Phishing – czym jest i jak nie dać się złowić oszustom

Czym jest phishing

Czasem oszustwo może służyć uzyskaniu dostępu do poczty elektronicznej lub konta na portalu społecznościowym, po przejęciu którego możliwe stanie się rozsyłanie dalej wiadomości, spreparowanych przez przestępców. Innym celem może być przejęcie kontroli nad urządzeniem ofiary poprzez zainstalowanie na niej niechcianego oprogramowania, które może następnie generować dla sprawcy oszustwa zyski (np. w tajemnicy przed użytkownikiem uruchomiony zostanie kod, generujący wirtualną walutę dla oszusta) lub wykonywać ataki sieciowe na wskazane domeny w celu utrudnienia dostępu do nich.

W marcu 2021 roku na zlecenie serwisu ChronPESEL.pl i KRD pod patronatem UODO, zostało przeprowadzone badanie ankietowe dotyczące prób phishingu wśród Polaków. Analiza danych raportu „Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii” nie są optymistyczne. Wynika z nich, że aż 30% ankietowanych doświadczyło próby wyłudzenia danych, a 43% obawiało się, że padnie ofiarą phishingu. 70% respondentów zauważyło, w okresie poprzedzającym badanie, zwiększenie aktywności oszustów wyłudzających dane. To co jest bardzo niepokojące, to wyniki wskazujące na to, że prawie co szósty Polak nie posiada wiedzy i nie zna narzędzi pomagających chronić poufne informacje, w tym swoje dane osobiste. 

Jak to się zaczyna?

Niezależnie od celu takich ataków, phishing polega zawsze na odwróceniu uwagi ofiary. Zgodnie z nazwą, przypomina on łowienie ryb (w j. ang.: phishing), a więc wiąże się z pokazaniem nam „przynęty”, czegoś co przykuje naszą uwagę i wywoła w nas emocje, jednocześnie utrudniając domyślenie się natury oszustwa. 

Phishing jest tak popularny i skuteczny, ponieważ często do realizacji nie wymaga zaawansowanych umiejętności informatycznych. Jego celem nie jest złamanie zabezpieczeń systemu komputerowego czy aplikacji, a ich obejście poprzez przekonanie uprawnionego użytkownika do przekazania swoich danych dostępu osobom trzecim. W internecie istnieją powszechnie dostępne, darmowe i proste w użyciu narzędzia pozwalające np. zadzwonić czy wysłać wiadomość do innej osoby, umieszczając dowolnie wybrany numer czy adres jako nadawcę – co ułatwia wprowadzenie odbiorcy w błąd i zwiększa szansę takiego przedsięwzięcia. Na nic nie zdadzą się dobre hasła, programy zabezpieczające i szyfrowane połączenia, jeśli uwierzysz oszustom i sam wręczysz im dostęp do Twojego konta. 

Przeprowadzenie phishingu jest znacznie łatwiejsze, gdy działasz pod presją czasu i emocji. 

• zawiera link 
• nakazuje podjęcie szybkich działań
• wywołuje silne uczucie, takie jak: nadzieja, współczucie, strach czy ciekawość. 

Nadzieja na wygraną

Mówi się, że nadzieja umiera ostatnia. Niespodziewana informacja o wygranej, propozycja poznania ciekawej osoby czy podzielenia się sporą sumą pieniędzy w zamian za niewielką pomoc bazują właśnie na wywołaniu w Tobie nadziei. Bardzo chcemy wierzyć, że to właśnie nas może spotkać miła niespodzianka i wielkie szczęście w postaci takiej wiadomości od nieznanej osoby, nawet jeśli zdrowy rozsądek wskazywałby na skrajne nieprawdopodobieństwo takiego przypadku. 

Działanie phishingowe wykorzystujące to uczucie jest zwykle zaplanowane na wiele etapów, w czasie których sprytnie spreparowana strona internetowa lub żywy rozmówca, stopniowo oswaja Cię ze sobą, buduje swoją wiarygodność i usiłuje sprawić, abyś się zaangażował. Im bardziej się wciągniesz, im więcej wyślesz wiadomości czy odpowiedzi w quizie, tym trudniej będzie Ci poddać w wątpliwość motywy drugiej strony i dostrzec jej oszustwo.

Nigeryjskie oszustwa

„Klasyką gatunku” są tak zwane „nigeryjskie oszustwa”. Niegramatycznie napisana informacja od osoby przestawiającej się, jako dysponent znacznego majątku pochodzący z dalekiego kraju (lub pełnomocnik takiej osoby), która przedstawia Ci propozycję otrzymania części tego majątku – jedyne co musisz zrobić, to wyrazić swoje zainteresowanie. W kolejnych wiadomościach dostajesz więcej szczegółów i prędzej czy później, zostajesz poproszony o niewielką pomoc – uregulowanie cła, podatku czy innej opłaty, aby wielki majątek mógł trafić do prawowitego właściciela, za co Ty otrzymasz ustaloną rekompensatę. Wymiana wiadomości trwa, ponosisz kolejne opłaty, ale nigdy nie otrzymujesz obiecanej nagrody. 

Podobnie jest w przypadku informacji o wielkiej wygranej czy przypisanego do Ciebie spadku. Gdy skuszony cenną nagrodą klikniesz w link, dowiadujesz się, że aby odebrać nagrodę musisz wnieść opłatę, która wydaje się relatywnie mała wobec obiecanych zysków lub też dokonać rejestracji wraz z podaniem danych karty płatniczej. 

Pamiętaj, że tego typu wiadomość jest rozsyłana niewielkim kosztem do milionów osób. Wystarczy, że niewielki procent odbiorców da się nabrać, aby proceder był opłacalny.

Strach

Znane są przypadki fałszywych wiadomości, informujących Cię o śledztwie, w jakie rzekomo jesteś zamieszany, np. z tytułu bycia podejrzanym o użytkowanie nielegalnego oprogramowania lub będące szantażem, gdy nadawca twierdzi, że jest w posiadaniu Twoich kompromitujących materiałów (tj.: wykonanych bez Twojej zgody i wiedzy nagrań z kamerki Twojego laptopa). Takie wiadomości rozsyłane są masowo do wszystkich użytkowników, do jakich udaje się zdobyć przestępcom adres, a choćby jedna osoba, która uwierzy takiej wiadomości i zapłaci żądany „mandat” czy innego typu okup, może przynieść przestępcom konkretny zarobek.

Bardzo często przedstawiona w wiadomości sytuacja ma tylko odwrócić Twoją uwagę od ryzyka utraty pieniędzy. Pod wpływem strachu jesteś w stanie z łatwością uczynić tak drobną rzecz jak zalogowanie się poprzez dostarczony link, aby dowiedzieć się więcej i zapobiec niemiłym, opisanym w wiadomości konsekwencjom. Łatwo jest uwierzyć, że firma kurierska prosi o śmiesznie małą dopłatę, bez której nie może przekazać Twojej przesyłki, bank, który zablokuje Twoje konto, jeśli nie potwierdzisz swoich danych osobowych, a firma windykacyjna zainteresuje się Tobą, jeśli nie zapłacisz zaległej faktury. Autorzy kampanii phishingowych żerują też na bieżącej sytuacji, aby uwiarygodnić przekaz, np. wiele fałszywych wiadomości dotyczyło opłat związanych ze szczepieniami w okresie pandemii, a obecnie często zdarzają się fałszywe zbiórki pieniędzy na rzecz pokrzywdzonych w wojnie dzieci z Ukrainy. 

Ciekawość

Ciekawość jest również bardzo silnym uczuciem, które łatwo może popchnąć do podjęcia ryzykownych działań. Jeśli otrzymasz wiadomość od znajomej osoby, w której zachęca Cię do obejrzenia ciekawych zdjęć czy sensacyjnego filmiku, trudno jest Ci się oprzeć przed otwarciem podesłanego linku. Tego typu atak wykorzystuje przejęte konto Twojego znajomego i wysyła wiadomość do wszystkich jego kontaktów, bez zgody i wiedzy właściciela konta. Link w wiadomości nie prowadzi wcale do ciekawych materiałów, a do specjalnie przygotowanej strony, która może podawać się np. za znany serwis służący do przechowywania plików i żądać zainstalowania oprogramowania, rzekomo niezbędnego do skorzystania z jego zawartości.

Czym grozi phising

W niektórych scenariuszach, zmanipulowany, samodzielnie dokonujesz przelewu. W innych przypadkach link, obecny w otrzymanej przez nas wiadomości (np. prośbie o niewielką dopłatę do przesyłki czy korektę faktury) prowadzi do strony mającej zrealizować przelew. Strona może być łudząco podobna do prawdziwej strony naszego banku. Niestety, logując się na niej przekazujesz swoje dane przestępcom – Twój login, hasło i kod bezpieczeństwa lub blik posłużą im do realizacji znacznie większego przelewu, pozbawiając Cię środków na koncie. 

Szczególne typy phisingu

Vishing

Litera V pochodzi od angielskiego słowa Voice, czyli głos. Takie oszustwo polega na dzwonieniu i podawaniu się w rozmowie np. za pracownika banku, policji czy członka rodziny. W jej trakcie rozmówca jest przekonywany do dokonania przelewu – oszust przekonuje, że pieniądze na koncie nie są bezpieczne, lub że prowadzona jest policyjna akcja przeciwko oszustom i że trzeba „tymczasowo” przekazać swoje środki na inne konto. 

Smishing

Krótkie wiadomości tekstowe, czyli SMS, są powszechnie używanym sposobem na przekazywanie informacji i stały się także bardzo częstym wektorem ataków phishingowych. W treści SMS mogą pojawić się linki prowadzące do niebezpiecznych stron, tak samo jak w wiadomościach innego typu.

Spear-phishing

W przeciwieństwie do ataków masowych, gdzie wiadomości rozsyłane są do jak największej liczby osób, czasem oszust lub oszuści biorą sobie na cel konkretną osobę lub grupę osób, np. pracowników konkretnej firmy czy instytucji. Komunikaty zostają spersonalizowane, a sam atak jest poprzedzony nierzadko rozległym wywiadem mającym na celu przygotowanie scenariusza działań o możliwie największym prawdopodobieństwie sukcesu względem upatrzonego celu ataku.

Whaling

Jak postępować, by nie zostać ofiarą phisingu 

1. Nie spiesz się z klikaniem

Treść wiadomości phishingowej jest spreparowana w taki sposób, aby przekonać Cię do szybkiego podjęcia konkretnych działań. Bardzo ważne jest, aby nie klikać na link odruchowo, bez myślenia o konsekwencjach. 

2. Sprawdzaj

Chwila spokoju i rozsądne przemyślenie sytuacji, to nasza najlepsza broń przeciwko atakowi phishingowemu. Upewnij się, że czy naprawdę zamawiałeś jakąś paczkę. Zweryfikuj komunikat od dostawcy – czy naprawdę korzystasz z jego usług? Jeżeli nie pamiętasz, sprawdź dokładnie z kim masz podpisaną umowę telekomunikacyjną lub na dostawę energii? Zadzwoń do dostawcy usługi lub sprawdź na jego oficjalnej stronie, czy faktycznie zalegasz z płatnością. Dostałeś wiadomość na komunikatorze znajomego z prośbą o pożyczkę lub płatność za pomocą blika? Zadzwoń do niego i upewnij się, czy to prawda.  
 

3. Zgłaszaj

4. Uprzedź rodzinę i znajomych

• Co to jest phishing? - https://kwestiabezpieczenstwa.pl/phishing/ (dostęp z 31.05.2022 r.)
• Top 5 najczęstszych technik phishingowych - https://policja.pl/pol/aktualnosci/212455,Top-5-najczestszych-technik-phishingowych.html   (dostęp z 31.05.2022 r.)
• Najpopularniejsze oszustwo internetowe - https://www.gov.pl/web/baza-wiedzy/najpopularniejsze-oszustwo-internetowe--phishing (dostęp z 31.05.2022 r.)
• Niebezpiecznik.pl - https://niebezpiecznik.pl/tag/phishing  (dostęp z 31.05.2022 r.)
• Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii – raport za I kwartał 2021 r. - Raporty – Krajowy Rejestr Długów  (dostęp z 31.05.2022 r.)