Zabezpieczenia techniczne firm oraz instytucji są coraz lepsze, dlatego też przestępcy cały czas szukają nowych metod, aby wyłudzić od nas poufne dane i pieniądze. W 2021 roku phishing był najczęściej zgłaszanym incydentem do CERT Polska i stanowił aż 76,57% wszystkich obsłużonych przez nich zgłoszeń.

W tym artykule przybliżę Ci:
  • czym jest phishing, smishing, vishing oraz jak je rozpoznać,
  • jak nie dać się nabrać oszustom,
  • jak zabezpieczyć się przed phishingiem

Co to jest phishing?

Pojęcie phishing wywodzi się z połączenia dwóch słów — fishing (wędkowanie) oraz phreaking (łamanie zabezpieczeń sieci telekomunikacyjnych). Oszustwo to polega na próbie podszycia najczęściej pod znaną firmę lub instytucję. Do osiągnięcia celu oszuści wykorzystują specjalnie przygotowane wiadomości e-mail, SMS, korzystają z połączenia telefonicznego lub spreparowanej strony internetowej. Celem tego typu ataku jest wyłudzenie poufnych danych takich jak:

  • dane logowania
  • SMS-y autoryzacyjne
  • numery PESEL
  • numery kart kredytowych
  • skany dokumentów

Podobne oszustwa, czyli smishing oraz vishing.

Oprócz phishingu istnieją także bardzo podobne oszustwa jak smishing oraz vishing. W tego typu oszustwach przestępcy tak samo, jak w przypadku phishingu najczęściej podszywają się pod znaną firmę lub instytucję celem wyłudzenia poufnych danych, lecz za pomocą innej metody. 

Co to jest smishing?

W przypadku smishingu stosują oni fałszywe wiadomości SMS, w których często wymuszają na Tobie podjęcie pilnego działania z ważnych przyczyn jak np. zagrożenie, konieczność weryfikacji czy usprawnienia. Taka wiadomość może również zawierać informację, że jeśli nie podasz danych, to twoje konto zostanie zablokowane.

Przykład fałszywej wiadomości SMS:

Phishing SMS

Czym jest vishing?

Czyli phishing głosowy (voice phishing). W tym oszustwie przestępcy wykorzystują rozmowę telefoniczną, aby wyłudzić od Ciebie dane.

Bardzo często podczas kontaktu z ofiarą oszustwa, podszywają się pod pracownika banku, np. w związku z włamaniem na konto czy koniecznością zablokowania przelewu. W rzeczywistości przestępcy będą chcieli wyłudzić od Ciebie dane logowania oraz kod SMS, aby wyczyścić konto. Mogą także nakłaniać Cię do zainstalowania aplikacji na telefonie, która pozwoli im uzyskać do niego zdalny dostęp.

Jeżeli masz wątpliwości czy rozmawiasz z pracownikiem danej firmy lub instytucji, nigdy nie podawaj swoich danych. Rozłącz się i samodzielnie zadzwoń bezpośrednio do dostawcy usługi lub instytucji. Pamiętaj, że przestępcy mogą fałszować identyfikator dzwoniącego, więc poprawny numer telefonu dzwoniącego nie oznacza, że połączenie na pewno jest prawdziwe.

Ciekawostka: Według raportu przygotowanego przez CERT dotyczącego Statystyki obsługi incydentów w 2021 r. , największa liczba incydentów w sieci dotyczyła oszustw komputerowych – w tym bezpośrednio phishingu.

Jak rozpoznać phishing?

Wspólnym mianownikiem dla tego typu oszustw jest fałszywa wiadomość, w której przestępcy podszywają się pod znaną firmę lub instytucję. Stosowane przez nich metody wyłudzenia poufnych danych mogą być różne. W wiadomości mogą np. nakłaniać Cię do wejścia i zalogowania się na fałszywą stronę, która jest łudząco podobna do prawdziwej w celu przykładowo rzekomego odblokowania konta. Mogą również nakłaniać do wykonania dopłaty do zamówienia lub przesyłki kurierskiej. Możesz także otrzymać wiadomość z fałszywą fakturą, która jest zainfekowana złośliwym oprogramowaniem. 

Zazwyczaj fałszywe strony i wiadomości przygotowywane są przez oszustów z dużą starannością, by ich ogólny wygląd i układ do złudzenia przypominał prawdziwą stronę danej usługi lub portalu.

Poniżej przykład fałszywej wiadomości:

Phishing mail

Po czym rozpoznać, że powyższa wiadomość nie została wysłana przez nas? Oto kilka punktów, które powinny wzbudzić wątpliwości:

  1. adres e-mail nadawcy nie pochodzi z domeny zenbox.pl,
  2. nieestetyczna forma maila, niezgodna ze stylem graficznym oraz komunikacji marki,
  3. w wiadomości znajduje się link do fałszywej strony, w innej domenie niż zenbox.pl,
  4. nieprawidłowe dane firmy w stopce

Jak ochronić się przed atakiem phishingowym?

Gdy otrzymasz podejrzaną wiadomość, pamiętaj, aby zachować czujność i nie daj ponieść się emocjom. Oto kilka prostych sposobów, jak zadbać o swoje bezpieczeństwo w sieci i nie stać się ofiarą phishingu:

  1. nie otwieraj podejrzanych linków oraz nie pobieraj załączników,
  2. zweryfikuj adres e-mail nadawcy lub numer telefonu w przypadku ataków SMS i telefonicznych,
  3. sprawdź, na jaki adres kieruje link otrzymanej wiadomości — wystarczy wskazać go kursorem,
  4. dokładnie sprawdź wygląd i adres strony, na którą kieruje otrzymana wiadomość. Na pierwszy rzut oka może nie różnić się od tej oficjalnej.
  5. bardzo duża ilość wiadomości oraz stron phishingowych  ma niepoprawną gramatykę, interpunkcję, pisownię, czy też brak jest polskich znaków diakrytycznych

Jeżeli po wykonaniu powyższej weryfikacji nadal będziesz mieć wątpliwości czy wiadomość jest prawdziwa, skontaktuj się bezpośrednio z firmą lub instytucją, której dotyczy sprawa.

Ponadto pamiętaj, aby:

  • ostrożnie podchodzić do wiadomości, w których jesteś proszony o podanie poufnych danych lub o wykonanie operacji wymagającej zalogowania przy użyciu przesłanego linka,
  • logować się do kont wyłącznie ze swojego komputera lub telefonu,
  • nie instalować nieznanego oprogramowania,
  • zwracać uwagę na adres strony, na której dokonujesz płatności lub logowania,
  • nie pobierać podejrzanych załączników,
  • czytać nasze komunikaty

Ważne: Większość instytucji, również tych bankowych nigdy nie poprosi Cię o dane logowania do Twojego konta lub instalację dodatkowego oprogramowania koniecznego do wykonania konfiguracji Twojego urządzenia.

Jak zabezpieczyć się przed phishingiem?

Oprócz stosowania zasad wymienionych w powyższym punkcie warto także zabezpieczyć się od strony technicznej:

1. Używaj oprogramowania antywirusowego,

2. Regularnie aktualizuj programy zainstalowane na twoim urządzeniu,

3. Włącz uwierzytelnianie dwuetapowe. W Zenbox takie zabezpieczenie możesz włączyć zarówno dla Panelu Klienta, jak i poczty e-mail:

4. Jeśli zauważysz podejrzanego e-maila, oznacz go w skrzynce odbiorczej jako spam. Spowoduje to usunięcie go ze skrzynki odbiorczej. 

Podejrzaną wiadomość lub próbę wyłudzenia bardzo dobrze jest zgłosić firmie lub instytucji, która padła ofiarą podszycia się przez przestępców. Dodatkowo pamiętaj, aby zgłosić taki incydent do CERT Polska za pomocą formularza kontaktowego lub infolinii.

Podsumowanie

Wiesz już jak mogą działać przestępcy i co robić, aby nie dać się oszukać. W artykule zostały przedstawione absolutne podstawy, których warto przestrzegać.

Gdyby pojawiły się jakiekolwiek wątpliwości, nie wahaj się skontaktować z naszym Biurem Obsługi Klienta. 🙂

Autor:

Łukasz Szczerbakowski

Może ci się spodobać również

WordPress - 11 października 2024 14:22

Automatyzacja marketingu w WordPress: Przykłady praktyczne

W poprzednich artykułach omówiliśmy, dlaczego warto automatyzować marketing oraz jakie wtyczki WordPressa mogą w tym pomóc. Teraz czas na trzecią część, w której przedstawimy konkretne przykłady zastosowań automatyzacji marketingu, takich jak automatyczne wysyłanie newsletterów, przypomnienia o porzuconym koszyku czy dynamiczne treści na stronie. 1. Automatyzacja newsletterów Regularna komunikacja z użytkownikami poprzez newslettery to jedno z […]

Więcej →

UX - 10 października 2024 13:56

Testy A/B

Czym są testy A/B? Testy A/B należą do ilościowych metod badań użytkowników. Oznacza to, że efekty badania są w pełni policzalne – nie skupiamy się na kwestiach jakościowych a wyłącznie na wynikach liczbowych. Testy A/B polegają na udostępnieniu użytkownikom dwóch wersji tego samego projektu, aby móc sprawdzić, który z nich działa lepiej. W testach tych, […]

Więcej →

UX - 3 października 2024 12:35

Testy użyteczności

Testy użyteczności to jedno z ważniejszych badań w zakresie projektowania UX. Pozwalają nie tylko na zbadanie preferencji docelowego użytkownika, ale również na identyfikacji potencjalnych problemów w już istniejącym produkcie a także odkrywaniu możliwości jego ulepszeń. Czym są testy użyteczności? Testy użyteczności to badanie, podczas którego moderator prosi uczestnika o wykonanie zadań powiązanych z korzystaniem z […]

Więcej →