Phishing - co to takiego?
Phishing to jeden z najpopularniejszych sposobów na wyłudzenie naszych danych lub pieniędzy poprzez wiadomości email lub SMS. Oszuści wykorzystują mechaniki społecznego zaufania, podszywają się pod istniejące instytucje finansowe - banki, telekomunikacyjne, kurierskie, a nawet państwowe jak Urząd Skarbowy, czy Zakład Ubezpieczeń Społecznych. Phishing to najrozmaitsze wiadomości oczekujące od nas podjęcia pewnych działań, które mają na celu pozyskanie naszych danych, dostępów, a w końcu środków. Jest to na tyle rozbudowana metoda działania złodziei, że Phishing doczekał się wielu odmian.
Jak działa Phishing - techniki stosowane przez oszustów
Oszuści stosujący Phishing stosują przede wszystkim mechanizmy społeczne. Wykorzystują do tego kanały dostępu takie jak email, czy SMS. Cały przekręt tkwi w wiadomości. Złodzieje w pierwszej kolejności podszywają się pod istniejące instytucje. Najczęściej są to banki, firmy kurierskie, a także instytucje państwowe - Urząd Skarbowy, Zakład Ubezpieczeń Społecznych, Służba Celna, a nawet Komornik Sądowy, czy Prokuratura. Oczywiście nie ograniczają się jedynie do tego. Oszuści mogą wysyłać również maile oraz SMSy w imieniu firm kurierskich, telekomunikacyjnych, a także naszych znajomych, czy kompletnie zmyślonych, fikcyjnych postaci.
Maile oczekują od nas podjęcia pewnego, konkretnego działania pod presją czasu, z widmem potencjalnych konsekwencji - osobistych, finansowych, a nawet prawnych -, w przypadku braku tego konkretnego działania. Oczywiście najczęściej chodzi o przelanie środków, podanie danych osobowych, podanie danych karty kredytowej, a nawet niektórzy ośmielają się prosić o dane logowania do systemu bankowości komputerowej. Często wiadomości opatrzone są w to miejsce linkiem lub plikiem do pobrania. Linki mogą prowadzić do fałszywych witryn lub złośliwego oprogramowania, a załączniki mogą być zainfekowane programami szpiegującymi.
Wiadomości rozsyłane są w setkach, tysiącach, a nawet setkach tysięcy, aby zmaksymalizować szanse, że ktoś faktycznie “połknie haczyk” - Phishing pochodzi od angielskich słów Password (hasło) i Fishing (łowić) i oznacza dosłownie łowienie haseł - i faktycznie wykona to, o co prosi oszust poprzez wiadomość email lub SMS.
Jakie środki ostrożności zachować by nie paść ofiarą Phishingu?
Po pierwsze i najważniejsze w przypadku Phishingu jest to, że jeśli wiadomość zawiera link lub plik do pobrania, to absolutnie nie należy tego robić. Jest to dość powszechna, ale zgubna praktyka - przychodzi SMS z załącznikiem, a my bez większego zastanowienia, klikamy w łącze z wiadomości. Drugą niefortunną praktyką jest pobieżne przyglądanie się wiadomościom email i brane za pewnik, że są prawdziwe, jeśli wyglądają prawie od faktycznej instytucji. Podstawą jest wystrzeganie się tych dwóch praktyk.
Najważniejsze to czytać uważnie to, co przychodzi na nasza skrzynkę email lub SMS. Systemy, choć coraz bardziej zaawansowane, nie są w stanie wyśledzić wszystkich podejrzanych wiadomości i skategoryzować ich jako spamu. Sami też musimy przyłożyć nieco starań i dokonać weryfikacji wiadomości, jaką otrzymujemy. Podejrzany adres lub numer nadawcy, nieznane znaczki w wiadomości, brak polskich czcionek, nietypowe linki i dziwne zatytułowane pliki, niedbale napisane wiadomości, to tylko niektóre elementy, które zdradzają oszustów i fałszywe wiadomości Phishingowe.
Jak rozpoznać próbę Phishingu?
Przyjrzyjmy się otrzymanej wiadomości w celu zweryfikowania jej pod kątem prawdziwości. Jeżeli jest to wiadomośc email od instytucji, od której możemy znaleźć w skrzynce inne wiadomości, warto je porównać. Fałszywe maile zwykle mają dziwny adres nadawczy. Choć będzie on starał się imitować do złudzenia adres faktyczny danej instytucji, będzie najpewniej jedynie bardzo dobrą imitacją. Często od prawdziwego adresu różnie się pojedynczą kropką, czy literą.
Stosowane przez oszustów grafiki, czy widżety w wiadomości będą się różnić od tych prawdziwych. Sama wiadomość będzie zapewne zawierać błędy i to nie tylko ortograficzne, ale również gramatyczne (błędna odmiana osobowa, złe końcówki), mogą pojawiać się dziwne czcionki, albo będzie brakować polskich znaków diakrytycznych - “a” zamiast “ą”, “c” zamiast “ć”. Układ wiadomości również może być niechlujny, krótko mówiąc - pomieszana kolejność wiadomości, rozjeżdżające się linie, przypadkowe pogrubienie czy podkreślenie.
Najbardziej zastanawiająca jednak powinna być dla nas sama treść. Każda jedna instytucja, z którą nawiązujemy jakikolwiek kontakt online, rejestrujemy się, zakładamy konto, zyskujemy dostęp, informuje użytkownika o tym, że nigdy nie prosi o udostępnianie wrażliwych danych drogą mailową lub telefoniczną. Więc prośba o udostępnienie danych osobowych, danych logowania do jakichkolwiek serwisów internetowych, danych kart kredytowych, danych rachunku bankowego, loginów, haseł, kodów BLIK, czy kodów uwierzytelniających SMS to po prostu oszustwo i próba wyłudzenia. To samo tyczy się nie tylko próśb o podanie danych, ale o podjęcie jakiejkolwiek akcji w postaci wypełnienia formularza, potwierdzenia przelewu, uiszczenia należności, kliknięcia w link, czy pobrania pliku, to wszystko próby oszustwa metodą na Phishing.
Jakie kroki należy podjąć, gdy padniemy ofiarą Phishingu?
Jeśli padliśmy ofiara Phishingu, nie ma co panikować. Pierwszym krokiem, jaki powinniśmy podjąć jest kontakt z grupą reagowania na incydenty komputerowe CERT Polska. Na ich stronie należy wypełnić krótki formularz zgłoszeniowy oraz załączyć wiadomość, która na którą się nabraliśmy. Niezwłocznie warto również poinformować policję lub prokuraturę. Nie jest wtedy istotne, czy my jesteśmy ofiarą cyberprzestępcy, czy osoba trzecia, taki fakt wypada niezwłocznie zgłosić. Jeśli padliśmy ofiarą kradzieży pieniędzy z rachunku bankowego, istotne jest również skontaktowanie się z bankiem, z którego nasze pieniądze zostały podjęte. W oddziale banku lub poprzez infolinię można próbować uzyskać informacje, jak postępować w takiej sytuacji, oraz jakie i czy w ogóle są szanse na odzyskanie skradzionych środków.
Rola instytucji finansowych w ochronie przed Phishingiem
Instytucje finansowe, a przede wszystkim banki, starają się przeciwdziałać każdemu rodzajowi cyberzagrożenia, w tym pomagają w walce z Phishingiem. Podstawową praktyką, jaką aktualnie stosuje prawie każdy bank, jest dodatkowe uświadamianie, jak wielkim zagrożeniem są cyberprzestępcy. Po wejściu na stronę banku czy otwarciu aplikacji mobilnej, od razu widzimy komunikaty o bezpieczeństwie, o tym, że pracownicy banku ani sama instytucja nigdy nie prosi o żadne istotne ani wrażliwe dane, aby mieć na uwadze swoje bezpieczeństwo i podejrzane wiadomości i połączenia.
Prócz oczywiście kwestii informacyjnej, banki wdrażają coraz to nowsze metody zabezpieczeń w swoich systemach. Aktualnie już praktycznie każdy bank oczekuje weryfikacji urządzenia przed połączeniem z systemem bankowości elektronicznej. Każdy dostęp z komputera trzeba dodatkowo potwierdzić przy pomocy telefonu - kodem SMS lub w aplikacji mobilnej banku. Jest to forma przeciwdziałania korzystaniu z wykradzionych danych. Banki chwalą się również innymi najnowszymi metodami przeciwdziałania Phishingowi. Jednak w tej kwestii niewiele więcej wiadomo.
Podsumowanie najważniejszych informacji na temat Phishingu
Phishing to metoda “łowienia” danych przez oszustów za pomocą wiadomości email i SMS. Fałszywie wiadomości mają nas zmusić do działania w konkretny sposób, a dodatkowo mamy być ograniczeni czasowo na podjęcie kroków, oraz grożą nam wyimaginowane konsekwencje. Jednak to wystarczy, aby trafiały się osoby, które ową presją czasu i konsekwencjami przestraszą się na tyle, że zastosują się do wiadomości. Czytajmy dokładnie wiadomości, bo to podstawa. Nie klikamy w linki, nie pobieramy plików, nie podajemy danych. Zweryfikujmy wiadomość, sprawdźmy, czy jest ona autentyczna, nie jest to trudne. Jeśli już padliśmy ofiarą Phishingu, zgłośmy się do CERT Polska poprzez formularz online i na policję.
Komentarze