PHISHING CZYLI CYBER OSZUSTWO

Phishing to najpopularniejszy typ ataków opartych o wiadomości e-mail lub SMS. Przestępcy internetowi stosują oszustwo, które ma spowodować podjęcie działania zgodnego z ich zamierzeniami.

Cyberprzestępcy podszywają się najczęściej pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, znajomych, by wyłudzić dane do logowania, np. do kont bankowych lub kont społecznościowych, czy systemów biznesowych.

Jak łatwo „połknąć haczyk”?

Nazwa phishing trafnie kojarzona jest z fishingiem – łowieniem ryb. Przestępcy stosują „przynętę” taką jak sfałszowane e-maile i SMS-y lub za pośrednictwem komunikatorów i portali społecznościowych. Wiadomości phishingowe są tak przygotowywane, aby wyglądały na autentyczne, ale w rzeczywistości są fałszywe.Mogą skłaniać do ujawnienia poufnych informacji, zawierać link do strony internetowej rozprzestrzeniającej szkodliwe oprogramowanie lub mieć zawirusowany załącznik.  

Wyróżnia się także spear-phishing, który jest ukierunkowany na wybranego adresata. Atak ma wówczas na celu wywarcie określonego wpływu lub wymuszenie działania w stosunku do odbiorcy. Przestępcy mogą podszywać się pod partnerów biznesowych, z którymi współpracujmy, a wiadomość może być spersonalizowana.

Link w fałszywej wiadomości

Jeśli wiadomość budzi jakąkolwiek wątpliwość – nie klikaj w żaden link w niej zawarty i nie odpowiadaj na nią!

Najpierw postaraj się ustalić, czy wiadomość e-mail jest autentyczna i czy nie jest oszustwem. W wiadomościach SMS lub mailach często wykorzystywane są tzw. tiny-URL, czyli skrócone adresy stron internetowych, dlatego należy zwrócić szczególną uwagę na nazwy stron internetowych, które przesyłane są w podejrzanych mailach czy SMS-ach. Także linki przekazywane między znajomymi mogą być niebezpieczne, gdy przestępcy uzyskają w nielegalny sposób kontrolę nad kontami społecznościowymi znajomych i rodziny.

Rozpoznawanie e-maili wyłudzających informacje

Wiadomości phishingowe zazwyczaj mają niepoprawną gramatykę, interpunkcję, pisownię, brak polskich znaków (np. „ą”, „ę”). Często adres mailowy lub nazwa nadawcy są niewiarygodne i niezwiązane z organizacją, na którą się powołuje. Sam wygląd i  jakość e-maila może być niezwiązana z firmą, od której powinna pochodzić wiadomość np. logotypy, stopki z danymi nadawcy. Fałszywy e-mail może odnosić się do „cenionego klienta”, „przyjaciela” lub „współpracownika”, a nie personalnie. E-mail od cyberprzestępców może opisywać nagłe zagrożenie, które wymaga natychmiastowego działania. Może także odnosić się do spraw mało prawdopodobnych.

Bank lub inna instytucja nie powinny prosić o podanie w wiadomości e-mail danych osobowych. Także urzędy administracji publicznej nigdy nie proszą przy pomocy SMS, czy maili o dopłatę do szczepionki lub uregulowanie należności podatkowych. W przypadku takiej treści e-maila możliwe jest zweryfikowanie jej autentyczności bezpośrednio u nadawcy np. dzwoniąc do banku, urzędu, wskazanej instytucji.

Zgłaszanie podejrzenia phishingu

W celu zgłoszenia podejrzenia phishingu należy wejść na stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska https://incydent.cert.pl/

Na stronie wypełnia się krótki formularz online, dołącza podejrzaną wiadomość, a następnie wysyła zgłoszenie.
W przypadku uzasadnionego podejrzenie wykrycia oszustwa lub bycia ofiarą oszustwa należy zgłosić ten fakt policji lub do prokuratury.