Cyberprofilaktyka NASK
a a a a
Serwisy społecznościowe
Serwisy społecznościowe

Phishing – czym jest i jak nie dać się złowić oszustom

Współcześnie wszyscy w mniejszym lub większym stopniu korzystamy z komunikacji elektronicznej. Każda osoba, będąca użytkownikiem komputera, tabletu, smartfonu, portali społecznościowych czy poczty elektronicznej może stać się celem ataku typu phishing. Jest on jednym z najskuteczniejszych i najpowszechniejszych typów oszustw.


Czym jest phishing

Phishing jest oszustwem, mającym na celu przekonanie Ciebie lub mnie do podzielenia się wrażliwymi informacjami, które posłużą sprawcy do pozyskania od nas, bez naszej wiedzy, różnych korzyści. Często chodzi po prostu o pieniądze. Nadawca wiadomości lub rozmówca może podszywać się pod naszego znajomego, pod pracownika banku lub innej instytucji. Mechanizm polega na wywołaniu w nas silnej emocji, zdobyciu naszego zaufania i przekonaniu nas do podjęcia określonego działania.
 
Phishing jest oszustwemCzasem oszustwo może służyć uzyskaniu dostępu do poczty elektronicznej lub konta na portalu społecznościowym, po przejęciu którego możliwe stanie się rozsyłanie dalej wiadomości, spreparowanych przez przestępców. Innym celem może być przejęcie kontroli nad urządzeniem ofiary poprzez zainstalowanie na niej niechcianego oprogramowania, które może następnie generować dla sprawcy oszustwa zyski (np. w tajemnicy przed użytkownikiem uruchomiony zostanie kod, generujący wirtualną walutę dla oszusta) lub wykonywać ataki sieciowe na wskazane domeny w celu utrudnienia dostępu do nich.

W marcu 2021 roku na zlecenie serwisu ChronPESEL.pl i KRD pod patronatem UODO, zostało przeprowadzone badanie ankietowe dotyczące prób phishingu wśród Polaków. Analiza danych raportu „Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii” nie są optymistyczne. Wynika z nich, że aż 30% ankietowanych doświadczyło próby wyłudzenia danych, a 43% obawiało się, że padnie ofiarą phishingu. 70% respondentów zauważyło, w okresie poprzedzającym badanie, zwiększenie aktywności oszustów wyłudzających dane. To co jest bardzo niepokojące, to wyniki wskazujące na to, że prawie co szósty Polak nie posiada wiedzy i nie zna narzędzi pomagających chronić poufne informacje, w tym swoje dane osobiste. 


Jak to się zaczyna?

Niezależnie od celu takich ataków, phishing polega zawsze na odwróceniu uwagi ofiary. Zgodnie z nazwą, przypomina on łowienie ryb (w j. ang.: phishing), a więc wiąże się z pokazaniem nam „przynęty”, czegoś co przykuje naszą uwagę i wywoła w nas emocje, jednocześnie utrudniając domyślenie się natury oszustwa. 

Celem phishingu jest  przekonanie uprawnionego użytkownika do przekazania swoich danych dostępu osobom trzecimPhishing jest tak popularny i skuteczny, ponieważ często do realizacji nie wymaga zaawansowanych umiejętności informatycznych. Jego celem nie jest złamanie zabezpieczeń systemu komputerowego czy aplikacji, a ich obejście poprzez przekonanie uprawnionego użytkownika do przekazania swoich danych dostępu osobom trzecim. W internecie istnieją powszechnie dostępne, darmowe i proste w użyciu narzędzia pozwalające np. zadzwonić czy wysłać wiadomość do innej osoby, umieszczając dowolnie wybrany numer czy adres jako nadawcę – co ułatwia wprowadzenie odbiorcy w błąd i zwiększa szansę takiego przedsięwzięcia. Na nic nie zdadzą się dobre hasła, programy zabezpieczające i szyfrowane połączenia, jeśli uwierzysz oszustom i sam wręczysz im dostęp do Twojego konta

Przeprowadzenie phishingu jest znacznie łatwiejsze, gdy działasz pod presją czasu i emocji
Pamiętaj, aby szczególnie wzmóc czujność, gdy otrzymasz wiadomość, która:
  • zawiera link 
  • nakazuje podjęcie szybkich działań
  • wywołuje silne uczucie, takie jak: nadzieja, współczucie, strach czy ciekawość. 


Nadzieja na wygraną

Działanie phishingowe wykorzystujące uczucie nadziei na wygraną jest zwykle zaplanowane na wiele etapów, w czasie których sprytnie spreparowana strona internetowa lub żywy rozmówca, stopniowo oswaja Cię ze sobą, buduje swoją wiarygodność i usiłuje sprawić, abyś się zaangażował. Mówi się, że nadzieja umiera ostatnia. Niespodziewana informacja o wygranej, propozycja poznania ciekawej osoby czy podzielenia się sporą sumą pieniędzy w zamian za niewielką pomoc bazują właśnie na wywołaniu w Tobie nadziei. Bardzo chcemy wierzyć, że to właśnie nas może spotkać miła niespodzianka i wielkie szczęście w postaci takiej wiadomości od nieznanej osoby, nawet jeśli zdrowy rozsądek wskazywałby na skrajne nieprawdopodobieństwo takiego przypadku. 

Działanie phishingowe wykorzystujące to uczucie jest zwykle zaplanowane na wiele etapów, w czasie których sprytnie spreparowana strona internetowa lub żywy rozmówca, stopniowo oswaja Cię ze sobą, buduje swoją wiarygodność i usiłuje sprawić, abyś się zaangażował. Im bardziej się wciągniesz, im więcej wyślesz wiadomości czy odpowiedzi w quizie, tym trudniej będzie Ci poddać w wątpliwość motywy drugiej strony i dostrzec jej oszustwo.


Nigeryjskie oszustwa

Phishing - „Klasyką gatunku” są tak zwane „nigeryjskie oszustwa”„Klasyką gatunku” są tak zwane „nigeryjskie oszustwa”. Niegramatycznie napisana informacja od osoby przestawiającej się, jako dysponent znacznego majątku pochodzący z dalekiego kraju (lub pełnomocnik takiej osoby), która przedstawia Ci propozycję otrzymania części tego majątku – jedyne co musisz zrobić, to wyrazić swoje zainteresowanie. W kolejnych wiadomościach dostajesz więcej szczegółów i prędzej czy później, zostajesz poproszony o niewielką pomoc – uregulowanie cła, podatku czy innej opłaty, aby wielki majątek mógł trafić do prawowitego właściciela, za co Ty otrzymasz ustaloną rekompensatę. Wymiana wiadomości trwa, ponosisz kolejne opłaty, ale nigdy nie otrzymujesz obiecanej nagrody. 

Podobnie jest w przypadku informacji o wielkiej wygranej czy przypisanego do Ciebie spadku. Gdy skuszony cenną nagrodą klikniesz w link, dowiadujesz się, że aby odebrać nagrodę musisz wnieść opłatę, która wydaje się relatywnie mała wobec obiecanych zysków lub też dokonać rejestracji wraz z podaniem danych karty płatniczej. 

Pamiętaj, że tego typu wiadomość jest rozsyłana niewielkim kosztem do milionów osób. Wystarczy, że niewielki procent odbiorców da się nabrać, aby proceder był opłacalny.


Strach

Phishing - fałszywe wiadomości, informujące Cię o śledztwie, w jakie rzekomo jesteś zamieszanyZnane są przypadki fałszywych wiadomości, informujących Cię o śledztwie, w jakie rzekomo jesteś zamieszany, np. z tytułu bycia podejrzanym o użytkowanie nielegalnego oprogramowania lub będące szantażem, gdy nadawca twierdzi, że jest w posiadaniu Twoich kompromitujących materiałów (tj.: wykonanych bez Twojej zgody i wiedzy nagrań z kamerki Twojego laptopa). Takie wiadomości rozsyłane są masowo do wszystkich użytkowników, do jakich udaje się zdobyć przestępcom adres, a choćby jedna osoba, która uwierzy takiej wiadomości i zapłaci żądany „mandat” czy innego typu okup, może przynieść przestępcom konkretny zarobek.

Bardzo często przedstawiona w wiadomości sytuacja ma tylko odwrócić Twoją uwagę od ryzyka utraty pieniędzy. Pod wpływem strachu jesteś w stanie z łatwością uczynić tak drobną rzecz jak zalogowanie się poprzez dostarczony link, aby dowiedzieć się więcej i zapobiec niemiłym, opisanym w wiadomości konsekwencjom. Łatwo jest uwierzyć, że firma kurierska prosi o śmiesznie małą dopłatę, bez której nie może przekazać Twojej przesyłki, bank, który zablokuje Twoje konto, jeśli nie potwierdzisz swoich danych osobowych, a firma windykacyjna zainteresuje się Tobą, jeśli nie zapłacisz zaległej faktury. Autorzy kampanii phishingowych żerują też na bieżącej sytuacji, aby uwiarygodnić przekaz, np. wiele fałszywych wiadomości dotyczyło opłat związanych ze szczepieniami w okresie pandemii, a obecnie często zdarzają się fałszywe zbiórki pieniędzy na rzecz pokrzywdzonych w wojnie dzieci z Ukrainy. 


Ciekawość

Phishing - link w wiadomości nie prowadzi wcale do ciekawych materiałów, a do specjalnie przygotowanej strony wykradającej poufne daneCiekawość jest również bardzo silnym uczuciem, które łatwo może popchnąć do podjęcia ryzykownych działań. Jeśli otrzymasz wiadomość od znajomej osoby, w której zachęca Cię do obejrzenia ciekawych zdjęć czy sensacyjnego filmiku, trudno jest Ci się oprzeć przed otwarciem podesłanego linku. Tego typu atak wykorzystuje przejęte konto Twojego znajomego i wysyła wiadomość do wszystkich jego kontaktów, bez zgody i wiedzy właściciela konta. Link w wiadomości nie prowadzi wcale do ciekawych materiałów, a do specjalnie przygotowanej strony, która może podawać się np. za znany serwis służący do przechowywania plików i żądać zainstalowania oprogramowania, rzekomo niezbędnego do skorzystania z jego zawartości.


Czym grozi phising

Phishing - Strona może być łudząco podobna do prawdziwej strony naszego banku.W niektórych scenariuszach, zmanipulowany, samodzielnie dokonujesz przelewu. W innych przypadkach link, obecny w otrzymanej przez nas wiadomości (np. prośbie o niewielką dopłatę do przesyłki czy korektę faktury) prowadzi do strony mającej zrealizować przelew. Strona może być łudząco podobna do prawdziwej strony naszego banku. Niestety, logując się na niej przekazujesz swoje dane przestępcom – Twój login, hasło i kod bezpieczeństwa lub blik posłużą im do realizacji znacznie większego przelewu, pozbawiając Cię środków na koncie. 


Szczególne typy phisingu


Vishing

Vishing - takie oszustwo polega na dzwonieniu i podawaniu się w rozmowie np. za pracownika banku, policji.Litera V pochodzi od angielskiego słowa Voice, czyli głos. Takie oszustwo polega na dzwonieniu i podawaniu się w rozmowie np. za pracownika banku, policji czy członka rodziny. W jej trakcie rozmówca jest przekonywany do dokonania przelewu – oszust przekonuje, że pieniądze na koncie nie są bezpieczne, lub że prowadzona jest policyjna akcja przeciwko oszustom i że trzeba „tymczasowo” przekazać swoje środki na inne konto. 


Smishing

Smishing - w treści SMS mogą pojawić się linki prowadzące do niebezpiecznych stronKrótkie wiadomości tekstowe, czyli SMS, są powszechnie używanym sposobem na przekazywanie informacji i stały się także bardzo częstym wektorem ataków phishingowych. W treści SMS mogą pojawić się linki prowadzące do niebezpiecznych stron, tak samo jak w wiadomościach innego typu.


Spear-phishing

Spear-phishing - oszust lub oszuści biorą sobie na cel konkretną osobę lub grupę osóbW przeciwieństwie do ataków masowych, gdzie wiadomości rozsyłane są do jak największej liczby osób, czasem oszust lub oszuści biorą sobie na cel konkretną osobę lub grupę osób, np. pracowników konkretnej firmy czy instytucji. Komunikaty zostają spersonalizowane, a sam atak jest poprzedzony nierzadko rozległym wywiadem mającym na celu przygotowanie scenariusza działań o możliwie największym prawdopodobieństwie sukcesu względem upatrzonego celu ataku.


Whaling

Szczególnym przypadkiem spear-phishingu jest tzw. whaling (jęz. ang.: polowania na wieloryba) – jest to atak na „grubą rybę”, czyli po prostu szefa lub pracownika o wysokim poziomie uprawnień. Takie ataki potrafią zaangażować wiele osób i wiązać się z długotrwałym, starannym przygotowaniem, gdyż ich celem jest znaczna suma pieniędzy lub informacje o znacznej wartości.


Jak postępować, by nie zostać ofiarą phisingu 


1. Nie spiesz się z klikaniem

Phishing - Nie spiesz się z klikaniemTreść wiadomości phishingowej jest spreparowana w taki sposób, aby przekonać Cię do szybkiego podjęcia konkretnych działań. Bardzo ważne jest, aby nie klikać na link odruchowo, bez myślenia o konsekwencjach. 
Pamiętaj! Nie ma żadnej pewności, kto jest nadawcą wiadomości ani dokąd przesłany link Cię zaprowadzi. Gdy tylko dasz sobie parę chwil do namysłu, wrócisz do wiadomości po jakimś czasie i przeanalizujesz jej zasadność, może się okazać, że dostrzeżesz próbę oszustwa


2. Sprawdzaj

Phishing -  zweryfikuj komunikat od dostawcyChwila spokoju i rozsądne przemyślenie sytuacji, to nasza najlepsza broń przeciwko atakowi phishingowemu. Upewnij się, że czy naprawdę zamawiałeś jakąś paczkę. Zweryfikuj komunikat od dostawcy – czy naprawdę korzystasz z jego usług? Jeżeli nie pamiętasz, sprawdź dokładnie z kim masz podpisaną umowę telekomunikacyjną lub na dostawę energii? Zadzwoń do dostawcy usługi lub sprawdź na jego oficjalnej stronie, czy faktycznie zalegasz z płatnością. Dostałeś wiadomość na komunikatorze znajomego z prośbą o pożyczkę lub płatność za pomocą blika? Zadzwoń do niego i upewnij się, czy to prawda.  
 
Ważne jest, abyś nie korzystał z linku dostarczonego w wiadomości. Jeśli rzekomo czeka na Ciebie faktura lub inne zawiadomienie o zaległych opłatach, lepiej jest odnaleźć oficjalną stronę tej firmy, posługując się wyszukiwarką internetową i tam użyć danych do zalogowania. Jeśli zaległość jest prawdziwa, z pewnością zobaczymy taką informację na naszym koncie. 
 
Gdy już musisz skorzystać z dostarczonego linku, zweryfikuj najpierw adres jego domeny. Skopiuj wyłącznie domenę (fragment adresu internetowego, występujący po frazie „https://” aż do kolejnego symbolu „/”) i wyłącznie ją otwórz w przeglądarce internetowej. Powinna się wyświetlić główna strona serwisu. Kliknij następnie symbol kłódki widoczny obok adresu, w pasku używanej przeglądarki internetowej. Pojawią się informacje o certyfikacie, wystawionym dla danej witryny. To co jest istotne, to dla jakiej dokładnie domeny został on wystawiony. Porównaj tę informację z oficjalnym adresem strony danej firmy, podpowiadanym przez wyszukiwarkę internetową. 


3. Zgłaszaj

Jeśli cokolwiek w otrzymanej wiadomości lub na stronie proponowanej do otwarcia budzi Twoją wątpliwość, zignoruj instrukcje czy prośbę w otrzymanej wiadomości, a  zamiast tego zgłoś ją na stronie https://incydent.cert.plCSIRT NASK działa w strukturach NASK PIB. To zespół reagowania na incydenty, innymi słowy to zespół specjalistów zwalczających zagrożenia w sieciach komputerowych. Na stronie cert.pl znajdziesz informacje o kampaniach phisingowych czy kampaniach fałszywych SMS-ów, a także listę ostrzeżeń przed niebezpiecznymi stronami. 


4. Uprzedź rodzinę i znajomych

Zagrożenie phishingiem jest powszechne, a szczególnie narażone na niego są osoby bardzo młode lub starsze, zaczynające dopiero swoją przygodę z internetem i mediami społecznościowymi. Ważne jest, abyś mając już wiedzę w tym temacie, dzielił się nią z osobami z Twojego najbliższeego otoczeniu. Wyjaśnij dlaczego nie powinny wierzyć w każdy komunikat, jaki otrzymują – czy to przez wiadomość SMS, e-mail, telefon czy banner na stronie www. Przypominaj im o prezentowanych wyżej dobrych praktykach i o tym, że zawsze powinny się do nas zwrócić z pytaniem i wątpliwością zanim odpiszą czy klikną na nietypową wiadomość.
 
Porozmawiaj na temat phisingu i jego rodzajów ze swoim dzieckiem. Doświadczenie pokazuje, że najlepiej podczas rozmowy posłużyć się autentycznym przykładem. Na stronie CERT Polska na Facebooku znajdziesz przykłady incydentów – prób oszustw, tzw. kampanii phisingowych, na bazie, których będziesz mógł pokazać dziecku jak może wyglądać wiadomość email lub SMS, będącey próbą oszustwa. 
 
Bibliografia:
 
 

Andrzej Rylski NASK
Andrzej Rylski
NASK
 
Od 2016 r. pracuje w NASK, w w Dziale Profilaktyki Cyberzagrożeń. Specjalizuje się w zagadnieniach prywatności w sieci, gier wideo oraz fabularnych gier narracyjnych. W ramach Polskiego Centrum Programu Safer Internet (PCPSI) współorganizuje konferencje i inne wydarzenia poświęcone tematyce bezpieczeństwa dzieci w internecie. Od 2017 r. koordynuje działający przy NASK młodzieżowy panel doradczy działający przy PCPSI. Jest absolwentem pedagogiki ogólnej na Uniwersytecie Warszawskim, posiada dyplom wychowawcy kolonii oraz doświadczenie w organizowaniu i prowadzeniu rekreacyjno-szkoleniowych wyjazdów dla młodzieży a także wydarzeń online.
 
wszystkie posty
do góry Menu Strony

Ustawienia plików Cookie

Na naszych stronach używamy różnych technologii, by zoptymalizować Państwa doświadczenia online. Obok wymaganych plików cookie, które zapewniają funkcjonalność stron, należą do nich także technologie służące np. do anonimizacji analizy stron lub do wyświetlania ukierunkowanej reklamy. Korzystanie z nich jest dobrowolne i wymaga zgody. Zgodę można w każdej chwili wycofać ze skutkiem na przyszłość.
Zobacz szczegółową Politykę Prywatności



Wymagane
Sesyjne pliki Cookies wymagane do działania strony, przechowywane podczas wizyty na stronie, np zapamiętany wybór języka strony

Statystyczne
Anonimowe statystyki odwiedzin strony oraz zachowania użytkownika

Zewnętrzne
Pliki Cookies od zewnętrznych dostawców usług takich jak filmy Youtube