Phishing – co to jest i jak reagować na oszustwa internetowe?

Co to znaczy phishing?

Słowo phishing pochodzi z języka angielskiego. Oznacza podszywanie się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji. Słowo odnosi się do „łowienia” i brzmi podobnie do słowa „fishing” (z ang: łowienie ryb). Analogii działalności cyberprzestępców do wędkarzy można znaleźć wiele. Tu i tu mamy sieć i wykorzystywanie przynęty. Czym charakteryzuje się phishing i jak wygląda cały proces stosowany przez cyberprzestępców.  

Co to jest phishing – definicja

Phishing to rodzaj cyberataku, podczas którego cyberprzestępca próbuje wyłudzić od ofiary poufne informacje. Jest to najprostszy i jednocześnie najpopularniejszy rodzaj cyberataku, którego celem jest np. kradzież loginów, numerów kart kredytowych i rachunków bankowych czy wrażliwych informacji firmowych. Podczas ataku tego typu, haker może również zainfekować komputer użytkownika oprogramowaniem typu malware. W przeciwieństwie do innych typów oszustw internetowych, wykorzystywane są błędy i luki w oprogramowaniu i konfiguracji. Celem phishingu nie jest urządzenie, ale człowiek i posiadane przez niego dane. Cyberprzestępca bardzo często podszywa się pod zaufaną instytucję lub osobę zaufania społecznego, autorytet dla ofiary, wymuszając strach czy pośpiech, aby skłonić ją do szybkiego działania. Przykładem takiej wymuszonej natychmiastowej reakcji może być logowanie do konta bankowego w celu autoryzacji danych.

Rodzaje phishingu

Ataki phishingowe możemy podzielić na cztery rodzaje:

1. Cyberprzestępca wysyła w wiadomości e-mail link, licząc na to, że ofiara w niego kliknie (phishing e-mail).
2. Haker próbuje wciągnąć ofiarę w rozmowę telefoniczną (vishing).
3. Haker wysyła wiadomość SMS z prośbą o kliknięcie w odnośnik lub oddzwonienie do nadawcy (smishing).
4. Spear phishing (oraz jego odmiana – whaling), który wyjaśnimy w dalszej części artykułu.

Phishing – przykłady

Phishing może polegać m.in. na jednym z poniższych działań:

• Wysyłaniu wiadomości z zainfekowanymi załącznikami np. do klientów banków. Kliknięcie w taki załącznik może skutkować pobraniem złośliwego oprogramowania, które szyfruje dane.
• Tworzeniu fałszywych stron www (np. strona logowania do banku) podobnych do oryginałów, na której użytkownik wpisuje login i hasło.
• Wysyłaniu wiadomości SMS, które informują o konieczności uiszczenia jakiejś opłaty, np. za zamówioną rzekomo przesyłkę.
• Rozsyłaniu fałszywych wezwań do zapłaty z groźbą o wszczęciu postępowania windykacyjnego.
• Wyłudzaniu kodu BLIK przez osoby, które podszywają się pod znajomych z portali społecznościowych ofiary (np. z Facebooka) itp.

Najświeższy raport CERT przedstawia statystyki dotyczące zgłoszeń i incydentów w 2021 roku. Publikację podsumowują poniższe liczby dotyczące zgłoszeń.

Największa liczba zgłoszeń dotyczyła takich sektorów gospodarki, jak: media (8 339) handel hurtowy i detaliczny (5 125), poczta i usługi kurierskie (4 338) energetyka (4 084).*

Kto może paść ofiarą phishingu?

Na atak typu phishing narażeni jesteśmy wszyscy - od właścicieli firm i dyrektorów, poprzez pracowników większych i mniejszych firm, aż po zwykłych internautów. Ataki phishingowe trwają nieustannie i możemy się z nimi spotkać wszędzie. Bardzo popularnym rodzajem phishingu są kampanie na portalach sprzedażowych, których ofiarami padają użytkownicy serwisu ogłoszeniowego. Często dostajemy też fałszywe wiadomości SMS z informacją, że minął termin zapłaty jakiejś należności. Ataków phishingowych nie jesteśmy w stanie łatwo wyeliminować ze swojego życia, dlatego warto budować świadomość na ten temat i zdawać sobie sprawę z ryzyka i konsekwencji.

Dlaczego phishing jest niebezpieczny?

Skutki ataku mogą być dla ofiary bardzo poważne. Najczęściej dochodzi do kradzieży danych i tożsamości ofiary. Szczególnie jeśli sama ofiara ujawniła swoje dane logowania do banku lub innego serwisu internetowego. Gdy haker nakłoni osobę do zalogowania na fałszywej stronie, może podszywać się pod nią, kradnąc tym samym jej tożsamość. Jeśli haker zainfekuje urządzenie złośliwym oprogramowaniem, zdarza się, że ofiara phishingu traci też kontrolę nad swoim komputerem, a nawet całym systemem informatycznym. Cyberprzestępca może w ten sposób zaszyfrować dane, a następnie szantażować ofiarę i próbować wyłudzić od niej pieniądze.

Podsumowując, najczęstsze i najbardziej niebezpieczne skutki ataku phishingowego to utrata tożsamości i wrażliwych danych, a także utrata środków finansowych. Aby się przed nimi uchronić, warto wiedzieć, jak bronić się przed phishingiem.

Phishing – jak się bronić?

Aby uchronić się przed atakiem phishingowym, należy przede wszystkim pamiętać o następujących zasadach.

1. Zastanów się, zanim klikniesz cokolwiek w wyskakującym okienku na ekranie komputera.
2. Zawsze weryfikuj nadawcę maila zanim klikniesz w jego zawartość lub otworzysz załącznik. Nie pobieraj i nie otwieraj załączników maili, których się nie spodziewasz. Postępuj podobnie z wiadomościami SMS. Gdy wygląda podejrzanie, nie klikaj w linki i nie odpisuj. Warto postawić w tym przypadku na przezorność i ograniczone zaufanie do nadawcy.
3. Staraj się weryfikować informacje w wiadomościach poprzez inny kanał kontaktowy.
4. Nie klikaj w niechciane linki na portalach społecznościowych i zawsze sprawdzaj adresy URL, które są zawarte w odbieranych wiadomościach.
5. Zabezpiecz swój domowy Internet programem antywirusowym i narzędziem zabezpieczającym przed phishingiem.
6. Nie podawaj swoich danych osobowych, jeśli nie jesteś pewien, że rozmawiasz z osobą, której ufasz. Nie przesyłaj zdjęć oraz skanów dokumentów: dowodu osobistego, paszportu, karty kredytowej (np. na potrzeby realizacji płatności przy zakupie przez portal ogłoszeniowy).
7. Chroń swoje konta, zabezpieczając je silnymi hasłami i korzystaj z uwierzytelniania dwuskładnikowego oraz menadżera haseł.

Co zrobić w przypadku phishingu?

Jeśli mimo przestrzegania wymienionych zasad, jesteś ofiarą ataku phishingowego, podejmij poniższe kroki.

• Jak najszybciej zmień hasła, zanim zrobią to hakerzy.
• Jeśli skradziono Twoje dane logowania do banku, od razu skontaktuj się z bankiem.
• Jeśli nie masz już możliwości zalogować się do swojego konta, skontaktuj się z działem obsługi klienta, aby Twoje dane dostępowe zostały przywrócone.

Jak zgłosić próbę phishingu?

Zgłoszenie phishingu nie jest trudne, a może zapobiec atakowi na kolejne ofiary. Prostym sposobem na zgłoszenie lub podejrzenie ataku phishingowego jest wypełnienie formularza online na stronie internetowej zespołu reagowania na incydenty komputerowe CERT Polska.

Formularz dostępny jest pod linkiem: https://incydent.cert.pl/. Zgłoszenie zajmuje dosłownie chwilę i umożliwia również zgłoszenie podejrzanego SMS przez przesłanie go na nr telefonu CERT: 799 448 084.

Jeśli jesteś ofiarą ataku, zgłoś ten fakt również policji lub do prokuratury.

Oszustwo internetowe – gdzie zgłaszać?

Przed dokonaniem zgłoszenia, pamiętaj, aby jak najdokładniej udokumentować to, co się stało. Na pewno przydadzą się screeny ekranów, na których podałeś swoje dane, a także wiadomości, które sugerowały konieczność dopłaty lub zawierały podejrzane linki. Każde oszustwo internetowe powinno niezwłocznie zostać zgłoszone policji.

Spear phishing – co to jest?

Na koniec powiedzmy jeszcze kilka słów o groźniejszej odmianie phishingu, jaką jest spear phishing (nazywany też phishingiem profilowanym). Jest to atak wykorzystujący wcześniej pozyskane informacje o potencjalnych ofiarach w celu zwiększenia jego skuteczności i stworzenia wiadomości idealnie dopasowanej do ofiary.

Celem spear phishingu jest kradzież własności intelektualnej i innych wrażliwych danych konkretnej osoby. Tego rodzaju atak jest zwykle trudniejszy niż tradycyjny. Wymaga przygotowania i jest przez to zdecydowanie skuteczniejszy, ponieważ jest spersonalizowany i kierowany bezpośrednio do danej osoby lub organizacji. Skrajną odmianą spear phishingu jest whaling, czyli próba ataku na osobę będącą na ważnym stanowisku w firmie lub organizacji.

* Żródło statystyk: https://cert.pl/posts/2022/04/statystyki-obslugi-incydentow-2021/.