Zabezpieczenia techniczne firm oraz instytucji są coraz lepsze, dlatego też przestępcy cały czas szukają nowych metod, aby wyłudzić od nas poufne dane i pieniądze. W 2021 roku phishing był najczęściej zgłaszanym incydentem do CERT Polska i stanowił aż 76,57% wszystkich obsłużonych przez nich zgłoszeń.

W tym artykule przybliżę Ci:
  • czym jest phishing, smishing, vishing oraz jak je rozpoznać,
  • jak nie dać się nabrać oszustom,
  • jak zabezpieczyć się przed phishingiem

Co to jest phishing?

Pojęcie phishing wywodzi się z połączenia dwóch słów — fishing (wędkowanie) oraz phreaking (łamanie zabezpieczeń sieci telekomunikacyjnych). Oszustwo to polega na próbie podszycia najczęściej pod znaną firmę lub instytucję. Do osiągnięcia celu oszuści wykorzystują specjalnie przygotowane wiadomości e-mail, SMS, korzystają z połączenia telefonicznego lub spreparowanej strony internetowej. Celem tego typu ataku jest wyłudzenie poufnych danych takich jak:

  • dane logowania
  • SMS-y autoryzacyjne
  • numery PESEL
  • numery kart kredytowych
  • skany dokumentów

Podobne oszustwa, czyli smishing oraz vishing.

Oprócz phishingu istnieją także bardzo podobne oszustwa jak smishing oraz vishing. W tego typu oszustwach przestępcy tak samo, jak w przypadku phishingu najczęściej podszywają się pod znaną firmę lub instytucję celem wyłudzenia poufnych danych, lecz za pomocą innej metody. 

Co to jest smishing?

W przypadku smishingu stosują oni fałszywe wiadomości SMS, w których często wymuszają na Tobie podjęcie pilnego działania z ważnych przyczyn jak np. zagrożenie, konieczność weryfikacji czy usprawnienia. Taka wiadomość może również zawierać informację, że jeśli nie podasz danych, to twoje konto zostanie zablokowane.

Przykład fałszywej wiadomości SMS:

Phishing SMS

Czym jest vishing?

Czyli phishing głosowy (voice phishing). W tym oszustwie przestępcy wykorzystują rozmowę telefoniczną, aby wyłudzić od Ciebie dane.

Bardzo często podczas kontaktu z ofiarą oszustwa, podszywają się pod pracownika banku, np. w związku z włamaniem na konto czy koniecznością zablokowania przelewu. W rzeczywistości przestępcy będą chcieli wyłudzić od Ciebie dane logowania oraz kod SMS, aby wyczyścić konto. Mogą także nakłaniać Cię do zainstalowania aplikacji na telefonie, która pozwoli im uzyskać do niego zdalny dostęp.

Jeżeli masz wątpliwości czy rozmawiasz z pracownikiem danej firmy lub instytucji, nigdy nie podawaj swoich danych. Rozłącz się i samodzielnie zadzwoń bezpośrednio do dostawcy usługi lub instytucji. Pamiętaj, że przestępcy mogą fałszować identyfikator dzwoniącego, więc poprawny numer telefonu dzwoniącego nie oznacza, że połączenie na pewno jest prawdziwe.

Ciekawostka: Według raportu przygotowanego przez CERT dotyczącego Statystyki obsługi incydentów w 2021 r. , największa liczba incydentów w sieci dotyczyła oszustw komputerowych – w tym bezpośrednio phishingu.

Jak rozpoznać phishing?

Wspólnym mianownikiem dla tego typu oszustw jest fałszywa wiadomość, w której przestępcy podszywają się pod znaną firmę lub instytucję. Stosowane przez nich metody wyłudzenia poufnych danych mogą być różne. W wiadomości mogą np. nakłaniać Cię do wejścia i zalogowania się na fałszywą stronę, która jest łudząco podobna do prawdziwej w celu przykładowo rzekomego odblokowania konta. Mogą również nakłaniać do wykonania dopłaty do zamówienia lub przesyłki kurierskiej. Możesz także otrzymać wiadomość z fałszywą fakturą, która jest zainfekowana złośliwym oprogramowaniem. 

Zazwyczaj fałszywe strony i wiadomości przygotowywane są przez oszustów z dużą starannością, by ich ogólny wygląd i układ do złudzenia przypominał prawdziwą stronę danej usługi lub portalu.

Poniżej przykład fałszywej wiadomości:

Phishing mail

Po czym rozpoznać, że powyższa wiadomość nie została wysłana przez nas? Oto kilka punktów, które powinny wzbudzić wątpliwości:

  1. adres e-mail nadawcy nie pochodzi z domeny zenbox.pl,
  2. nieestetyczna forma maila, niezgodna ze stylem graficznym oraz komunikacji marki,
  3. w wiadomości znajduje się link do fałszywej strony, w innej domenie niż zenbox.pl,
  4. nieprawidłowe dane firmy w stopce

Jak ochronić się przed atakiem phishingowym?

Gdy otrzymasz podejrzaną wiadomość, pamiętaj, aby zachować czujność i nie daj ponieść się emocjom. Oto kilka prostych sposobów, jak zadbać o swoje bezpieczeństwo w sieci i nie stać się ofiarą phishingu:

  1. nie otwieraj podejrzanych linków oraz nie pobieraj załączników,
  2. zweryfikuj adres e-mail nadawcy lub numer telefonu w przypadku ataków SMS i telefonicznych,
  3. sprawdź, na jaki adres kieruje link otrzymanej wiadomości — wystarczy wskazać go kursorem,
  4. dokładnie sprawdź wygląd i adres strony, na którą kieruje otrzymana wiadomość. Na pierwszy rzut oka może nie różnić się od tej oficjalnej.
  5. bardzo duża ilość wiadomości oraz stron phishingowych  ma niepoprawną gramatykę, interpunkcję, pisownię, czy też brak jest polskich znaków diakrytycznych

Jeżeli po wykonaniu powyższej weryfikacji nadal będziesz mieć wątpliwości czy wiadomość jest prawdziwa, skontaktuj się bezpośrednio z firmą lub instytucją, której dotyczy sprawa.

Ponadto pamiętaj, aby:

  • ostrożnie podchodzić do wiadomości, w których jesteś proszony o podanie poufnych danych lub o wykonanie operacji wymagającej zalogowania przy użyciu przesłanego linka,
  • logować się do kont wyłącznie ze swojego komputera lub telefonu,
  • nie instalować nieznanego oprogramowania,
  • zwracać uwagę na adres strony, na której dokonujesz płatności lub logowania,
  • nie pobierać podejrzanych załączników,
  • czytać nasze komunikaty

Ważne: Większość instytucji, również tych bankowych nigdy nie poprosi Cię o dane logowania do Twojego konta lub instalację dodatkowego oprogramowania koniecznego do wykonania konfiguracji Twojego urządzenia.

Jak zabezpieczyć się przed phishingiem?

Oprócz stosowania zasad wymienionych w powyższym punkcie warto także zabezpieczyć się od strony technicznej:

1. Używaj oprogramowania antywirusowego,

2. Regularnie aktualizuj programy zainstalowane na twoim urządzeniu,

3. Włącz uwierzytelnianie dwuetapowe. W Zenbox takie zabezpieczenie możesz włączyć zarówno dla Panelu Klienta, jak i poczty e-mail:

4. Jeśli zauważysz podejrzanego e-maila, oznacz go w skrzynce odbiorczej jako spam. Spowoduje to usunięcie go ze skrzynki odbiorczej. 

Podejrzaną wiadomość lub próbę wyłudzenia bardzo dobrze jest zgłosić firmie lub instytucji, która padła ofiarą podszycia się przez przestępców. Dodatkowo pamiętaj, aby zgłosić taki incydent do CERT Polska za pomocą formularza kontaktowego lub infolinii.

Podsumowanie

Wiesz już jak mogą działać przestępcy i co robić, aby nie dać się oszukać. W artykule zostały przedstawione absolutne podstawy, których warto przestrzegać.

Gdyby pojawiły się jakiekolwiek wątpliwości, nie wahaj się skontaktować z naszym Biurem Obsługi Klienta. 🙂

Autor:

Łukasz Szczerbakowski

Może ci się spodobać również

Napis SEO na fioletowym tle
Porady - 3 lutego 2023 16:42

10 zagadnień, które musisz poznać, zanim rozpoczniesz działania SEO

SEO to pozornie skomplikowany proces, który jest bardzo często kojarzony z tajemną wiedzą specjalistów od pozycjonowania. W dzisiejszym wpisie przygotowałem dla Ciebie listę 10 rzeczy, które pozwolą Ci lepiej zrozumieć podstawowe zagadnienia związane z pozycjonowaniem stron. Możesz wykorzystać je zarówno podczas prowadzenia własnych działań SEO jak i podczas współpracy ze specjalistami.

Więcej →

Checklista podczas wyboru domeny
Porady - 30 stycznia 2023 17:27

Stoisz przed wyborem domeny internetowej? Wykorzystaj te 5 wskazówek, które przygotowaliśmy

Wybór domeny to pierwsza decyzja, jaką podejmiesz wstępując w świat tworzenia stron internetowych. Domena pozostanie z Tobą przynajmniej przez rok, więc warto dobrze przemyśleć, jaką nazwą będzie się posługiwać i firmować swoją pracę. Nazwa domeny to bowiem nie tylko adres internetowy, ale również Twoja wizytówka w sieci - to ją, w pierwszej kolejności pozna Klient czy osoba odwiedzająca witrynę.

Więcej →

WordPress pod lupą
Porady - 20 stycznia 2023 15:14

11 faktów o WordPress, które musisz wiedzieć

WordPress to najpopularniejszy system zarządzania treścią w Internecie i fascynujące narzędzie do tworzenia stron internetowych. Sam pracuję z WordPressem od 2009 roku i do tej pory nie znalazłem CMS, z którym pracowałoby mi się lepiej. To dlatego, że WordPress jest bardzo elastycznym narzędziem, które pozwala nam realizować różne projekty i jest bardzo popularny w Internecie. Zresztą widać to po naszym blogu, gdzie przeważająca liczba artykułów dotyczy właśnie tego systemu CMS. Natomiast ja dzisiaj chciałbym przedstawić Ci 10 faktów o WordPressie, które musisz wiedzieć, jeśli jesteś ciekawy, co WordPress potrafi. 

Więcej →