Phishing – co to jest? Jak się przed nim bronić?

Opublikowane przez Redakcja w dniu

Mnóstwo mówi się o tym, aby być ostrożnym podczas korzystania z Internetu. Jak się okazuje, metody stosowane przez różnej maści oszustów i przestępców ciągle ewoluują, stawiając przed tymi, którzy mają złe zamiary coraz to nowsze możliwości. Nieświadomi użytkownicy bardzo łatwo mogą paść ofiarą nieczystych zagrywek, a konsekwencje nieraz są bardzo poważne. Kradzieże tożsamości, uzyskanie dostępu do pieniędzy na koncie bankowym, czy zawirusowanie komputera i przechwycenie haseł do wszystkich portali, na których jesteśmy aktywni to tylko niektóre z nich. Warto wiedzieć, przed czym należy się strzec i na co uważać, a także jakie symptomy powinny nas zaniepokoić.

Phishing – popularna metoda wśród oszustów

Jednym z czyhającym na nas w sieci zagrożeń jest phishing, który polega na tym, że przestępca podszywa się pod budzącą nasze zaufanie instytucję, czy też osobę. W ten sposób najczęściej atakowane są nasze skrzynki mailowe lub konta na portalach społecznościowych, kiedy to otrzymujemy wiadomość zachęcającą do kliknięcia linku lub pobrania załącznika. Metody zachęcające nas do podjęcia takich działań mogą być bardzo różne.

Czasem oszuści piszą, że przesyłają nam fakturę, a niekiedy sugerują, że musimy potwierdzić swoją tożsamość lub uaktywnić konto, ponieważ się przedawniło. Ich inwencja twórcza nie zna  granic. Komunikatów, na których otrzymanie jesteśmy narażeni, jest całe mnóstwo. Cel jest jeden – skłonić ofiarę do tego, aby pobrała zainfekowany załącznik lub kliknęła szkodliwy link. Może on, przykładowo przekierowywać do strony banku, na której jesteśmy proszeni o podanie newralgicznych danych. Przekonanie, że faktycznie połączyliśmy się z oficjalną i bezpieczną witryną, nieraz skłania nas do wypełnienia wymaganych pól. Problem w tym, że może się okazać, iż strona jest całkowicie podrobiona, a my właśnie podaliśmy swoje poufne informacje przypadkowej osobie.

Rodzaje phishingu

Phishing może przybierać rozmaite formy. Opierają się one na tym samym schemacie, ale mogą być odmienne we względach szczegółowych i organizacyjnych.

Najbardziej znany przeciętnemu użytkownikowi może być tzw. clone phishing. Przestępcy wzorują się wówczas na oryginalnym wyglądzie i treści e-maili przesyłanych swoim klientom np. przez operatora komórkowego czy też bank. Wysyłając taką wiadomość liczą na to, że zabiegany człowiek nie sprawdzi dokładnie czy wszystkie dane się zgadzają, czy adres mailowy nadawcy nie budzi żadnych wątpliwości, ani czy w ogóle istnieje powód, dla którego miałby właśnie otrzymać takiego maila.

Kolejny rodzaj phishingu nazywany jest często whalingiem, ponieważ ukierunkowany jest często na wysoko postawionych biznesmenów lub pracowników dużych korporacji, którzy zajmują poważne stanowiska. Jest on nieco bardziej spersonalizowany, ponieważ wiadomości nie są wysyłane stricte masowo – uwzględnia się w nich na przykład funkcję pełnioną w danym przedsiębiorstwie, a nawet konkretne dane personalne jeśli przestępca takie posiada. Takie działanie dodaje fałszywemu mailowi wiarygodności. Maile tego rodzaju zazwyczaj stylizuje się na pochodzące z poważnych instytucji, takich jak urzędy, kancelarie czy partnerzy biznesowi.

Następna odmiana – spear phishing – nie jest zazwyczaj kierowana do masowej grupy osób, czy do jednej indywidualnej persony, ale do konkretnej grupy docelowej zazwyczaj w jakiś sposób powiązanej z nadawcą, pod którego oszust się podszywa.

Jak się uchronić przed phishingiem?

Niestety, jeśli chodzi o Internet nigdy nie ma absolutnej pewności, że zapewnimy sobie stuprocentowe bezpieczeństwo. Powinniśmy jednak być maksymalnie uważni i ostrożni, a także kształcić naszą wiedzę oraz spostrzegawczość wobec niepokojących symptomów. Jeżeli otrzymujemy maila, powinniśmy zastanowić się czy nie jest on podejrzany. Warto skonfrontować oficjalny adres poczty elektronicznej z tym, z którego dostaliśmy wiadomość. Nieodzowny będzie także zdrowy rozsądek – jeśli dopiero co otrzymaliśmy fakturę i nie spodziewamy się więcej, to jaka jest szansa, że została wysłana do nas kolejna kilka dni później?

Warto także zaopatrzyć się w specjalne programy komputerowe, nazywane antyphishingowymi. Mogą one w określonych przypadkach pomóc nam w zidentyfikowaniu fałszywego maila. Również wtedy kiedy „coś nam nie gra”, warto się dłużej zastanowić czy aby na pewno korespondencja pochodzi z autoryzowanych źródeł. Natomiast w przypadku kiedy już kliknęliśmy link i zostaliśmy przekierowani na stronę banku czy innej instytucji, powinniśmy sprawdzić czy faktycznie jest to oficjalna witryna. Warto przyjrzeć się czy w przeglądarce widoczne jest odpowiednie oznaczenie zapewniające o bezpieczeństwie. Dobrze także sprawdzić certyfikaty. Poza tym każda sytuacja, w której bank zaczyna prosić nas o podawanie niestandardowych danych, powinna być dla nas sygnałem spostrzegawczym.

Nie trzeba jednak również popadać w paranoję. Jeśli zauważymy coś dziwnego, warto przeskanować komputer i upewnić się, że niczego nie pobieraliśmy, ani nie wpisywaliśmy swoich danych w podejrzanych miejscach.