Phishing to wyłudzanie poufnych informacji osobistych przez podszywanie się pod osobę lub instytucję. Jeśli padniesz ofiarą tej przebiegłej metody, dasz – nieświadomie – dostęp do danych, których nikt poza Tobą nie powinien znać i używać: numerów kart kredytowych i ich PIN-ów, danych logowania do bankowości elektronicznej, numeru PESEL. Mogą być to również informacje „mniejszego kalibru”, jak dane do logowania się do skrzynki pocztowej, konta w GG lub profilu w sociach mediach, jednak oddanie kontroli nad tymi kanałami też może się boleśnie na Tobie odbić.
Jak to możliwe, że ujawniasz niepowołanej osobie swoje osobiste dane?
Cyberprzestępcy są sprytni – wiernie odwzorowują wygląd i treść komunikatów organizacji, którym ufasz i z którymi stykasz się na co dzień: banków, urzędów, portali aukcyjnych, firm kurierskich i telekomunikacyjnych, Twojego ulubionego komunikatora GG (niestety).
Phishing nie bez przyczyny brzmi jak fishing – łowienie ryb. W tym przypadku to Ty jesteś rybą (tłustą, jeśli masz zgromadzone na koncie w banku spore środki), a zafałszowane komunikaty przynętą. Ale nie jesteś całkiem bezbronny – zachowując ostrożność jesteś w stanie ustrzec się przed wyłudzeniem poufnych informacji osobistych.
Jak działają hakerzy stosujący phishing?
Wysyłają fałszywe e-maile, SMS-y, wiadomości tekstowe, które przekierowują ofiarę na fałszywe strony internetowe do złudzenia przypominające te prawdziwe, nakłaniają do pobrania szkodliwego pliku z załącznika lub „zaktualizowania” programu.
W treści wiadomości często znajdują się prośby o aktualizację danych, zatwierdzenie transakcji lub potwierdzenie informacji, często sugerując, że pojawił się jakiś problem i Twoje działanie go rozwiąże. Gdy znajdziesz się na fałszywej stronie, dostajesz kolejne polecenia, których celem jest to, żebyś wpisał dane znane tylko Tobie. W ten sposób sam udostępniasz je przestępcom.
Przykłady phishingu
Niedawno ostrzegaliśmy użytkowników GG przed mailami o treści: „Zaktualizuj teraz, aby przejść do nowego interfejsu skrzynki pocztowej lub Twoja skrzynka pocztowa zostanie zawieszona lub wyłączona, jest to obowiązkowe.” Kliknięcie w przycisk miało rzekomo rozpocząć proces aktualizacji i uchronić przed wyłączeniem skrzynki pocztowej, w rzeczywistości kliknięcie w niego mogłoby się skończyć zainfekowaniem komputera.
Ostatnio głośno było też o masowych oszustwach na OLX: https://zaufanatrzeciastrona.pl/post/jak-sprzedajac-na-olx-mozna-latwo-stracic-srodki-ze-swojej-karty-kredytowej/
W sierpniu 2020 miał miejsce atak hakerów podszywających się pod inPost: https://niebezpiecznik.pl/post/uwaga-na-sms-y-podszywajace-sie-pod-inpost-2/, a w czerwcu poszywających się pod Allegro: https://niebezpiecznik.pl/post/uwaga-na-sms-y-podszywajace-sie-pod-allegro/
Od roku do ataków hakerskich wykorzystywany jest strach przed COVID, oszustwa „na koronawirusa” to klasyka phishingu: https://niebezpiecznik.pl/post/oszustwa-na-koronawirusa-to-klasyka-phishingu-i-wyludzen-danych-edukujcie-znajomych/
Jak się bronić przed phishingiem?
- Nie otwieraj odruchowo załączników i nie klikaj w linki. Przeczytaj dokładnie wiadomość – fałszywe maile zawierają dość często błędy ortograficzne i literówki (chociaż prawdziwe maile też je zawierają, jakiś czas temu Facebook informował o pomocy przedsiębiorcom mailem z literówką, co wzbudziło podejrzenia niżej podpisanej co do autentyczności wiadomości).
- Sprawdzaj adresy URL stron i adresy e-mail. Często fałszywe strony wyglądają tak, jak te prawdziwe, ale ich domeny nieco różnią się, np. mają dodatkową literkę albo przekręconą nazwę instytucji.
- Nie przekazuj nikomu poufnych danych. Nigdy nikomu. Ani żonie, ani bratu, ani mamie.
- Jeśli chcesz zalogować się do serwisu transakcyjnego banku, wpisz samodzielnie jego adres www.
- Jeśli coś wzbudza Twoje podejrzenia – skontaktuj się z infolinią, przejrzyj internet w poszukiwaniu informacji i ujawnionych świeżo atakach (znajdziesz je np. na stronach takich jak pl i zaufanatrzeciastrona.pl), zapytaj znajomych lepiej rozeznanych w świecie online’u.
- Aktualizuj przeglądarkę i zabezpieczenia.