Oszustwa telekomunikacyjne to poważny problem, który stale ewoluuje wraz z postępem technologicznym. Cyberprzestępcy nieustannie opracowują coraz bardziej wyrafinowane metody, aby wyłudzić pieniądze od niczego niespodziewających się ofiar. Jednym z najnowszych trendów w tej dziedzinie jest phishing – atak oparty na inżynierii społecznej, który wykorzystuje sfałszowane wiadomości e-mail lub SMS, aby nakłonić ofiarę do ujawnienia poufnych informacji lub zainfekowania swojego urządzenia złośliwym oprogramowaniem.
Phishing – tradycyjna metoda oszustwa w cyberprzestrzeni
Phishing to jeden z najbardziej popularnych typów ataków opartych na inżynierii społecznej. Cyberprzestępcy wykorzystują tę technikę, aby próbować oszukać ofiary i nakłonić je do podjęcia działań zgodnych z ich zamiarami. Najczęściej polega to na próbie wyłudzenia poufnych danych, takich jak loginy i hasła do kont bankowych lub systemów biznesowych.
Zgodnie z danymi Zespołu Reagowania na Incydenty Cyberbezpieczeństwa – CSIRT NASK, w 2019 roku zarejestrowano aż 6484 incydentów związanych z cyberprzestępczością, z czego 4100 stanowiły ataki typu fraud, czyli różnego rodzaju oszustwa internetowe. Phishing jest jednym z najczęstszych sposobów wykorzystywanych przez cyberprzestępców do realizacji tych przestępstw.
Nazwa „phishing” wywodzi się od dźwiękowego skojarzenia z fishingiem – tradycyjnym łowieniem ryb. Podobnie jak wędkarze, którzy używają przynęty, aby złowić ryby, cyberprzestępcy stosują odpowiednio przygotowane wiadomości e-mail lub SMS, aby wyłudzić informacje od ofiar.
Wiadomości phishingowe są zazwyczaj tak skonstruowane, aby wyglądały na autentyczne. Mogą one zawierać linki do fałszywych stron internetowych lub załączniki z zainfekowanym oprogramowaniem. Celem jest nakłonienie ofiary do ujawnienia poufnych danych lub zainfekowania jej urządzenia.
Spear-phishing – wyrafinowana forma ataku
Szczególnie niebezpieczną odmianą phishingu jest spear-phishing, który jest ukierunkowany na konkretnego adresata. W tym przypadku cyberprzestępcy dokładnie rozpoznają swoją ofiarę, gromadząc informacje na jej temat z różnych źródeł, w tym mediów społecznościowych. Wiadomości są wtedy spersonalizowane i bezpośrednio odwołują się do relacji, jakie ofiara ma z firmą, urzędem lub znajomymi, którzy zostali podrobieni.
Takie ataki są często poprzedzone dokładnym rozpoznaniem przez cyberprzestępców firmy, urzędu lub dostępnych danych ofiary w mediach społecznościowych. Celem spear-phishingu jest wywarcie określonego wpływu na ofiarę lub wymuszenie określonych działań z jej strony.
W przeciwieństwie do tradycyjnego phishingu, wiadomości spear-phishingowe są znacznie bardziej realistyczne i trudniejsze do zidentyfikowania jako oszustwo. Cyberprzestępcy wykorzystują tu zaawansowane techniki inżynierii społecznej, aby wzbudzić zaufanie ofiary i nakłonić ją do podjęcia pożądanych działań.
Metody ukrywania prawdziwych intencji
Cyberprzestępcy stosują różne techniki, aby zamaskować swoje prawdziwe cele i ukryć fakt, że wiadomości, które rozsyłają, są oszukańcze. Jedną z nich jest wykorzystywanie tzw. tiny-URL, czyli skróconych adresów stron internetowych. Zamiast oryginalnej, autentycznej nazwy strony, ofiara może zobaczyć link, który wygląda niewinnie, ale prowadzi do fałszywej witryny.
Innym sposobem jest podszywanie się pod znane firmy, urzędy, operatorów telekomunikacyjnych lub nawet znajomych ofiary. Cyberprzestępcy licząc na zaufanie, jakim darzy się te podmioty, próbują wyłudzić wrażliwe informacje lub nakłonić ofiarę do wykonania niebezpiecznych czynności.
Ofiary phishingu i spear-phishingu często padają też ofiarą inżynierii społecznej, czyli techniki polegającej na wykorzystywaniu ludzkiej skłonności do ufania autorytetom i posłuszeństwa. Cyberprzestępcy wykorzystują tę słabość, by wzbudzić w ofiarach poczucie pilności, strachu lub presji czasu, co znacznie utrudnia im racjonalne myślenie i krytyczną ocenę sytuacji.
Jak chronić się przed phishingiem?
Aby ustrzec się przed atakami phishingowymi, eksperci zalecają przede wszystkim zachowanie ostrożności przy otwieraniu wiadomości e-mail lub SMS, szczególnie jeśli pochodzą one od nieznanych nadawców. Przed kliknięciem w link lub otwarciem załącznika należy zweryfikować autentyczność nadawcy i treści wiadomości.
Ważne jest również, aby zgłaszać podejrzane wiadomości do dostawcy poczty e-mail lub do zespołów reagowania na incydenty komputerowe, takich jak CERT Polska. Pozwala to na szybkie zidentyfikowanie i zablokowanie ataków phishingowych.
W przypadku uzasadnionego podejrzenia, że padliśmy ofiarą oszustwa, należy niezwłocznie zgłosić ten fakt na Policję lub do prokuratury. Tylko wczesna reakcja daje szansę na ograniczenie szkód i pociągnięcie sprawców do odpowiedzialności.
Podsumowując, ochrona przed phishingiem i innymi metodami oszustw telekomunikacyjnych wymaga od nas stałej czujności, krytycznego myślenia i gotowości do reakcji. Tylko dzięki świadomości zagrożeń i stosowaniu dobrych praktyk możemy znacznie zmniejszyć ryzyko stania się ofiarą cyberprzestępców. Warto również skorzystać z usług Stop Oszustom, aby kompleksowo zabezpieczyć się przed różnymi formami oszustw.
