„Witamy, po awarii Twoje konto bankowe zostało zablokowane ze względu na nieautoryzowany dostęp. Potwierdź swoją tożsamość, wprowadzając kod autoryzacyjny. Przejdź na stronę banku [link]”. Brzmi znajomo? Tego rodzaju wiadomości to typowy przykład phishingu, czyli próby wyłudzenia danych.
Taka wiadomość może przyprawić Cię o palpitacje serca i czarne myśli, że ktoś próbował się wkraść na Twoje konto. Na szczęście szybka reakcja banku sprawiła, że jesteś bezpieczny, a teraz wystarczy tylko, że zweryfikujesz swoją tożsamość. Wejdziesz w przesłany link, podasz swoje dane – i problem będzie zażegnany.
Rzecz w tym, że nadawcą nie jest tutaj bank, a hakerzy. Pod przykrywką instytucji posłużą się Twoimi danymi, by błyskawicznie opróżnić rachunek. A gdy na osłodę podałeś im jeszcze numer karty płatniczej, to płacąc w internecie, mogą narobić Ci długów…
Czym jest phishing?
No dobrze, co jednak oznacza ten phishing – i skąd wiadomo, że akurat mamy z nim do czynienia?
Nazwa ta nie przez przypadek budzi skojarzenia z angielskim fishing oznaczającym łowienie ryb. Hakerzy podobnie, jak wędkarze zarzucają na swoje ofiary przynęty i „łowią” te najbardziej podatne na ich działania. W jaki sposób to robią?
Mogą, np. podszywać się pod inną osobę lub instytucje finansowe i państwowe w celu wyłudzenia poufnych informacji. Gdy „rybka” łapie przynętę, infekują jej sprzęt złośliwym oprogramowaniem oraz nakłaniają do wykonania określonych działań.
Brzmi to dość mrocznie, tym bardziej że model oszustwa często jest oklepany i znany od wielu, wielu lat – a mimo to nadal przynosi ich twórcom pożytek.
W badaniu przeprowadzonym przez firmę Surfshark, Polska zajmuje 3. miejsce na świecie pod względem naruszeń danych w I kw. 2022 r. Przypomnijmy, choćby o sytuacji, w której oszuści podszywali się pod byłego ministra cyfryzacji, Pawła Wojtunika albo o ostatniej próbie wykiwania klientów Santander Bank Polska. Tutaj przestępcy posłużyli się fałszywym kodem QR, który przenosił na fałszywą stronę bankowości elektronicznej1.
Jakie są przykłady phishingu?
Przykładami phishingu możemy sypać jak z rękawa. Pierwszy trik z brzegu to oczywiście wygrane w loteriach czy licytacjach.
300 zł do odebrania z nową aplikacją LIDLA. Aktualne do 30.12.2022. [link do strony]
…
Wygrałeś 1 000 zł w Loterii Narodowego Programu Szczepień. Aby odebrać nagrodę wejdź w link i potwierdź swoje dane. [link do strony]
Świetną robotę robi CSIRT KNF2, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego. Na swoim Twitterze udostępnia ostrzeżenia, publikując podejrzane wiadomości, przykłady fałszywych domen i reklam oraz bezpieczne zasady, które uchronią nas przed utratą oszczędności.
Zwizualizujmy sobie, jak mogą wyglądać tego typu treści.
Idźmy dalej. W poniższym przykładzie mamy do czynienia z podszywaniem się pod popularną platformę Allegro, z której chętnie i często korzystamy.
Sprawdź opinie o Allegro Pay w naszym oddzielnym wpisie.
Idealnym motywem do kreowania phishingu są fakenewsy, które krążą na Facebooku. Mają wydźwięk emocjonalny i oczywiście – aby je odczytać lub odtworzyć, koniecznie musimy się zalogować na swoje konto. Jak wiadomo nie chodzi tutaj o żaden news – a jedynie o przechwycenie naszych danych logowania na FB.
Innym przykładem phishingu mogą być reklamy, które przekierowują na niebezpieczne strony i wymagają od nas podjęcia określonych kroków. Najczęściej podania wrażliwych danych osobowych.
Phishing w wiadomości e-mail
Hakerzy uwielbiają bazować na naszych emocjach i potrzebach. Podane przeze mnie przykłady, to jedynie zalążek tego, na co ich stać. Do niedawna wysyłane przez nich e-maile były łatwe w wykryciu. Zazwyczaj były pisane łamaną polszczyzną, bez polskich znaków – a sam tekst sprawiał wrażenie dziwnie posklejanego w tłumaczu Google.
Obecnie takie działania przeszły do lamusa i nieudolna prowizorka przybrała bardzo profesjonalny charakter. Dlatego nawet jako doświadczony użytkownik internetu i mediów możesz mieć chwilę zawahania, czy aby to nie prawdziwa wiadomość e-mail od Twojego banku…
Skąd niby przestępcy znają Twój adres e-mail? Mogą go zdobyć bardzo prosto – często wystarczy wpisać go w wyszukiwarkę Google. Ale też do tego typu przypadków dochodzi po prostu losowo.
Phishing w SMSie
Pomysłowość złodziei nie ogranicza się wyłącznie do wysyłania wiadomości phishingowych za pośrednictwem poczty elektronicznej. Równie dobrze możemy otrzymać SMSa, który przekieruje nas na fałszywą stronę internetową – i z której nieświadomie pobierzemy złośliwe oprogramowanie, w wyniku czego przestępcy zdobędą nasze cenne dane czy dostępy.
Telefoniczny phishing
Zdarzają się także fałszywe telefony z banku. Tutaj schemat działania jest nieco bardziej skomplikowany. W końcu po drugiej stronie słuchawki mówi do nas człowiek. Niestety skuteczność takich telefonów jest przez to olbrzymia.
Przykładowo z numeru infolinii banku (!) może do nas zadzwonić uprzejma Pani lub Pan, która/-y poinformuje nas o świetnej okazji na kredyt, pożyczkę lub inną promocję. Możemy też być zwycięzcą w bankowej loterii.
Tego rodzaju akcje nazywamy vishingiem. O ile na czas nie zorientujesz się, że jesteś ofiarą oszustwa, schemat jest identyczny, jak we wcześniejszych przykładach.
Inną metodą jest wzbudzenie w nas poczucia strachu, że ktoś włamał się na nasze konto bankowe – i koniecznie musimy zainstalować specjalną aplikację. Przykład takiego ataku świetnie przedstawił serwis Niebezpiecznik3 na poniższym video:
Polecamy artykuł: Spoofing – co to jest i jak się przed nim bronić?
RADA: Jeśli w trakcie rozmowy chcesz mieć pewność, że zadzwonił do Ciebie realny pracownik instytucji finansowej, zapytaj w swoim banku o możliwość ustalenia hasła do kontaktu. Możesz także rozłączyć się w trakcie rozmowy i zadzwonić do instytucji z pytaniem – czy faktycznie, ktoś od nich kontaktował się z Tobą przez kilkoma minutami.
PKO BP jako jeden z pierwszych na rynku pozwala klientom posiadającym aplikację IKO na weryfikację pracownika. W jaki sposób? W trakcie rozmowy z konsultantem otrzymujesz na swój telefon wiadomość push z danymi pracownika, który się z Tobą kontaktuje (imię i nazwisko, adres oddziału, stanowisko). Również w mBanku w przypadku telefonu od doradcy wysyłana jest do klienta mobilna autoryzacja z prośbą o jej zatwierdzenie.
Spear phishing, czyli atak na konkretną osobę
Z kolei spear phishing to bardziej wyrafinowana forma ataku phishingowego. W pełni spersonalizowana i poprzedzona wywiadem środowiskowym. W odróżnieniu od typowego phishingu przestępcy jednak nie rozsyłają e-maili do przypadkowych ofiar, a kierują je do wybranych przez siebie osób.
Na czym dokładnie polega taki wywiad środowiskowy? Przede wszystkim na tym, że złodziej upatruje sobie konkretną osobę i zdobywa informacje na jej temat, które mogą mu się przydać przy dokonywaniu oszustwa. Profil danego kandydata tworzy, przeglądając jego konta na portalach społecznościowych, fora czy nawet wchodząc na strony pracodawców. Dzięki temu poznaje się z nim lepiej i wzbudza poczucie większego zaufania. W spear phishingu nie dochodzi jednak do kradzieży tożsamości, a przejęcia haseł dostępu lub tajemnic handlowych.
Pamiętaj, że informacje na swój temat zostawiasz w wielu miejscach – czy to przystając na promocję bankową, czy też płacąc kartą w sklepach. Dlatego ostrzegamy, że atak spear phishingowy może zostać tak sfabrykowany, że będziesz mieć niemal 100% pewność, że kontaktuje się z Tobą podana firma lub instytucja.
Polecamy: Skimming – co to jest i jak się przed nim chronić?
Jak nie stać się ofiarą phishingu?
- Stosuj zasadę ograniczonego zaufania w każdej sytuacji.
Przy każdej formie kontaktu zachowuj pełną czujność. Jeśli chcesz upewnić się, czy nie jest to aby próba oszustwa, skontaktuj się z rzekomym nadawcą (który potwierdzi (lub nie) zaistniałą sytuację).
- Bądź świadomy, o co bank na pewno nie zapyta!
Żaden „prawdziwy” konsultant z banku nie poprosi Cię przez telefon o Twój login, hasło, kody jednorazowe, czy PIN! Nie ma takiego prawa – i od tej zasady nie ma żadnych wyjątków. To samo dotyczy danych karty kredytowej oraz rodzaju telefonu i jego oprogramowania.
- Weryfikuj stronę www, do której prowadzi link.
Ten podpunkt powinien wejść Ci w nawyk, nawet jeśli adres strony internetowej na pierwszy rzut oka wydaje się poprawny. Pamiętaj, że choć cyberprzestępcy posługują się coraz lepszymi technikami, to zawsze pozostawiają po sobie pewne wykrywalne zmiany.
- Symbol kłódki i protokół https:// w adresie strony
Oznacza to tyle, że strona, na którą próbujesz się zalogować, jest bezpieczna i szyfrowana. Od tej reguły również nie ma wyjątków, niezależnie od tego, czy witryna ma chwilową awarię, jest w przebudowie, czy akurat przechodzi aktualizacje. W protokole https:// zwróć uwagę na końcową literkę „s”, której nie może zabraknąć!
- Aktualizuj oprogramowanie.
Być może jest to dla Ciebie zbyteczny krok – ale to nieprawda. Phishing ma to do siebie, że za jego pomocą atakowane są nasze telefony, laptopy, tablety, w celu wpuszczenia na te urządzenia wirusa lub trojana. Dlatego tak bardzo ważne jest aktualizowanie systemu operacyjnego, przeglądarek internetowych oraz zainstalowanie programu antywirusowego.
- Weryfikuj ustawione limity w banku.
Dostosuj dzienne limity kwotowe i ilościowe, wypłat, przelewów i płatności do swoich aktualnych potrzeb. W każdej chwili możesz je zwiększyć lub zmniejszyć.
- Używaj bezpiecznych i niepowtarzalnych haseł.
Stosuj oddzielne hasło i to najlepiej dla każdego serwisu. A na stronach, gdzie masz taką możliwość, używaj dwuskładnikowego uwierzytelnienia.
No i pamiętaj – nie śpiesz się! Cyberprzestępcy bardzo często chcą wywołać u nas presję i lęk, tylko po to, by nakłonić Cię do nieprzemyślanych decyzji! Pamiętaj, że to do Ciebie należy ostatnie słowo.
Ciekawostka: Portal Niebezpiecznik.pl udostępnił darmową aplikację CyberAlerty, która ostrzega o nowych cyberzagrożeniach, na które jesteśmy narażeni. Jest dostępna na Google Play i App Store 4.
Gdzie zgłaszać ataki phishingowe?
Każdy z nas może zgłosić atak phishingowy poprzez stronę CERT Polska5. To pierwszy powstały w Polsce zespół reagowania na tego typu incydenty. Zgłoszenia możemy nadsyłać na portalu incydent.cert.pl. Zespół weryfikuje każdą zgłoszoną przez nas stronę, po czym może ona trafić na listę ostrzeżeń. Dodatkowo CERT ma możliwość ograniczyć jej obsługę.
Oczywiście zawsze warto zgłosić podejrzaną wiadomość, link, telefon czy stronę również do Twojego banku lub innej instytucji, pod którą podszywają się złodzieje. Dzięki temu ochronisz potencjalne ofiary, a odpowiednie organy ścigania zajmą się całą resztą. Zachęcamy także o poinformowaniu o tym fakcie policji i prokuratury.
Więcej na ten temat przeczytasz w poradniku -> Gdzie zgłosić oszustwa internetowe.
Ochrona przed phishingiem – co trzeba zapamiętać?
Rodzaje ataków phishingowych zaskakują nas każdego dnia. Znane są przypadki podszywania się nie tylko pod instytucje bankowe, ale i urzędy skarbowe czy nawet Ministerstwo Finansów. Wszystkie te sytuacje mają jednak cechę wspólną – oszuści dążą do wyłudzenia danych i naszych pieniędzy.
A kto, jak nie my zadba lepiej o nasze bezpieczeństwo? Niestety banki nie zawsze są w stanie wygrać wojnę z naciągaczami, dlatego i od nas wymagają zachowania ostrożności. Nie jesteśmy w tym przypadku całkowicie bezbronni, bo wystarczy stosować zasadę ograniczonego zaufania, by zmniejszyć ryzyko padnięcia ofiarą cyberprzestępców.
Ze swojej strony polecam maksymalną czujność – i dokładną weryfikację każdej wiadomości i każdego telefonu od jakiejkolwiek instytucji czy usługodawcy. Przy okazji warto odwiedzać oficjalne strony na Twitterze, np. CERT Polska, CERT Orange Polska6 oraz CSIRT KNF, które na bieżąco informują o wszelakich działaniach cyberprzestępców w sektorze finansowym czy teleinformatycznym.
Podziel się z nami swoim doświadczeniem w temacie phishingu! A jeśli spodobał Ci się artykuł, to śmiało udostępnij go znajomym. W ten sposób poinformujesz najbliższych, by zwrócili większą uwagę na zachowanie bezpieczeństwa w sieci!
Źródło:
1. https://surfshark.com/blog/data-breach-statistics-by-country
2. https://twitter.com/CSIRT_KNF
3. https://niebezpiecznik.pl/post/zlodziej-falszywy-pracownik-banku-rozmowa/
4. https://niebezpiecznik.pl/post/cyberalerty-darmowa-aplikacja-od-niebezpiecznika-ostrzegajaca-o-atakach/
5. https://cert.pl/
6. https://twitter.com/CERT_OPL