Oszustwa w cyberprzestrzeni stanowią poważne zagrożenie dla milionów ludzi na całym świecie. Jednym z najczęściej wykorzystywanych przez cyberprzestępców ataków jest phishing. Polega on na próbie wyłudzenia poufnych informacji, takich jak dane logowania do kont bankowych czy społecznościowych, poprzez podszywanie się pod zaufane organizacje lub znajomych.
Czym jest phishing?
Phishing to rodzaj ataku opartego na technikach inżynierii społecznej. Cyberprzestępcy próbują wprowadzić ofiarę w błąd, wysyłając sfałszowane wiadomości e-mail lub SMS, podszywając się pod zaufane marki, firmy czy urzędy. Celem jest skłonienie ofiary do ujawnienia poufnych danych lub kliknięcia w link prowadzący do szkodliwej strony internetowej.
Nazwa „phishing” wywodzi się od angielskiego słowa „fishing”, czyli łowienie ryb. Podobnie jak wędkarze, cyberprzestępcy używają specjalnie spreparowanej „przynęty”, aby „złowić” cenne informacje od swojej ofiary. Stosują oni różne techniki, takie jak:
- Podszywanie się pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych lub znajomych – w tym celu wykorzystują sfałszowane wiadomości e-mail lub SMS, które wyglądają na autentyczne.
- Wykorzystywanie skróconych linków URL (tzw. „tiny-URL”) – ukrywają one prawdziwy adres strony internetowej, który może prowadzić do witryny rozprzestrzeniającej szkodliwe oprogramowanie.
- Wysyłanie wiadomości z zainfekowanymi załącznikami – otworzenie takiego pliku może spowodować zainfekowanie komputera lub urządzenia mobilnego.
Zaawansowaną formą phishingu jest spear-phishing, który polega na ukierunkowanym ataku na konkretną osobę lub organizację. Cyberprzestępcy w tym przypadku dokładnie analizują dostępne informacje na temat ofiary, aby jeszcze bardziej zwiększyć wiarygodność swojej „przynęty”.
Według danych Zespołu Reagowania na Incydenty Cyberbezpieczeństwa – CSIRT NASK, w 2019 roku zarejestrowano aż 6484 incydentów, z czego 4100 stanowiły ataki typu fraud, czyli oszustwa internetowe. Sytuacja ta pokazuje skalę zagrożenia, z jakim muszą mierzyć się użytkownicy Internetu.
Jak rozpoznać atak phishingowy?
Aby uchronić się przed atakami phishingowymi, należy zwrócić uwagę na kilka kluczowych elementów, które mogą świadczyć o próbie oszustwa:
- Podejrzana nazwa nadawcy – cyberprzestępcy często podszywają się pod znane marki, ale uważnie przyjrzyj się adresowi e-mail lub numerowi telefonu, gdyż mogą one różnić się od autentycznych.
- Niezapisany lub ogólny charakter wiadomości – prawdziwe wiadomości od firm lub urzędów zwykle zawierają spersonalizowane powitanie i nawiązują do konkretnej sprawy.
- Prośby o pilne działanie – phisherzy często próbują wzbudzić pośpiech i stres, aby zwiększyć szansę na kliknięcie w niebezpieczny link lub załącznik.
- Nielogiczne lub podejrzane linki – zamiast klikać w linki, sprawdź ich prawdziwy adres, najlepiej ręcznie wpisując go w przeglądarce.
- Niespodziewane lub nieoczekiwane wiadomości – jeśli coś wzbudza Twoją podejrzliwość, zweryfikuj informacje, kontaktując się bezpośrednio z firmą lub osobą, która rzekomo do Ciebie pisze.
Warto pamiętać, że nie należy klikać w żadne linki ani otwierać załączników w wiadomościach, jeśli nie masz pewności co do ich autentyczności. Lepiej dmuchać na zimne i zweryfikować źródło, niż narazić się na poważne konsekwencje.
Jak zgłaszać podejrzane wiadomości?
Jeśli otrzymasz podejrzaną wiadomość, możesz ją zgłosić, aby pomóc w walce z cyberprzestępczością. Istnieją dwa główne sposoby na to:
-
Zgłoszenie do CERT Polska – na stronie https://incydent.cert.pl/ możesz wypełnić krótki formularz online i dołączyć treść podejrzanej wiadomości. Dzięki temu zespół CERT Polska będzie mógł przeanalizować i zareagować na potencjalne zagrożenie.
-
Zgłoszenie na Policję lub do Prokuratury – jeśli masz uzasadnione podejrzenie, że padłeś ofiarą oszustwa, powinieneś niezwłocznie poinformować o tym organy ścigania. Może to pomóc w identyfikacji i zatrzymaniu sprawców.
Każde zgłoszenie podejrzanej aktywności ma kluczowe znaczenie w walce z cyberprzestępczością. Tylko wspólnymi siłami możemy skutecznie chronić się przed niebezpiecznymi atakami phishingowymi.
Jak chronić się przed phishingiem?
Aby uchronić się przed atakami phishingowymi, warto zastosować kilka podstawowych środków ostrożności:
- Zachowaj czujność – uważnie sprawdzaj źródło i treść każdej nieoczekiwanej wiadomości, nawet jeśli wydaje się ona autentyczna.
- Nie klikaj w podejrzane linki – zamiast tego ręcznie wpisuj adresy stron internetowych, o których mowa w wiadomości.
- Nie udostępniaj poufnych informacji – nigdy nie podawaj danych logowania, numerów kart płatniczych czy innych wrażliwych danych na żądanie.
- Aktualizuj oprogramowanie – regularne aktualizacje systemów operacyjnych, przeglądarek i programów antywirusowych pomagają zapobiegać infekcjom.
- Korzystaj z szyfrowanego połączenia – upewnij się, że strony, na których logujesz się do wrażliwych kont, mają włączone szyfrowanie SSL/TLS (https).
- Zgłaszaj podejrzane wiadomości – pomagaj w walce z phishingiem, zgłaszając próby oszustwa do właściwych organów.
Zachowanie ostrożności i czujności to klucz do ochrony przed niebezpiecznymi atakami phishingowymi. Pamiętaj, że tylko wspólne działania mogą skutecznie zatrzymać cyberprzestępców.