Phishing – co to jest i jak go uniknąć?

Strona główna > Bezpieczeństwo > Phishing – co to jest i jak go uniknąć?

Ataki phishingowe trwają nieustannie na całym świecie. Są one najpopularniejszym rodzajem oszustw internetowych. W Polsce w 2023 roku użytkownicy zgłosili do bazy CERT 41 423 zdarzenia związane z phishingiem – co stanowiło 51,6% wszystkich incydentów. Sprawdźmy więc, czym jest phishing, jakie są jego rodzaje oraz przykłady. W artykule odpowiemy również na pytanie, jak rozpoznać phishing i co robić, aby nie paść jego ofiarą.

Zacznijmy od wyjaśnienia, czym jest phishing. Definicja tego pojęcia wynika z tłumaczenia podobnie brzmiącego angielskiego słowa „fishing”, które oznacza łowienie ryb. Phishing opiera się na tym, że cyberprzestępca, podobnie jak wędkarz, próbuje zwabić swoją ofiarę, którą jest inny użytkownik sieci. Zamiast przynęty wykorzystuje różne techniki manipulacyjne i socjotechniczne.

Phishing polega na podszyciu się pod inną osobę lub instytucję, np. znajomego, kuriera, pracownika banku, policję, urząd skarbowy, sąd czy prokuraturę. Internetowy przestępca robi to, aby nakłonić do określonych działań w celu wyłudzenia poufnych informacji. Mogą być to np.:

• numery kart kredytowych i debetowych,
• dane logowania do bankowości internetowej lub innych serwisów,
• numery telefonów,
• numery PESEL,
• dane z dowodów osobistych,
• daty urodzenia,
• kody QR czy BLIK.

Skutkiem ataków phishingowych może być utrata pieniędzy z konta bankowego. Istnieje także ryzyko, że oszust wykorzysta poufne informacje, aby:

• zaciągnąć kredyt gotówkowy na dane swojej ofiary,
• założyć fałszywy profil w mediach społecznościowych, aby skompromitować inną osobę,
• aktywować różne płatne usługi online – np. internet, telewizję na życzenie czy pakiet komórkowy.

Skoro wiemy już, co to jest phishing, przejdźmy teraz do omówienia różnych rodzajów ataków phishingowych.

Jest to rodzaj oszustwa przy wykorzystaniu poczty elektronicznej. W treści wiadomości e-mail najczęściej znajdują się linki do niebezpiecznych stron, które pozwalają wyłudzić poufne dane. Przestępca może także załączyć plik ze złośliwym oprogramowaniem. Phishing e-mail zwykle ma charakter masowy – cyberprzestępca wysyła wtedy tę samą wiadomość do wielu użytkowników.

Ten rodzaj phishingu polega na wysyłaniu do odbiorców wiadomości SMS, które zawierają odnośniki do fałszywych serwisów internetowych. Oszuści często stosują nazwę nadawcy, która wprowadza użytkownika w błąd – może to być np. „policja”, „urząd skarbowy” czy marka znanego banku.

W tym przypadku wiadomości phishingowe są spersonalizowane – najczęściej cyberprzestępcy kierują je do przedstawicieli instytucji lub firm, np. kierownictwa wyższego szczebla. Przed przeprowadzeniem spear phishingu oszust przeprowadza analizę wywiadowczą.

Rodzaj ataku phishingowego, który polega na wykorzystaniu wiadomości od pierwotnego nadawcy (np. znanej i zaufanej firmy), a następnie przesłaniu jej dalej z innego adresu nadawcy. Przestępca próbuje w ten sposób uśpić czujność swoich ofiar.

Atak typu phishing za pośrednictwem komunikacji telefonicznej. Oszust może zarówno sam rozmawiać z potencjalną ofiarą, jak i posługiwać się sztuczną inteligencją. Phishing telefoniczny jest wyjątkowo trudny do wykrycia.

Istnieje wiele sposobów, aby rozpoznać phishing i uniemożliwić oszustowi realizację celu. Przyjrzyjmy się najczęstszym oznakom tego rodzaju cyberprzestępstwa.

Banki i inni zaufani usługodawcy zwykle zwracają się do adresatów wiadomości po imieniu lub nazwisku. Oszuści często wysyłają natomiast masowe wiadomości do wielu użytkowników, co uniemożliwia personalizację.

Cyberprzestępcy zazwyczaj tłumaczą wiadomości phishingowe z obcych języków – np. przy użyciu internetowych translatorów czy narzędzi sztucznej inteligencji. Można wtedy dostrzec w treści rażące błędy ortograficzne, stylistyczne czy interpunkcyjne. Nieraz pojawiają się także nieprzetłumaczone pojedyncze słowa lub zdania w innym języku.

Cyberprzestępcy próbują wpłynąć na emocje swoich potencjalnych ofiar. W tym celu grożą im, że podejmą określone działania w przypadku zignorowania ich polecenia – np. zablokują dostęp do usługi, jeśli klient nie wpłaci pieniędzy na podane konto do końca dnia.

Gdy nadawca prosi w treści maila o podanie poufnych danych osobowych, wtedy najprawdopodobniej jest to próba phishingu. Warto pamiętać, że bank ani żaden inny zaufany dostawca nigdy nie będzie wymagać przesłania w wiadomości mailowej czy SMS-owej takich informacji. Należy uważać zwłaszcza w razie próśb o podanie loginu i hasła.

Warto szczególnie przyjrzeć się mailom od nieznanej osoby, firmy czy instytucji, która wysyła wiadomości z publicznej domeny. Bardzo możliwe, że jest to próba podszycia się pod kogoś innego.

Sklep internetowy oferuje produkt lub usługę w szokująco niskiej cenie? A może w skrzynce mailowej znalazła się wiadomość z informacją o wygranej w loterii, w której nigdy nie braliśmy udziału? Lepiej zachować zimną krew i zignorować takie powiadomienia.

Cyberprzestępcy często podszywają się pod znane marki i tworzą fałszywe strony czy reklamy z wykorzystaniem ich identyfikacji wizualnej jak logo lub zdjęcia. W wielu przypadkach takie elementy graficzne są jednak nieznacznie zmienione lub ich jakość pozostawia sporo do życzenia.

Internetowi przestępcy niejednokrotnie przesyłają w wiadomościach podejrzane linki prowadzące do innego serwisu internetowego. Można je rozpoznać po tym, że są przesadnie długie i zawierają wiele znaków specjalnych. Czasami oszuści wysyłają także odnośniki skrócone za pomocą internetowych narzędzi.

Próbę ataku phishingowego można też rozpoznać po błędach w adresie strony internetowej. Oszust może posłużyć się metodą typosquattingu, aby podszyć się pod domenę znanej marki. Adres będzie jednak nieco zmieniony – zwykle zawiera literówki czy inne drobne modyfikacje.

Aby uniknąć phishingu, warto nie ulegać emocjom, zachować zdrowy rozsądek i przestrzegać podstawowych zasad bezpieczeństwa w sieci. Sprawdźmy najważniejsze zalecenia, które mogą uchronić przed negatywnymi skutkami takich ataków.

Aby nie paść ofiarą phishingu, warto przede wszystkim zachować w sieci ograniczone zaufanie, nie działać pod presją czasu i nie podejmować w panice pochopnych działań. Jeśli podejrzewamy, że ktoś próbuje nas oszukać, najlepiej skonsultować się z bliską osobą. Można też zadzwonić do firmy czy instytucji, za której przedstawiciela uznaje się nadawca wiadomości.

Nie należy podawać w odpowiedzi na maile i SMS-y ani przez telefon żadnych danych logowania, np. do banku, portali społecznościowych czy poczty. W razie wątpliwości najlepiej samodzielnie skontaktować się z daną firmą poprzez dane podane na jej oficjalnej stronie internetowej.

Pliki udostępniane na podejrzanych stronach mogą zawierać złośliwe oprogramowanie, które wyłudza dane osobowe, wymusza okup, rejestruje znaki wpisywane za pomocą klawiatury czy pozwala przestępcom włamać się na konto bankowe.

Jeśli w historii konta znalazły się nieznane przelewy czy transakcje kartą, najlepiej jak najszybciej skontaktować się z bankiem i wyjaśnić sytuację.

Jest to mechanizm, który oferuje wiele banków, a także niektóre sklepy internetowe, serwisy społecznościowe i inne portale. Polega na tym, że w celu zalogowania się na konto czy zatwierdzenia operacji trzeba przejść przez dwa etapy weryfikacji tożsamości – np. oprócz loginu i hasła podać jeszcze kod PIN, numer PESEL czy zaliczyć weryfikację biometryczną.

Internetowi oszuści często posługują się złośliwym oprogramowaniem, aby wyłudzić poufne informacje. Warto im to uniemożliwić poprzez regularne skanowanie systemu w poszukiwaniu wirusów.

Bezpieczne hasło powinno być długie, skomplikowane i inne na każdej stronie logowania. Najłatwiej stworzyć je za pomocą menedżera haseł – programu, który automatycznie generuje trudne do złamania zabezpieczenia. Jeśli dane logowania wyciekły do sieci, warto jak najszybciej zmienić je na inne.

Osoby, które padły ofiarami phishingu, mogą zgłosić odpowiednim organom takie incydenty komputerowe. Najwygodniej zrobić to za pośrednictwem strony internetowej Incydent.cert.pl, którą prowadzi zespół reagowania CERT Polska jednostki NASK. Aby przesłać zgłoszenie, należy w formularzu online opisać zdarzenie i załączyć pliki z jego potwierdzeniem, np. zrzutem ekranu z podejrzanym SMS-em czy mailem.

Phishing można także zgłosić na policji – warto to zrobić zwłaszcza wtedy, gdy skutkiem ataku jest kradzież pieniędzy czy wzięcie kredytu na dane ofiary. Jeśli cyberprzestępca przejął dane bankowe i ukradł pieniądze z konta, należy także poinformować bank. Może on zastrzec kartę płatniczą i zablokować dostęp do bankowości.

Jest to znacznie bezpieczniejsza opcja niż otwieranie linków otrzymanych w treści maili, SMS-ów czy przez komunikatory internetowe.

Zastrzeżenie PESEL jest możliwe bez wychodzenia z domu – za pośrednictwem strony internetowej tej usługi lub aplikacji mObywatel. Dzięki temu przestępcy nie będą mogli zawrzeć na dany numer PESEL żadnej umowy z bankiem lub inną instytucją finansową – np. założyć konta osobistego czy zaciągnąć kredytu.

Aby nie ułatwiać zadania cyberprzestępcom, najlepiej udostępniać publicznie jak najmniej prywatnych zdjęć oraz informacji na swój temat, a zwłaszcza daty urodzenia i innych poufnych danych. Można odblokować do nich dostęp w ustawieniach prywatności tylko zaufanym osobom.

Warto też pamiętać, że oszuści zakładają fałszywe profile i udostępniają w mediach społecznościowych (np. w komentarzach) linki prowadzące do niebezpiecznych stron.

Wiadomość z linkiem do niebezpiecznej strony można otrzymać nie tylko od nieznanych osób, lecz także od swoich znajomych. Może tak się stać, jeśli haker zainfekuje ich konta złośliwym oprogramowaniem. W treści wiadomości pojawia się wtedy np. prośba o szybką pożyczkę czy wpłacenie pieniędzy na operację.

W ostatnich latach można zaobserwować różne przykłady phishingu, które często stosują cyberprzestępcy.

Wielu oszustów podszywa się pod bankowych konsultantów, aby włamać się na konto i ukraść pieniądze. Najczęściej stosują w tym celu voice phishing. Dzwonią do klientów banków z informacją, która wymaga pilnego działania – np. powiadamiają, że konto zostało zablokowane, ktoś próbuje przelać dużą kwotę czy zaciągnąć kredyt.

Następnie cyberprzestępca nakłania potencjalną ofiarę, aby jak najszybciej przelała pieniądze na wskazany numer konta, pobrała fałszywą aplikację bankową, udostępniła konsultantowi swoje poufne dane czy podała dane do autoryzacji transakcji.

Inny przykład phishingu polega na wysłaniu SMS-a lub maila z prośbą o dopłacenie drobnej kwoty do przesyłki. W treści wiadomości znajduje się link do przeprowadzenia szybkiej płatności elektronicznej. Przestępca wzbudza poczucie pilności poprzez groźbę, że w razie braku dopłaty kurier zwróci przesyłkę do nadawcy.

Oszuści podszywają się także pod urząd skarbowy lub Krajową Administrację Skarbową. Informują podatnika, że przysługuje mu zwrot podatku i aby otrzymać nadpłatę, musi złożyć elektroniczny wniosek o jej przelanie na konto. Przestępca w ten sposób przejmuje poufne dane swojej ofiary.

Przestępcy wysyłają w tym przypadku wiadomość mailową z informacją o konieczności przedłużenia polisy samochodowej. Grożą negatywnymi konsekwencjami jazdy bez ważnego ubezpieczenia i podają link do fałszywej strony, która ma rzekomo zawierać indywidualnie dopasowaną ofertę ochrony OC.

Wielu oszustów próbuje zachęcić do udostępnienia poufnych danych obietnicą szybkiego i łatwego zarobku. Zapraszają oni np. do wypełnienia ankiety w zamian za atrakcyjne wynagrodzenie. W rzeczywistości link prowadzi do strony phishingowej.

Ofiarami phishingu często są także użytkownicy portali randkowych. Potencjalni partnerzy mogą okazać się oszustami, którzy podszywają się pod inne osoby, aby wyłudzić pieniądze.

Jeszcze inny przykład phishingu dotyczy fałszywych stron internetowych, na których oszuści wykorzystują wizerunek instytucji rządowych – m.in. Ministerstwa Finansów czy Zakładu Ubezpieczeń Społecznych. Serwisy takie zachęcają obywateli do złożenia wniosku online o przyznanie świadczenia pieniężnego. Aby serwis sprawiał wrażenie bardziej wiarygodnego, mogą na nim znajdować się fałszywe ustawy czy rozporządzenia.

Źródła:

Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2023 roku

Raport roczny z działalności CERT Polska 2023

https://www.gov.pl/web/baza-wiedzy/czym-jest-phishing-i-jak-nie-dac-sie-nabrac-na-podejrzane-widomosci-e-mail-oraz-sms-y [dostęp 03.12.2024]

https://www.gov.pl/web/baza-wiedzy/phishing--widzisz-zglaszaj [dostęp 03.12.2024]

https://cbzc.policja.gov.pl/bzc/aktualnosci/224,Seniorze-nie-daj-sie-zlowic-Czym-jest-phishing-i-jak-sie-przed-nim-bronic.html [dostęp 03.12.2024]

https://www.trade.gov.pl/wiedza/cyberprzestepstwa-i-phishing/ [dostęp 03.12.2024]

https://uodo.gov.pl/pl/138/2765 [dostęp 03.12.2024]

https://www.gov.pl/web/baza-wiedzy/najpopularniejsze-oszustwo-internetowe--phishing [dostęp 03.12.2024]

https://cebrf.knf.gov.pl/komunikaty/artykuly-csirt-knf/362-ostrzezenia/875-przeglad-wybranych-oszustw-internetowych-lipiec-2023 [dostęp 03.12.2024]

https://www.podatki.gov.pl/wyjasnienia/ostrzegamy-przed-falszywymi-e-mailami-o-zwrocie-nadplaconego-podatku-za-2022-r/ [dostęp 03.12.2024]

https://www.gov.pl/web/baza-wiedzy/uwaga-csirt-nask-ostrzega-przed-kampania-phishingowa-wykorzystujaca-wizerunek-ministerstwa-finansow [dostęp 03.12.2024]

https://www.gov.pl/web/baza-wiedzy/uwaga-csirt-nask-ostrzega-przed-kampania-phishingowa-wykorzystujaca-wizerunek-ministerstwa-finansow [dostęp 03.12.2024]