Phishing: Jak uchronić się przed oszustwami internetowymi

Phishing to współczesna wersja przestępstwa. Przestępcy nie kradną portfela z kieszeni, ale skutecznie wyłudzają od internetowych użytkowników wrażliwe dane, by osiągnąć swój cel. Na co uważać i jak chronić się przed cyberprzestępcami?

Bezpieczeństwo w internecie nie jest absolutne, przestępcy wciąż szukają nowych metod na oszustwa, ale wciąż można podjąć wiele działań, aby znacząco zwiększyć swoje bezpieczeństwo online. Na co jednak powinniśmy zwracać szczególną uwagę?

Czym jest phishing?

To jedna z większych zmor ostatnich lat wśród użytkowników internetu. Pod tą dziwnie brzmiącą nazwą kryje się wyłudzanie i wykorzystywanie danych osobowych lub poufnych informacji dla swojej korzyści. Cyberprzestępcy starają się wymyślać coraz to nowsze sposoby na zdobycie zaufania i wykorzystanie ofiary.

Nazwa tego zjawiska pochodzi od angielskiego słowa fishing, oznaczającego łowienie ryb. Przestępcy, niczym wytrawni wędkarze, zarzucają przynętę, by złowić kolejne ofiary. Podobnie, jak w przypadku łowienia – przynęta musi być odpowiednio zachęcająca, by akcja miała szansę się udać.

Czego szukają przestępcy? Przede wszystkim łatwego dostępu do finansów. Może się to kryć pod postacią numerów kart kredytowych, danych bankowych, PESELU, wszelkiego rodzaju loginów i haseł, które mogę doprowadzić do danych użytkownika. Osoby dokonujące phishingu często podszywają się pod zaufane źródła, aby zwieść swoje ofiary i skłonić je do podania poufnych informacji. Oto kilka przykładów tego, co może być phishingiem:

Jakie są metody phishingu?

• Phishing e-mailowy - oszuści wysyłają fałszywe e-maile, które wyglądają jak wiadomości od rzekomo zaufanych firm, takich jak banki, serwisy społecznościowe, dostawcy usług pocztowych lub handlowe strony internetowe. E-maile te często zawierają linki lub załączniki, które prowadzą do fałszywych stron logowania lub zawierają złośliwe oprogramowanie.
• Phishing telefoniczny (vishing) - oszuści dzwonią do ofiar, udając pracowników firm lub organizacji. Starają się uzyskać poufne informacje, takie jak numery kart kredytowych lub hasła, podszywając się pod rzekomo pilne sytuacje.
• Phishing SMS-owy (smishing) - oszuści wysyłają fałszywe wiadomości tekstowe (SMS-y), które próbują wyłudzić dane osobowe lub finansowe. Wiadomości te często zawierają linki lub numery telefonów do fałszywych usług klienta.
• Phishing na portalach społecznościowych - osoby dokonujące phishingu mogą tworzyć fałszywe profile na platformach społecznościowych i próbować nawiązywać kontakt z innymi użytkownikami, aby uzyskać dostęp do ich danych osobowych lub poufnych informacji.
• Phishing za pomocą fałszywych stron internetowych: Oszuści tworzą fałszywe strony internetowe, które wyglądają jak strony logowania do znanych usług, takich jak banki, serwisy e-mail czy portale społecznościowe. Ofiary zostają zwabione na te strony i proszone o podanie swoich danych logowania.
• Phishing poprzez złośliwe reklamy (malvertising): Oszuści mogą umieszczać złośliwe reklamy online, które zawierają linki lub przekierowania do fałszywych stron internetowych. Kliknięcie w taką reklamę może skutkować atakiem phishingowym.
• Phishing za pomocą komunikatorów internetowych: Oszuści mogą próbować wyłudzić poufne informacje za pomocą komunikatorów internetowych, takich jak WhatsApp czy Facebook Messenger, udając znajomych lub przedstawicieli firmy.

Powyższa lista nie stanowi wszystkich możliwości. Oszuści stale udoskonalają swoje techniki, dlatego tak ważne jest zachowanie ostrożności w sieci. Niezależnie od tego, jakie źródło informacji wydaje się zaufane, zawsze warto być czujnym i dokładnie sprawdzać, z kim mamy do czynienia w internecie. Możesz też zrobić więcej.

Jak chronić się przed phishingiem?

Przede wszystkim bądź ostrożny wobec nieznanych nadawców. Jeśli otrzymasz e-maila lub wiadomość od nieznanego nadawcy, zastosuj zasadę ograniczonego zaufania. Nie otwieraj załączników ani nie klikaj na linki w takich wiadomościach.

Zanim klikniesz - sprawdzaj adresy URL. Oznacza to nie mniej, nie więcej niż sprawdzenie, czy wpisany adres URL jest poprawny. Zwracaj uwagę na literówki lub dziwaczne znaki w adresie.

Zainstaluj oprogramowanie antywirusowe i anty-malware oraz regularnie je aktualizuj.

Nie udostępniaj poufnych informacji. Po prostu nie. W większości przypadków nie ma takiej potrzeby. Żaden bank nie prosi o wysłanie haseł do konta mailem. Nie podawaj poufnych informacji, takich jak hasła, numery kart kredytowych czy dane osobowe na stronach internetowych, do których dostęp uzyskujesz przez e-mail lub linki z wiadomości.

Tam, gdzie to możliwe zastosuj dwuskładnikowe uwierzytelnianie. To dodatkowa warstwa ochrony, która sprawia, że dostęp do konta wymaga nie tylko hasła, ale także innego rodzaju potwierdzenia, na przykład kodu SMS lub konkretnej aktywności w aplikacji. Nie zapominaj o regularniej zmianie haseł. Wysil swoją kreatywność i spraw, by hasła nie były łatwe do odgadnięcia.

Kontrola, a nie zaufanie

Jeśli otrzymasz e-maila lub znajdziesz stronę internetową, która wydaje Ci się podejrzana, skonsultuj się z firmą lub organizacją, której rzekomo dotyczy. Skontaktuj się bezpośrednio z nimi, a nie przez linki lub adresy podane w podejrzanej wiadomości. Banki nigdy nie wysyłają wiadomości z prośbą o kliknięcie w link, urzędy nie przekierowują na obce strony wymagające podania danych.

I na koniec to, co może stanowić największą trudność. Phishing często polega na manipulacji ludzką psychiką. Oszuści mogą próbować wywołać strach, pośpiech lub ciekawość, aby sprawić, że klikniesz na link lub podasz informacje. Bądź świadomy taktyk socjotechnicznych i zachowuj zdrowy sceptycyzm i zastanów się, czy ktoś może zyskać na kliknięciu i przejściu na daną stronę.

Chronić się można jedynie przed zagrożeniem, którego jesteśmy świadomi. Phishing może dotknąć każdego. Zrozumienie zagrożeń istniejących w internecie może pomóc w ochronie.

W dzisiejszych czasach ograniczenie ryzyka związanego z phishingiem stało się kwestią priorytetową. Badania europejskiej agencji ds. zwalczania cyberprzestępczości (ENISA) wskazują, że jest to najczęstsze zagrożenie, z którym mierzyć się muszą małe i średnie przedsiębiorstwa. Co więcej, aż 85% z nich twierdzi, że tego typu ataki stanowią poważny problem dla ich biznesu, a ponad połowa widzi w tym ryzyko, które może zakończyć się upadkiem firmy. Wielu z tych przedsiębiorców boryka się z problemem braku zasobów niezbędnych do budowy specjalistycznej infrastruktury i zespołu ds. bezpieczeństwa. Dlatego warto rozważyć przeprowadzenie analizy wrażliwości, która pomoże zidentyfikować słabe punkty i dostosować odpowiednie rozwiązania. Co więcej, współczesny rynek oferuje małym firmom atrakcyjne, abonamentowe pakiety, wcześniej dostępne tylko dla klientów korporacyjnych. - Miłosz Jankowski, Leader Business Development Cybersecurity Products, T-Mobile Polska Business Solutions