Phishing – czym jest? Jak nie dać się nabrać i jak należy reagować?

24 maja 2024
phishing

Phishing to jedno z najczęstszych i najbardziej podstępnych zagrożeń w cyberprzestrzeni. Codziennie tysiące osób pada ofiarą tego typu ataków, narażając swoje dane osobowe, finanse, a nawet reputację. Jako specjaliści w dziedzinie cyberbezpieczeństwa, chcemy podzielić się z Wami wiedzą na temat phishingu oraz doradzić, jak skutecznie się przed nim bronić.

Co to znaczy phishing?

Phishing to rodzaj oszustwa internetowego, którego nazwa pochodzi od połączenia słów "password" i "fishing". Polega on na podszywaniu się pod zaufane instytucje, takie jak banki, urzędy czy popularne serwisy, w celu wyłudzenia poufnych danych, loginów, haseł lub nakłonienia ofiary do wykonania określonej czynności, np. przelewu.

Na czym polega phishing?

Ataki phishingowe najczęściej rozpoczynają się od wysłania fałszywej wiadomości e-mail, SMS lub wiadomości w mediach społecznościowych. Oszuści starają się wzbudzić zaufanie ofiary, wykorzystując oficjalne logotypy, adres nadawcy łudząco podobny do oryginalnego oraz przekonującą treść. Wiadomość zazwyczaj zawiera link do podstawionej strony, na której użytkownik jest proszony o podanie swoich danych.

Jakie są rodzaje phishingu?

Wyróżniamy kilka rodzajów phishingu, m.in.:

Spear phishing

Wysoce spersonalizowana forma ataku, precyzyjnie wymierzona w konkretną osobę lub firmę. Cyberprzestępcy dokładnie badają swój cel, zbierając informacje z mediów społecznościowych i innych publicznie dostępnych źródeł. Dzięki temu są w stanie stworzyć przekonującą wiadomość phishingową, która wygląda na pochodzącą od zaufanego nadawcy, np. współpracownika czy przełożonego. Celem jest skłonienie ofiary do ujawnienia poufnych danych, pobrania złośliwego oprogramowania lub dokonania fraudulentycznych przelewów.

Whaling

Znany też jako CEO fraud, to phishing wymierzony w "grube ryby", czyli kadrę zarządzającą najwyższego szczebla - dyrektorów, prezesów itp. Atakujący podszywają się pod zaufane osoby i wykorzystują autorytet oraz dostęp do wrażliwych informacji, jaki mają ich cele. Wiadomości whalingowe są starannie przygotowywane i wysoce spersonalizowane. Ich celem jest nakłonienie ofiary do autoryzacji dużych przelewów na konta przestępców lub ujawnienia poufnych danych korporacyjnych.

Smishing

To phishingowe oszustwa realizowane za pomocą wiadomości SMS. Przestępcy wysyłają zwodnicze SMSy z linkami do fałszywych stron, na których wyłudzane są dane, lub z załącznikami instalującymi malware. Ataki tego typu wykorzystują zaufanie, jakim ludzie darzą komunikację SMS.

Vishing

Połączenie słów "voice" i "phishing". Są to telefoniczne oszustwa, w których przestępcy podszywają się pod pracowników banków, urzędów skarbowych czy firm telekomunikacyjnych. Wykorzystując manipulację i granie na emocjach, próbują wyłudzić od rozmówcy poufne dane, takie jak hasła, numery kart kredytowych itp. Vishing jest trudny do wykrycia, bo bazuje na bezpośredniej interakcji głosowej.

Jak rozpoznać fałszywe, phisingowe wiadomości?

Phishingowe wiadomości często charakteryzują się:

  • Poczuciem pilności i wywieraniem presji na odbiorcy.
  • Prośbą o podanie poufnych danych lub wykonanie przelewu.
  • Linkami i załącznikami budzącymi podejrzenia.
  • Błędami ortograficznymi i gramatycznymi w treści.

phishing

Phishing – przykładowe wiadomości wyłudzające dane

Oto kilka przykładów wiadomości phishingowych:

  1. "Twoje konto zostanie zablokowane, jeśli natychmiast nie zalogujesz się i nie potwierdzisz swoich danych".
  2. "Wygrałeś nagrodę! Kliknij tutaj, aby odebrać wygraną".
  3. "Zaległość w płatności. Ureguluj należność, klikając w poniższy link".

Dlaczego phishing jest niebezpieczny?

Skutki udanego ataku phishingowego mogą być poważne – od utraty pieniędzy, przez kradzież tożsamości, aż po zainfekowanie urządzenia złośliwym oprogramowaniem. Firmy padające ofiarą phishingu narażone są dodatkowo na wyciek danych klientów, straty finansowe i wizerunkowe.

W jaki sposób reagować na wiadomości phisingowe? 

Jeśli podejrzewasz, że otrzymana wiadomość to phishing:

Phishing to jedno z najczęstszych i najbardziej podstępnych zagrożeń w cyberprzestrzeni. Codziennie tysiące osób pada ofiarą tego typu ataków, narażając swoje dane osobowe, finanse, a nawet reputację. Jako specjaliści w dziedzinie cyberbezpieczeństwa, chcemy podzielić się z Wami wiedzą na temat phishingu oraz doradzić, jak skutecznie się przed nim bronić.

Gdzie zgłosić podejrzenie phishingu?

Podejrzane wiadomości warto zgłaszać:

  • Dostawcy usługi poczty elektronicznej.
  • Administratorowi strony, którą podszywa się oszust.
  • CERT Polska – zespołowi reagowania na incydenty bezpieczeństwa komputerowego.

Jak bronić się przed atakami phisingowymi?

Aby zminimalizować ryzyko stania się ofiarą phishingu:

  • Zachowaj czujność i zdrowy sceptycyzm podczas przeglądania poczty.
  • Weryfikuj tożsamość nadawcy, nie ufaj tylko nazwie wyświetlanej.
  • Unikaj klikania w linki i załączniki z nieznanych źródeł.  
  • Korzystaj z oprogramowania antywirusowego z filtrem antyspamowym.
  • Regularnie zmieniaj hasła do swoich kont i używaj uwierzytelniania dwuskładnikowego.

Jak zabezpieczyć swój numer PESEL?

Numer PESEL to wrażliwa dana, której nie należy udostępniać bez potrzeby. Dbaj o jego poufność i:

  • Podawaj go tylko zaufanym instytucjom, gdy jest to konieczne.
  • Nie wysyłaj numeru PESEL przez niezabezpieczone kanały, jak e-mail.
  • Reaguj, gdy ktoś żąda podania numeru PESEL w podejrzanych okolicznościach.

W HackerU doskonale zdajemy sobie sprawę, jak ważna jest edukacja w zakresie cyberbezpieczeństwa. Dlatego oferujemy kompleksowe szkolenia dla firm i osób prywatnych, podczas których omawiamy m.in. zagadnienia związane z phishingiem. Nasi eksperci nie tylko przekazują niezbędną wiedzę, ale także uczą praktycznych umiejętności rozpoznawania i reagowania na cyberataki. Wierzymy, że poprzez podnoszenie świadomości i kwalifikacji użytkowników Internetu, przyczyniamy się do budowania bezpieczniejszej przyszłości w cyfrowym świecie.

Źródła:

  • https://cebrf.knf.gov.pl/encyklopedia/hasla/385-definicje/818-phishing