Czym jest phishing i jak się bronić?

Ciężko nie skojarzyć słowa phishing z angielskim słowem fishing (tł. rybołówstwo, łowienie ryb). Podobne jest nie tylko brzmienie, ale i znaczenie. Phishing to także łowienie, ale nie ryb, a poufnych danych użytkowników sieci, tj. Internetu. Cyberprzestępcy stosują podobną technikę, jak wędkarze – zarzucają przynętę (np. fałszywy e-mail, SMS) i czekają, aż coś złapią. Poniżej szerzej wyjaśniamy, czym jest phishing i jak się bronić.

Co to jest phishing?

Phishing to rodzaj oszustwa internetowego. Przestępcy podszywają się pod zaufane podmioty i osoby, by wyłudzić od użytkownika poufne dane, które wykorzystają do kolejnych przestępstw, np. kradzieży tożsamości i pieniędzy. Kontakt z potencjalną ofiarą odbywa się za pośrednictwem poczty e-mail, SMS-ów, komunikatorów internetowych, czy mediów społecznościowych, ale może też przybrać formę rozmowy telefonicznej.

W odróżnieniu od innych oszustw internetowych phishing nie jest ukierunkowany na urządzenie, a na osobę i informacje, jakie ona posiada. Taki atak jest o wiele prostszy w realizacji, ponieważ nie wymaga dużej wiedzy informatycznej i zaawansowanych technologii. Wystarczy znajomość ludzkiej natury i jej słabości oraz technik manipulacji. Dlatego phishing zalicza się do grona ataków socjotechnicznych.

Phishing – jak działają przestępcy? Czym jest phishing i jak się bronić?

Cyberprzestępcom zależy na naszych danych (im więcej i bardziej poufne, tym lepiej) oraz informacjach, które posiadamy lub, do których mamy dostęp. Co robią, by je zdobyć?

Podszywają się pod zaufane osoby i podmioty

Oszuści mogą podawać się za banki, urzędy i instytucje publiczne, firmy kurierskie, operatorów telefonicznych, policję, kancelarie prawnicze, a nawet znajomych i rodzinę. Nie tylko rozsyłają fałszywe wiadomości. Tworzą także kopie stron i sklepów internetowych, które do złudzenia przypominają te oryginalne. Poza tym wykorzystują spoofing (tj. podmieniają numery telefonów tak, że ofierze wyświetla się prawidłowy numer). W ten sposób próbują uwiarygodnić całą sytuację i zdobyć zaufanie ofiary.

Manipulują i grają na emocjach ofiary

Przekazują ofierze informacje, które mają wzbudzić w niej emocje takie jak: strach, chęć zysku, ciekawość, współczucie, czy wdzięczność. Taką wabikiem/starszakiem może być, np.:

• prośba znajomego o niewielką pożyczkę;
• zdarzenie losowe, które przytrafiło się komuś z rodziny – kradzież, wypadek, pilna operacja, zgubiony portfel/telefon;
• faktura do opłacenia;
• błąd z przesyłką – nieudana próba dostarczenia, błąd w adresie;
• konieczność aktywacji konta, weryfikacji danych, zaakceptowania nowego regulaminu lub polityki prywatności;
• konieczność dopłaty do przesyłki, uiszczenia opłaty celnej;
• nieopłacony mandat karny;
• nierozliczony podatek;
• tajna operacja policji;
• blokada lub utrata dostępu do konta/karty płatniczej;
• wygrana na loterii, w konkursie, możliwość odebrania bonu lub inny „uśmiech losu”;
• korzystna oferta inwestycyjna – mały wkład, a duży i pewny zysk;
• wyjątkowo tani kredyt.

Jednocześnie instruują, jak rozwiązać problem, odebrać nagrodę, skorzystać z oferty lub uzyskać więcej informacji. Wymuszają przy tym pośpiech i grożą konsekwencjami braku natychmiastowej reakcji, np.:

• utratą dostępu do konta, pieniędzy;
• niedostarczeniem przesyłki;
• odłączeniem prądu;
• usunięciem konta;
• widmem egzekucji komorniczej.

Tak skonstruowany komunikat ma wyprowadzić ofiarę z równowagi, odebrać jej czas na przemyślenia i skłonić ją do podjęcia działań zgodnych z oczekiwaniami oszustów. Takim działaniem może być, np.:

• wypełnienie formularza dostępnego pod wskazanym linkiem;
• zalogowanie się przez podany link do bankowości internetowej, poczty e-mail, portalu społecznościowego lub innego serwisu;
• podanie kodu BLIK, danych karty płatniczej;
• kontakt telefoniczny na podany numer i postępowanie zgodnie ze wskazówkami rozmówcy;
• pobranie załącznika, faktury, wezwania do zapłaty;
• zrealizowanie płatności przez wskazany link;
• kliknięcie linku, by uzyskać więcej informacji, odebrać nagrodę itp.;
• zainstalowanie dodatkowe oprogramowanie, np. programu do zdalnego pulpitu.

Korzystają z tego, co otrzymali

Każde z ww. działań koniec końców oznacza jedno – kradzież tożsamości i/lub pieniędzy.

Wskazany link prowadzi bowiem do spreparowanej strony www (np. banku, bramki płatniczej, sklepu internetowego, portalu społecznościowego). Jeśli spróbujemy się zalogować, zrealizować płatność, podamy jakieś inne dane – wszystko to trafi w ręce oszustów. Uzyskane w ten sposób informacje będą mogli wykorzystać, by, np.:

• wykraść pieniądze z naszego konta;
• zaciągnąć na nas kredyt;
• uzyskać dostęp do naszego profilu, np. na Facebooku i wyłudzać od naszych znajomych kody BLIK;
• zawrzeć umowę w naszym imieniu.

Dalej dołączony do wiadomości załącznik zawiera złośliwe oprogramowanie – jeśli go pobierzemy, zainfekujemy swoje urządzenie.

A jeśli za namową oszustów zainstalujemy aplikację/program do zdalnego pulpitu, będą mogli, np. pozyskać dane umożliwiające zalogowanie się do różnych usług, czy wykonywać na naszym urządzeniu różne działania bez naszej wiedzy.

Rodzaje phishingu – czym jest phishing i jak się bronić?

Warto mieć świadomość, że phishing może przybierać różną formę. W zależności od kanału kontaktu wyróżniamy:

• Phishing e-mail – najpopularniejszy rodzaj phishingu. Cyberatak zaczyna się od wiadomości e-mail.
• Vishing (voice phishing) – atak odbywa się podczas rozmowy telefonicznej.
• Smishing (SMS phishing) – w tym przypadku oszuści kontaktują się z ofiarą za pomocą SMS-ów. Smishing może być początkiem vishingu. Zdarzają się bowiem SMS-y, w których oszust prosi o pilny kontakt pod wskazany numer telefony, np. w celu weryfikacji konta, usunięcia blokady.

Poza tym oszuści mogą kontaktować się z potencjalną ofiarą także poprzez:

• komunikatory internetowe i media społecznościowe, np. Messenger, WhatsApp, Instagram;
• portale sprzedażowe, np. Allegro, OLX, Vinted.

Za przykład może posłużyć tutaj, tzw. wakacyjne oszustwo. Oszuści wykorzystali fakt, że w wakacje sporo dzieci przebywa poza domem, np. na obozach, koloniach. Polegało to na tym, że oszuści wysyłali masowo wiadomości typu: Mamo, skontaktuj się ze mną na WhatsAppie. To mój nowy numer. Kiedy zaniepokojony rodzic spełniał prośbę, dowiadywał się, ze stary telefon dziecka, np. wpadł do ubikacji. Rozwiązaniem problemu miało być udostępnienie kwoty (np. poprzez zlecenie przelewu, podanie danych karty, czy kodu SMS), za którą „dziecko” będzie mogło kupić nowy telefon.

Spear phishing i whaling

To nie wszystko. Phishing możemy rozróżniać także w zależności od tego, do kogo jest kierowany.

Typowy phishing to działanie na masową skalę i nieco na oślep. Oszuści wybierają numery losowo i z reguły nie wiedzą, kto jest odbiorcą wiadomości. Wychodzą z założenia, że im szersza grupa odbiorców, tym większe prawdopodobieństwo, że ktoś złapie się na haczyk.

Niestety, istnieje także bardzo groźna i trudna do wykrycia odmiana phishingu. Mowa o spear phishingu. Jego skuteczność wynika z faktu, że jest ukierunkowany (profilowany) na konkretną osobę, firmę, czy organizację. Wiadomość jest personalizowana i zawiera szczegółowe informacje o ofierze. Oszust może znać nie tylko jej personalia i adres zamieszkania, ale także, np.:

• wiedzieć, w jakim banku ma konto;
• prawidłowo podać 4 ostatnie cyfry karty płatniczej;
• znać jej plany wakacyjne;
• wiedzieć, gdzie i na jakim stanowisku pracuje;
• znać jej zainteresowania;
• wiedzieć, co ostatnio zamawiała w danym sklepie online;
• odwoływać się do relacji.

Wszystko wygląda więc bardzo wiarygodnie, co może uśpić czujność odbiorcy.

Pamiętajmy jednak, że zostawiamy swoje dane w wielu miejscach w sieci – robimy zakupy online, korzystamy z mediów społecznościowych i innych internetowych usług. Musimy więc mieć świadomość, że nasze dane wyciekają. Jedni dbają o to, by nasze dane były bezpieczne, a drudzy – by te zabezpieczenia złamać. Zatem fakt, że nadawca wie dużo na nasz temat, nie znaczy, że możemy mu zaufać.

Warto dodać, że spear phishing ma swoją odmianę – whaling. Na język polski możemy przetłumaczyć to jako „wielorybnictwo”. Ofiarą tego typu ataku są tzw. grube ryby, czyli osoby zajmujące ważne stanowiska i obracające wysokimi kwotami. Dla przykładu: główny księgowy otrzymuje e-mail od szefa, by zrobił przelew na nowe konto bankowe. Jeśli atak okaże się skuteczny – oszust ma szansę na spory zysk.

Jak rozpoznać próbę oszustwa? Czym jest phishing i jak się bronić?

To najpewniej próba oszustwa, jeśli:

• Wiadomość zawiera literówki, błędy ortograficzne, językowe itp.
• Adres e-mail nadawcy jest długi i składa się z ciągu przypadkowych znaków.
• Konsultant, czy pracownik działu technicznego proponuje zainstalowanie programu do zdalnego pulpitu.
• Oferta jest zbyt piękna, żeby była prawdziwa.
• Jesteśmy proszeni o podanie poufnych danych, czy przesłanie zdjęć karty płatniczej. Pracownik banku nigdy nie poprosi o takie dane jak: numer karty, kod CVV/CVC, login i hasło do bankowości, czy PIN karty.
• Link nie jest w domenie danego podmiotu, np. IIKEA.pl zamiast IKEA.pl, mObywatel.com zamiast mObywatel.gov.pl.
• Policja, służba celna, instytucje publiczne proszą o dopłatę, uregulowanie należności za pośrednictwem e-maila, czy SMS-a.
• Otrzymaliśmy informację typu: Ze względów bezpieczeństwa wymagana jest zmiana hasła; Profil wymaga weryfikacji/został zablokowany; Twoje konto jest zagrożone.
• Wiadomość wymaga natychmiastowej reakcji, zawiera prośby o pilny przelew.
• Załącznik jest w niestandardowym formacie, np. faktura zamiast w PDF, to w .rar, czy .zip.
• Otrzymaliśmy załącznik, którego się nie spodziewaliśmy, np. fakturę za zamówienie, którego nie złożyliśmy.

Tego typu wiadomości najlepiej zignorować i od razu przenieść do kosza. Nie zawsze jednak już na pierwszy rzut oka da się ocenić, że to scam. Jeśli nie mamy pewności co do intencji i tożsamości adresata, zweryfikujmy to, zanim spełnimy jego prośbę. Jak? Poniżej znajdziecie kilka wskazówek.

Jak zweryfikować nadawcę wiadomości?

Można, np.:

• sprawdzić oficjalne numery telefonów, adresy e-mail na stronach banków, urzędów, sklepów internetowych, a następnie skontaktować się samodzielnie z danym podmiotem (najlepiej własnoręcznie wpisać adres e-mail, czy numer telefonu);
• wypytywać o jak najwięcej szczegółów lub zapytać o coś, o czym wie tylko wasza dwójka – jeśli nadawca podaje się za kogoś z rodziny, czy znajomego;
• skontaktować się z daną osobą/podmiotem innym kanałem, np.:
  • zadzwonić, zamiast pisać na Messengerze;
  • zadzwonić na infolinię banku, zamiast odpisywać na e-maila;
  • udać się osobiście do urzędu skarbowego i dopytać, czy rzeczywiście nie rozliczyliśmy podatku, zamiast od razu klikać link z SMS-a i regulować płatność;
• przyglądać się uważnie adresom stron www, linkom, adresom e-mail – czy nie ma literówek, przestawień, podwojeń, np. allegrO.pl zamiast allegro.pl; rmbank.pl zamiast mbank.pl – a najlepiej wprowadzić je „z palca”.

Gdzie zgłosić próbę oszustwa phishingowego?

Gdy uda nam się wykryć próbę phishingu, warto zgłosić to do zespołu CERT Polska. Wystarczy wypełnić krótki formularz dostępny na stronie incydent.cert.pl lub przekazać podejrzaną wiadomość SMS bezpośrednio na numer 8080.

A jeśli mamy uzasadnione podejrzenie, że padliśmy ofiarą phishingu, sprawę należy jak najszybciej zgłosić w swoim banku oraz na policję lub do prokuratury.

Czym jest phishing i jak się bronić? – podsumowanie

Niestety, tematu phishingu nie da się w pełni wyczerpać. Cyberprzestępcy stale udoskonalają swoje metody. Kiedy jeden wabik przestaje działać – wymyślają nowy. Wykorzystują aktualną sytuację w kraju i nastroje społeczne. Potrafią być perfidni i wyrachowani.

Pamiętajmy, że ataki phishingowe trwają cały czas, a narażony jest na nie każdy. Nie da się ich w prosty sposób wyeliminować ze swojego życia, ale da się uniknąć ich przykrych skutków, np. utraty oszczędności. Jak? Budując swoją świadomość i aktualizując wiedzę na ten temat. Warto być przygotowanym na wszystko, w tym atak spersonalizowany. Najlepiej więc zawsze kierować się zasadą ograniczonego zaufania i dopóki nie mamy pewności, kto jest nadawcą – nie podejmować żadnych działań.

Dodatkowo, by ograniczyć skutki kradzieży tożsamości, warto pomyśleć o skorzystaniu z usługi „Zastrzeż PESEL”. Aktywujemy ją przez aplikację lub serwis mObywatel, a także w dowolnym urzędzie gminy.  

Autor artykułu

Michał Król

Pozostałe publikacje autora

Z wykształcenia finansista. Posiada wieloletnie doświadczenie w instytucjach finansowych i bankach. Czuwa nad merytorycznymi aspektami artykułów. Potrafi w jasny i prosty sposób wyjaśnić nawet zawiłe aspekty świata finansów. Na bieżąco śledzi nowości w świecie Fintechów i podpowiada jak najlepiej wykorzystywać funkcje poszczególnych z nich. Lubi Podróże, zainteresowany jest światem inwestycji i jest pasjonatem Lotnictwa.