdząc, że Twoje konto zostanie zablokowane lub zamknięte, jeśli natychmiast nie zareagujesz.
Zwróć też uwagę na gramatykę i ortografię. Komunikaty phishingowe często zawierają błędy językowe, które mogą być sygnałem ostrzegawczym. Ponadto fałszywe e-maile mogą zawierać nietypowe formatowanie lub wyglądać inaczej niż zwykle. Należy być też szczególnie ostrożnym w momencie, gdy e-mail lub SMS zawiera załącznik, lub linki. Zanim w nie wejdziesz, sprawdź je, tak aby upewnić się, dokąd rzeczywiście prowadzą. Jeśli adres URL wydaje się podejrzany lub nie ma nic wspólnego z rzekomym nadawcą, nie klikaj w niego, ponieważ możesz wtedy m.in. utracić dostęp do swoich danych osobowych.
Gdy zorientujesz się, że jesteś ofiarą ataku typu phishing, może Ci się wydawać, że jest już za późno. Jednak szybkie działanie może ograniczyć szkody i pomóc w ochronie Twoich danych. Oto co powinieneś zrobić:
Banki odgrywają kluczową rolę w walce zarówno z phishingiem, jak i np. atakami typu whaling. Instytucje finansowe mają nie tylko obowiązek chronić swoich klientów, lecz także dysponują licznymi raportami, narzędziami i wiedzą, które mogą skutecznie zapobiegać takim działaniom. Oto jak instytucje finansowe mogą pomóc w ochronie przed phishingiem:
Zawsze pamiętaj o tym, że ochrona przed phishingiem to wspólna odpowiedzialność – zarówno instytucji finansowych, jak i ich klientów. Bycie świadomym zagrożeń w internecie i stosowanie się do zasad bezpieczeństwa to najlepsza obrona przed cyberprzestępcami.
Biuro Informacji Kredytowej jest największą w Polsce bazą zawierającą historie kredytowe milionów Polaków. W ostatnich…
Wraz z rosnącą popularnością płatności cyfrowych oszustwa na QR kod stają się coraz bardziej powszechne.…
Zmiana banku to decyzja, którą można podjąć w różnych momentach życia. Czy to z powodu…
Pieniądze zostały wysłane, ale do złego adresata? Taka sytuacja może zdarzyć się każdemu. Wystarczy pomylić…
Wskaźnik LTV (Loan to Value) to informacja dla osób, które chcą wziąć kredyt hipoteczny, np.…
Karta debetowa to jeden z najczęściej wybieranych rodzajów kart. Używana jest do płatności za różne…