Phishing dominuje wśród cyberzagrożeń. Jak się zabezpieczyć?

Phishing to forma cyberataku, w której przestępcy podszywają się pod znane marki, operatorów mediów, platformy VOD, sklepy internetowe, banki, a nawet zaufane instytucje państwowe. Ich celem jest wyłudzenie poufnych informacji, takich jak loginy, hasła, numery kart płatniczych, dane osobowe czy informacje finansowe. Ofiarą może stać się dosłownie każdy z nas. Atakujący nierzadko zadowalają się nawet niewielkimi kwotami lub danymi logowania do mediów społecznościowych. Przejęte konto to w praktyce skradziona tożsamość cyfrowa, która może posłużyć do oszustw, wyłudzeń lub przerzucenia odpowiedzialności na niewinnego użytkownika.

Phishing może przyjmować różne formy, jednak najczęściej spotykany jest phishing e-mailowy, czyli fałszywe wiadomości, które nakłaniają odbiorcę do działania zgodnego z intencją atakującego. Może to być szeroka kampania wymierzona w wielu użytkowników lub precyzyjny atak skierowany do konkretnej osoby. Tego rodzaju działania określa się mianem spear phishingu (phishing ukierunkowany).

Szczególnym przypadkiem jest whaling, czyli ataki wymierzone w osoby zajmujące wysokie stanowiska w firmach lub instytucjach państwowych. Różnią się one od zwykłych kampanii phishingowych tym, że są nakierowane na osoby mające dostęp do poufnych danych lub mogące podejmować decyzje o dużych konsekwencjach.

Phishing może być również dostarczony przez wiadomość SMS, taki wariant to smishing. Spotyka się też angler phishing, czyli wiadomości w mediach społecznościowych, często podszywające się pod biura obsługi klienta. Nie należy także ignorować podejrzanych wiadomości od znajomych, ich konta mogły zostać wcześniej przejęte przez cyberprzestępców.

Obrona przed fałszywymi wiadomościami wysyłanymi rzekomo przez znajomych jest stosunkowo prosta – kluczowe jest zachowanie czujności. Atakujący często analizują historię naszych rozmów, publikowane zdjęcia oraz inne informacje, które mogli uzyskać z przejętego konta znajomego. Dzięki temu potrafią naśladować styl pisania, sposób zwracania się czy tematy, które rzeczywiście pojawiały się w waszych rozmowach.

Jak więc sprawdzić, czy osoba, która do nas pisze, faktycznie potrzebuje pomocy?Najlepiej skontaktować się z nią innym kanałem komunikacji, niezależnym od Internetu. Zadzwonić lub wysłać SMS z pytaniem, czy wiadomość przesłana komunikatorem rzeczywiście pochodzi od niej.

Weryfikacja fałszywego e-maila jest trudniejsza niż szybki telefon do znajomego, ale jak najbardziej możliwa. Najważniejsze, to zachować spokój. Cyberprzestępcy liczą na to, że odbiorca zareaguje impulsywnie, pod wpływem emocji. Wiadomości informujące, że "Twoje konto wygaśnie w ciągu 12 lub 24 godzin" mają za zadanie wywołać stres i zmusić do kliknięcia w zainfekowany link, zanim zdążymy się zastanowić.

Nawet jeśli wiadomość okaże się prawdziwa, w większości przypadków kilka godzin zwłoki niczego nie zmieni. Lepiej sprawdzić, niż żałować. Oto kilka prostych sposobów, jak zweryfikować autentyczność wiadomości:

1. Sprawdź adres nadawcy. W większości aplikacji pocztowych wystarczy najechać kursorem lub kliknąć na nazwę nadawcy, aby zobaczyć pełny adres e-mail. Upewnij się, że domena po znaku "@" rzeczywiście należy do organizacji, za którą podaje się nadawca. Zachowaj czujność – oszuści często używają domen różniących się jedną literą od oryginału (np. bank.pl zamiast bonk.pl).
2. Przyjrzyj się logo i elementom graficznym. Otwórz w osobnym oknie oficjalną stronę firmy i porównaj jej wygląd z logo w wiadomości. Instytucje dbają o spójność wizerunku, dlatego różnice w kolorze, czcionce czy układzie powinny wzbudzić twoją czujność.
3. Sprawdź linki, zanim klikniesz. Kliknij prawym przyciskiem myszy i wybierz "Kopiuj adres linku" (na telefonie przytrzymaj palec na odnośniku). Następnie wklej adres do notatnika, przesuń kursor na początek i zobacz, dokąd naprawdę prowadzi. Jeśli domena różni się od nazwy organizacji, za którą podaje się nadawca, to powód, by podejrzewać oszustwo.
4. Zbadaj link w VirusTotal. Wklej adres w wyszukiwarce serwisu VirusTotal.com. Narzędzie pokaże, czy któryś z silników antywirusowych uznał go za niebezpieczny (oznaczenia w kolorze żółtym lub czerwonym). Wynik analizy to wskazówka, zachowaj czujność niezależnie od wyniku.
5. Dla zaawansowanych: sprawdź nagłówki wiadomości. Każdy klient poczty umożliwia podejrzenie źródła e-maila (zazwyczaj pod ikoną trzech kropek lub sekcją "Więcej"). W linijkach "Return-Path" i "Reply-To" sprawdź adresy e-mail, jeśli domena po znaku "@" różni się od tej, z której rzekomo pochodzi wiadomość, możesz mieć do czynienia z próbą phishingu.

Jeśli treść wiadomości zachęca do zalogowania się w panelu klienta lub wykonania płatności, nigdy nie klikaj w link w e-mailu. Zamiast tego wpisz adres strony banku, sklepu czy platformy samodzielnie w przeglądarce lub znajdź ją przez wyszukiwarkę. Po wejściu na oficjalną stronę zaloguj się bezpośrednio – jeśli faktycznie masz zaległość lub komunikat do potwierdzenia, zobaczysz go w swoim panelu użytkownika lub w aplikacji mobilnej.

Każdy duży operator usług internetowych posiada obsługę klienta. W razie wątpliwości warto zadzwonić lub zgłosić się przez formularz kontaktowy i potwierdzić autentyczność wiadomości. W przypadku banków najlepiej samodzielnie odszukać numer telefonu na oficjalnej stronie internetowej i przepisać go do telefonu. Nie korzystaj z numerów podanych w e-mailu ani nie porównuj ich na oko. Oszuści potrafią stworzyć fałszywy numer różniący się jedną cyfrą, by zwiększyć wiarygodność ataku.

Jeżeli wiadomość dotyczy dopłaty za przesyłkę, skopiuj numer paczki i sprawdź na stronie firmy kurierskiej w zakładce śledzenia przesyłek. Może się okazać, że taka paczka nie istnieje lub nie jest przypisana do twoich danych. Warto też przypomnieć sobie, czy coś ostatnio zamawialiśmy z dostawą realizowaną przez danego przewoźnika. W razie wątpliwości najlepiej skontaktować się bezpośrednio z biurem obsługi klienta.

Atakujący stosują wiele metod i podszywają się pod różne firmy. Gdy otrzymasz wiadomość nakłaniającą cię do opłaty, logowania lub przekazania danych – zastanów się, czy możesz wykonać tę samą czynność innym sposobem. Jeśli po zalogowaniu się przez aplikację mobilną nie widać żadnych zaległości, próśb o płatność czy wymogu zmiany hasła, to sygnał ostrzegawczy, który powinien wzbudzić podejrzenia.

Jeśli podejrzewasz, że otrzymana wiadomość to próba phishingu, możesz przesłać ją do CERT Polska na adres: cert@cert.pl. Zespół CERT analizuje zgłoszenia i podejmuje działania, które pomagają chronić innych użytkowników przed podobnymi atakami.

Każdy dostawca usług e-mail udostępnia również specjalne adresy lub formularze do zgłaszania nadużyć. Użytkownicy Poczty Wirtualnej Polski i O2 mogą skorzystać z formularza dostępnego na stronie pomoc.wp.pl w sekcji "Skontaktuj się z nami", lub przesłać wiadomość bezpośrednio na adres abuse@wp.pl. Zgłoszona wiadomość zostanie zweryfikowana.

Podobne mechanizmy oferują operatorzy usług sieciowych, platformy VOD, dostawcy energii czy instytucje państwowe. Warto odwiedzić sekcję "Pomoc" lub "Kontakt" na stronie internetowej danego podmiotu, znajdziesz tam oficjalny kanał do kontaktu.

W przypadku ataku przeprowadzonego za pomocą SMS-a, podejrzaną wiadomość można przesłać do CERT Polska pod numer 8080. Jeśli chcesz zgłosić incydent bezpośrednio do firmy, pod którą ktoś się podszywa, najlepiej skorzystać z oficjalnego formularza na jej stronie, tak jak w przypadku e-maili. Pozwoli to pracownikom działu bezpieczeństwa dokładniej poznać okoliczności i szybciej podjąć odpowiednie działania.

Jeśli padłeś ofiarą phishingu, nie trać czasu, liczy się szybka reakcja. Zgłaszanie incydentów cyberbezpieczeństa to nie wstyd, to przejaw rozsądku i świadomości, że cyberprzestępcy mogą próbować wykorzystać twoje dane do kolejnych oszustw. Zastosuj co najmniej jeden z opisanych niżej kroków.

1. Zmień hasła. W pierwszej kolejności zmień hasło wszędzie tam, gdzie używałeś tego samego, które mogło zostać ujawnione. Upewnij się, że nowe hasło jest unikalne i silne. Korzystaj z menedżera haseł.
2. Zgłoś incydent do właściwej platformy. Powiadom serwis lub instytucję, pod którą podszywał się atakujący. Możesz wykorzystać jedną z metod opisanych wcześniej (np. przez formularz kontaktowy lub dedykowany adres e-mail do zgłoszeń nadużyć).
3. Skontaktuj się z bankiem. Jeśli przelałeś pieniądze lub przekazałeś kod BLIK, niezwłocznie zadzwoń do swojego banku i poinformuj o incydencie. Bank może zablokować transakcję lub pomóc w odzyskaniu środków.
4. Zgłoś zdarzenie do CERT Polska. Możesz wypełnić formularz dostępny na stronie https://incydent.cert.pl.
5. Powiadom Policję. Jeśli podejrzewasz, że doszło do przestępstwa, zgłoś sprawę na Policję. Nie dzwoń jednak pod numery alarmowe 112 ani 997. Numery te służą do nagłych sytuacji stwarzających zagrożenie! Udaj się do najbliższej jednostki policji lub znajdź numer kontaktowy do odpowiedniego komisariatu w Internecie.

1. Włącz uwierzytelnianie dwuskładnikowe (2FA) wszędzie, gdzie to możliwe. Dzięki temu, nawet jeśli ktoś pozna twoje hasło, nie zaloguje się bez dodatkowego potwierdzenia. To jeden z najskuteczniejszych sposobów ochrony konta przed przejęciem.
2. Korzystaj z menedżera haseł. Twórz silne, unikalne hasła dla każdej usługi i nie zapamiętuj ich wszystkich. Menedżery haseł przechowują dane w zaszyfrowany sposób i znacząco zwiększają bezpieczeństwo w sieci.
3. Zachowaj spokój i czujność. Czasem wystarczą dwie minuty oddechu, by uniknąć kosztownej pomyłki. Przeczytaj wiadomość jeszcze raz, przyjrzyj się logo, adresowi i tonowi komunikatu – chwila refleksji może uratować twoje dane (i pieniądze).