Phishing – jak skutecznie obronić się przed wyłudzeniem danych?

Aktualizacja: 2020-04-20
Data publikacji: 2020-03-31
Autor: Katarzyna Jóźwik
Ocena: 5
(ilość ocen: 1)

77 536 zgłoszeń w 2018 r. przesłanych do Naukowej i Akademickiej Sieci Komputerowej Państwowego Instytutu Badawczego (NASK) – tak wygląda pishing w Polsce. Rok później Komenda Główna Policji odnotowała 6330 ataków na użytkowników bankowości elektronicznej. Przestępcy stosują różne sposoby, aby wyłudzić nasze dane. Jak się przed nimi bronić?

Phishing – co to właściwie jest?

Pewnie większość z nas przynajmniej raz słyszała historię o podszywaniu się przestępców pod bank i wyłudzeniu danych wrażliwych klientów. Najczęstszym „wabikiem” są przesłane rzekomo przez bank maile czy sms-y do klientów. Kliknięcie w przesłany link przekierowuje użytkownika na stronę, która jest niemal identyczna jak strona internetowa jego bankowości elektronicznej. Oczywiście w wysłanej przez przestępców wiadomości jest informacja o konieczności zalogowania się na swoje internetowe konto bankowe w celu potwierdzenia swoich danych, dokonania aktualizacji itp. Po zalogowaniu (dzięki któremu przestępcy pozyskują dostęp do konta), właściciel rachunku proszony jest często o przesłanie za pomocą wiadomości sms tzw. kodu autoryzacyjnego, który otrzyma od banku. Oczywiście jest to konieczne do przeprowadzenia rzekomej procedury aktualizacyjnej. Jak taka historia się kończy? W najlepszym przypadku utratą dostępu do konta bankowego. W najgorszym: utratą pieniędzy z rachunku.

Przedstawiona powyżej historia to nic innego jak przykład pishing attack, czyli ataku internetowych przestępców, którego celem jest wyłudzenie danych wrażliwych od klientów banków. Wyłudzone dane wykorzystywane są później do wypłaty środków z rachunku bankowego czy do wyłudzenia innych zobowiązań finansowych.

Phishing – przykłady

Trzeba przyznać, że internetowi przestępcy są bardzo kreatywni w zakresie pomysłów na sposoby wyłudzenia danych klientów. Phishing attack może mieć naprawdę różne formy. Poniżej przedstawiamy te najpopularniejszej.

Maile z zawirusowanymi załącznikami

Klient banku otrzymuje rzekomą wiadomość od banku z załącznikiem. Otwarcie załącznika skutkuje zawirusowaniem komputera szkodliwym oprogramowaniem, które szyfruje dane zlokalizowane na dysku komputera. Jedynym sposobem na ich odzyskanie jest przelanie oszustom wysokiej kwoty.

URL phishing

Działanie polegające na przesłaniu linku przekierowującego do strony podobnej do strony banku. Jak wcześniej wspomnieliśmy, zalogowanie się na takiej stronie wystarczy do utraty danych dostępowych do konta.

Oddam w zamian za koszty przesyłki

Jedną z metod jest również oferowanie oddania w pełni za darmo cennych przedmiotów. Jedynym warunkiem jest opłacenie kosztów przesyłki towaru. Oszuści wysyłają link do rzekomej płatności, który w rzeczywistości kieruje na fałszywą stronę internetową w celu wyłudzenia danych dostępowych do konta bankowego.

Paczka za pobraniem

Ofiary phishingu często też dostają wiadomość sms z informacją, że jest do odbioru paczka, za którą trzeba zapłacić. W wiadomości znajduje się oczywiście link do rzekomej płatności, który przekierowuje na fałszywą stronę internetową.

Tradycyjna poczta do przedsiębiorców

Przestępstwa phishingowe nie muszą wcale ograniczać się jedynie do działalności w sieci. Biorąc pod uwagę, że celem oszustów jest wyłudzenie pieniędzy, bardzo często wysyłają pocztą tradycyjną różnego rodzaju wezwania do zapłaty dla przedsiębiorców. W ciągu ostatnich lat powstały niezliczone rzesze rzekomych rejestrów, w których powinny figurować polskie biznesy. Oczywiście wpis do takiego rejestru był płatny, a sam rejestr był fikcją. I chociaż w tym przypadku blankiety opłat opiewały z reguły kilkaset złotych, to biorąc pod uwagę, że na ten sposób nabierały się setki, jeśli nie tysiące właścicieli małych firm, to mimo wszystko oszustom udawało się osiągnąć swój cel.

Samochody z zagranicy za zaliczkę

Popularną metodą wyłudzenia pieniędzy jest również oferowanie wysokiej klasy zagranicznych aut w atrakcyjnej cenie. Rzekomym powodem ich sprzedaży jest zbyteczność auta, a warunkiem rezerwacji jest przesłanie zaliczki na poczet rzekomego sprowadzenia samochodu z zagranicy. Oczywiście cała transakcja urywa się po przesłaniu przez potencjalnego kupca gotówki.

Phishing – jak się bronić?

Skoro przestępcy są tak oryginalni, jak skutecznie bronić się przed tego rodzaju oszustwami? Bezwzględnym warunkiem jest zachowanie ostrożności wobec wszelkich wiadomości nakłaniających nas do kliknięcia w przesłany link czy załącznik. Warto dokładnie czytać otrzymane maile. Te wysłane przez przestępców często mają literówki bądź wyglądają, jakby były przetłumaczone przez nieudolny translator. Należy dokładnie sprawdzić adres mailowy, z którego została wysłana wiadomość. Chociaż na pierwszy rzut oka jest on podobny do adresu banku, z reguły występuje w nim jakaś literówka bądź nieznacznie przekręcona nazwa (np. zamiast .pl – .ppl). Jeśli jesteś proszony o zalogowanie się do konta bankowego, nie korzystaj z przesłanych linków tylko samodzielnie wpisz adres strony internetowej twojego banku i sprawdź, czy rzeczywiście bank próbuje się z tobą skontaktować. Absolutnie nikomu – ani kanałem elektronicznym, ani przez telefon – nie udostępniaj też swoich danych do logowania. Każdą podejrzaną korespondencję – czy tę elektroniczną czy tradycyjną – usuwaj lub wyrzucaj do kosza. Pamiętaj też o zainstalowaniu na komputerze programu antywirusowego, który pomoże ci ochronić sprzęt przed atakiem.

Inny wariant – smishing

Wśród podanych przez nas przykładów znalazły się również próby wyłudzenia danych przez sms. Na tym właśnie polega jedna z odmian phishingu – smishing, w której wykorzystuje się właśnie krótkie wiadomości tekstowe przesyłane na numer telefonu ofiary. W tym przypadku oszuści liczą na roztargnienie i pośpiech właścicieli telefonów, którzy bez głębszego zastanowienia klikają w przesłane im linki.

Vishing – wyłudzenia przez telefon

Inną metodą wyłudzenia danych przez telefon jest tzw. vishing. Jednak w tym przypadku oszust dzwoni do ofiary. Podając się najczęściej za pracownika banku informują o rzekomych pracach technicznych w serwisie bankowości elektronicznej lub nawet o próbie włamania na konto. Jednocześnie skłania nie tylko do udostępnienia danych do logowania, ale również do przesłania kodu weryfikacyjnego w celu rzekomego przywrócenia bezpieczeństwa rachunku. Oczywiście historia ma tylko jedno zakończenie: po udostępnieniu danych ofiara traci dostęp do rachunku i bardzo często zgromadzone na nim oszczędności.

Jak bezpiecznie korzystać z sieci?

Skoro próby wyłudzenia danych są tak częste, jak bezpiecznie zarządzać pieniędzmi w sieci? Skąd mieć pewność, że korzystając z oferty firmy pożyczkowej nie padniemy ofiarą oszustów chcących pozyskać nasze dane? Wszystkie instytucje finansowe stosują odpowiednie zabezpieczenia danych swoich klientów. Sami użytkownicy mogą je zauważyć w postaci rozszerzenia adresu strony internetowej (przedrostek https://) czy w symbolu zamkniętej kłódki. Poza tym warto sprawdzać wiarygodność firm oferujących atrakcyjne usługi finansowe. Ich legalność można zweryfikować w Rejestrze instytucji pożyczkowych KNF. Warto też czytać komunikaty publikowane na stronach internetowych banków i firm pożyczkowych, gdyż te bardzo często przestrzegają przed próbą podszywania się pod ich markę w celu wyłudzenia danych. Szczególną ostrożność trzeba zachować też za każdym razem, kiedy zapali się przysłowiowa czerwona lampka ostrzegawcza. Dostałeś maila z nieznanej firmy? Masz zapłacić za paczkę, której nie zamawiałeś? Twój bank twierdzi, że aktualizują system, a ty nie widziałeś żadnej informacji na ten temat na swoim elektronicznym koncie? Każda najmniejsza wątpliwość powinna wyostrzyć twoją czujność.

Więcej artykułów z tej kategorii

Komentarze

Dodaj komentarz do artykułu:

Uprzejmie informujemy, że komentarze zawierające wulgaryzmy lub niezgodne z zasadami języka polskiego nie będą publikowane w serwisie.

Sponsorujemy

Robert Chmiel Logo Oficjalny partner Loan Magazine Awards 2016 Kongres Sektora Pożyczkowego Logo

Nasze wyróżnienia

Laur konsumenta 2016 Chwilowo.pl stosuje się do Zasad Dobrych Praktyk KPF

Nasi partnerzy

Polski Związek Instytucji Pożyczkowych logo Konferencja Przedsiębiorstw Finansowych w Polsce logo