Phishing to wyłudzenie danych za pomocą współczesnych technologii internetowych. Kradzież tożsamości lub dostępów do kont bankowych, a nawet podszycie się pod inną osobę (lub instytucję) to przykłady coraz częściej widoczne wśród polskich użytkowników. Podstawowym narzędziem do walki z phishingiem jest znajomość zagrożeń i wiedza jak nie dać „złapać się na haczyk” cyberprzestępcy. Pomocne jest również wsparcie oprogramowania zabezpieczającego, czyli antywirusa z modułem antyphishingowym na komputer i smartfon. Czy Polacy są odporni na wyłudzanie danych? Jak chronić swoje dane i nie dać nabrać się na phishing?
Jak groźny jest phishing?
Polska nie jest wyjątkiem na globalnej mapie phishingu. Coraz częściej słyszymy o dużych kampaniach phishingowych skierowanych w stronę Polaków z wykorzystaniem znanych marek sklepów e-commerce, firm kurierskich, a takze instytucji czy rejestrów publicznych. Tylko w okresie pandemii, prawie co trzeci z nas otrzymał podejrzany SMS lub telefon, a co szósty Polak nie wie jak zadbać o bezpieczeństwo swoich danych.
W marcu 2021 roku na zlecenie serwisu ChronPESEL.pl i KRD pod patronatem UODO, zostało przeprowadzone badanie ankietowe dotyczące prób phishingu wśród Polaków. Dane zawarte raporcie Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii nie napawają optymizmem. Aż 30% ankietowanych padło w ostatnim czasie próbie wyłudzenia danych, a 43% obawia się, że padnie ofiarą phishingu.
70 procent respondentów zauważyło w ostatnim czasie zwiększenie aktywności oszustów wyłudzających dane, a prawie co szósty Polak nie posiada wiedzy i nie zna narzędzi pomagających chronić poufne informacje, w tym swoje dane osobiste.
Jaki jest cel ataku phishingowego?
Ataki phishingowe ukierunkowane są zarówno w firmy, jak i w osoby prywatne. Ich celem jest zdobycie danych pozwalających na przejęcie danych autoryzacyjnych, poufnych informacji, prywatnych plików czy kradzież pieniędzy. Najczęściej* atak phishingowy składnia do:
- Kliknięcia w link internetowy – 49,2%
- Otworzenie podejrzanego załącznika – 44,4%
- Wykonanie przelewu lub opłacenie należności (np. faktury)– 28,1%
- Przekazania danych osobowych – 25,8%
- Uruchomienie pliku wykonywalnego lub instalację dołączonej aplikacji – 22,4%
- Zmiany danych autoryzacyjnych (np. do e-bankowości) za pomocą dołączonego linku – 14,9%
- Przekazania danych do logowania do e-bankowości – 13,9%
- Przekazania danych autoryzacyjnych (w tym kodu PIN) – 5,8%
* Źródło: Raport – Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii, str. 8.
Jak rozpoznać phishing?
Do kontaktu z ofiarą i przeprowadzenia ataku phishingowego cyberprzestępcy najczęściej wykorzystują wiadomość SMS, popularne komunikatory (np. w wyniku wirusowej wiadomości na Messengerze lub postu na Facebooku) oraz maile. Te ostatnie są najczęściej stosowane ze względu na skalę wyłudzeń – spam wysyłany jest do milionów użytkowników.
Phishing email – podejrzane wiadomości w skrzynce pocztowej
Wykorzystanie emaila jako formy nieukierunkowanego ataku phishingu jest popularną metodą, stosowaną przez cyberprzestępców. Oszust rejestruje fałszywą domenę (część adresu email po znaku @), łudząco podobną do znanej marki sklepu, dostawcy usług lub banku. Następnie tworzy wiadomość phishingową i przesyła ją tysiącom nieświadomych ofiar ze swojego serwera. W oparciu o socjotechnikę cyberprzestępcy nakłaniają użytkowników m.in. do kliknięcia w podejrzany link i podanie danych poufnych ( w tym danych autoryzacyjnych) czy zainstalowanie niebezpiecznego oprogramowania dostarczonego w załączniku.
Phishing może przybrać również formę ukierunkowanego ataku na konkretną osobę/ firmę. Takie ataki wymagają przeprowadzenia wywiadu i zebrania informacji o ofierze, jednak są dużo precyzyjniejsze, charakteryzują się mniejszą liczbą błędów i wyższą skutecznością, niż ataki nieukierunkowane. Mogą wynikać z dokładnej obserwacji organizacji lub zebrania wrażliwych, ale dostępnych publicznie danych kontaktowych.
Przykładowo – firmy są rejestrowane i zlokalizowane pod konkretnym adresem. Posiadają również unikalny numer NIP/REGON. Są to dane dostępne na stronie internetowej lub w rejestrze przedsiębiorców. Cyberprzestępca może dzięki temu wysłać dobrze spersonalizowaną wiadomość do pracowników firmy z prośbą o „aktualizację swoich danych na poczcie email” ze względu na zmianę struktury firmy. Pozyska w ten sposób loginy oraz hasła do skrzynek pocztowych.
Jak obronić się przed phishingiem email?
Nie poddawaj się presji czasu – cyberprzestępcy wykorzystując metody socjotechniki często opierają atak o presję czasu. Duża liczba fałszywych wiadomości „ostrzega” użytkownika przed wyłączeniem usługi, skasowaniem konta czy pilną koniecznością zmiany danych autoryzacyjnych poprzez dedykowany link – nie rób nic pochopnie!
Skontaktuj się z infolinią firmy – zawsze, w przypadku nawet najmniejszych wątpliwości (nieznana domena, błędy językowe, brzydka szata graficzna, podejrzane linki) skonsultuj się telefonicznie pod oficjalnym numerem telefonu z przedstawicielem marki, która zawarta jest w emailu i potwierdź treść instrukcji zawartej w wiadomości.
Zachowaj czujność – nie klikaj w linki ani załączniki dodane do wiadomości, ani nie odpowiadaj na wiadomość bez pewności, że pochodzi z autoryzowanego źródła.
Sprawdź swój email – zweryfikuj, czy Twój adres email w wyniku wycieku nie został udostępniony w Internecie. Sprawdzisz to za pośrednictwem strony: have i been pwned
Włącz moduł antyphishingowy w email – Sprawdź, czy antywirus zainstalowany na Twoim komputerze posiada i ma włączony moduł ochrony antyphishingowej w skrzynce email. Jeżeli nie, skorzystaj z oprogramowania antywirusowego z wbudowaną ochroną przed atakami phishingowymi.
Phishing SMS – podejrzane wiadomości w telefonie
Ataki phishingowe za pośrednictwem wiadomości SMS (SMiShing) najczęściej nakłaniają ofiarę do wykonania przelewu, wykupienia usługi subskrypcyjnej, zainstalowanie szkodliwego oprogramowania lub zalogowania się do sfałszowanego panelu logowania w celu pozyskania danych autoryzacyjnych.
Przykład phishingowej wiadomości SMS z wykorzystaniem dostawcy usług kurierskich,
źródło: inPost.
Przykład phishingowej wiadomości SMS z wykorzystaniem marki z branży motoryzacyjnej,
źródło: niebezpiecznik.pl
Jak obronić się przed phishingiem SMS?
Nie klikaj w link w SMS – zachowaj czujność, jeżeli wiadomość SMS nakłania Cię do kliknięcia w hiperlink (śledzenie przesyłki/ pobranie faktury/ dokonanie płatności). W sytuacji, gdy wiadomość SMS budzi Twój niepokój, np. w danej chwili nie czekasz na paczkę, nie masz wykupionych usług subskrypcyjnych wymagających odnowienia czy widzisz podejrzanie wyglądający link – nie podejmuj żadnych akcji.
Korzystaj z oficjalnych eBOKów i paneli klienta – jeżeli SMS odnosi się do usług, z których korzystasz – nie klikaj w hiperlink podany w wiadomości. Zaloguj się do swojego konta klienta poprzez przeglądarkę i oficjalną stronę dostawcy oraz sprawdź, czy faktycznie musisz podjąć jakieś działania.
Skonsultuj się telefonicznie z dostawcą – w sytuacji, gdy z treści wiadomości wynika że Twoje konto jest zagrożone lub zostanie zablokowane – nie poddawaj się presji czasu. Skonsultuj się telefonicznie pod oficjalnym numerem z infolinią dostawcy i potwierdź tę informację.
Zainstaluj antywirus na smartfon z modułem antyphishingowym w SMS – warto rozważyć zainstalowanie oprogramowania antywirusowego na smartfon, które stanowi dodatkową ochronę przed zagrożeniami, w tym podejrzanymi stronami i złośliwymi aplikacjami mobilnymi.
Phishing telefoniczny
Odbierasz telefon i słyszysz „Mam dla Pana/Pani bardzo ważną wiadomość, proszę tylko o potwierdzenie…” – znasz to z autopsji? Phishing telefoniczny to bardzo wyrafinowana i trudna do odparcia forma ataku, zwłaszcza dla nieświadomych użytkowników np. osób starszych. Atak oparty o presję czasu, dzieje się w momencie połączenia. Ofiara nie ma czasu na zastanowienie się nad tym, czy osoba, z którą rozmawia jest faktycznie tą, za którą się podaje. Przez telefon cyberprzestępcy najczęściej wyłudzają dane osobiste, dane autoryzacyjne do kont (np. do e-bankowości), czy nakłaniają nieświadome osoby do wykonania przelewu internetowego.
Jak obronić się przed oszustwem przez telefon?
Dokładnie zweryfikuj rozmówcę – na początku rozmowy poproś i zapisz o imię, nazwisko i nazwę firmy dzwoniącej osoby. Jeżeli rozmówca prosi Cię o podanie danych autoryzacyjnych np. numeru PESEL czy danych do konta bankowego – odmów i skontaktuj się z przedstawicielem instytucji podając zapisane dane rozmówcy. Jeżeli rozmówca powołuje się na członka Twojej rodziny – zweryfikuj to z nim i poproś o inny termin rozmowy, a następnie skontaktuj się z krewnym. Nie zgadzaj się z góry na nic!
Nie odbieraj podejrzanych telefonów – jeżeli dzwoni podejrzany telefon – nie odbieraj. Sprawdź najpierw czy nie znajduje się w rejestrze fałszywych telefonów. Jeżeli jest bezpieczny, oddzwoń.
Nie podawaj danych osobistych przez telefon – jeżeli w rozmowie przychodzącej rozmówca prosi Cię o podanie jakichkolwiek danych autoryzujących – odmów. Cyberprzestępcy najczęściej pod pozorem weryfikacji Twojej tożsamości wyłudzają dane takie jak np. adres, PESEL czy login i PIN do bankowości internetowej. Jest to szczególnie istotne w kontekście osób starszych i odbywającego się obecnie Spisu Mieszkań i Ludności.
Zapytaj o źródło – zapytaj rozmówcę skąd posiada Twój numer telefonu. Jeżeli jego odpowiedź wzbudzi Twoją wątpliwość, zakończ rozmowę.
Nie zgadzaj się na zawieranie umów przez telefon – w sytuacji, gdy rozmówca proponuje zawarcie umowy przez telefon – odmów. Nie podawaj żadnych danych ani nie wyrażaj akceptacji umowy ustnie. Jeżeli proponowana oferta na pierwszy rzut oka wydaje Ci się jednak korzystna, poproś o przesłanie warunków poprzez wiadomość email, przy czym nadal zachowaj czujność.
Sprawdź swój numer – zweryfikuj, czy Twój numer telefonu w wyniku wycieku nie został udostępniony w Internecie. Sprawdzisz to za pośrednictwem strony: have i been pwned
Korzystaj z antywirusa dla urządzeń mobilnych– jeżeli do połączeń telefonicznych używasz smartfona, zainstaluj mobilne oprogramowanie antywirusowe. Zweryfikuj, czy posiada ono moduł weryfikacji phishingowych połączeń telefonicznych.
Czy antywirus chroni przed phishingiem?
Z uwagi na fakt, że ataki phishingowe oparte są w głównej mierze o metody socjotechniczne, antywirus z modułem antyphishingowym może jedynie wesprzeć ochronę Twoich danych od strony technicznej. Przede wszystkim zwróci Twoją uwagę na podejrzaną domenę lub linki, nietypową treść wiadomości czy załączniki zawierające złośliwe oprogramowanie. Najważniejsza jest świadomość zagrożeń i wiedza, w jaki sposób chronić się przed phishingiem. Antywirus z modułem antyphishingowym będzie doskonałym uzupełnieniem tworzącym dodatkową barierę bezpieczeństwa przed wyłudzeniami.
Polecany antywirus do ochrony przed phishingiem
Oprócz samej wiedzy na temat zagrożeń w sieci warto zwiększyć bezpieczeństwo poprzez wybór odpowiedniego oprogramowania antywirusowego. Poniższe rozwiązania są dedykowane użytkownikom domowym oraz biznesowym i pochodzą od wiodących firm z branży cyberbezpieczeństwa.
AVG Ultimate
To nowość w rodzicie popularnych antywirusów AVG. Firma zasłynęła jako popularny dostawca darmowych rozwiązań dla użytkowników domowych, ale nie daj się zmylić! Dopiero w komercyjnych pakietach antywirusowych użytkownicy są w stanie dostrzec realne korzyści, płynące z ochrony przed wieloma zagrożeniami w Internecie. AVG Ultimate to pakiet dostosowany dla całej rodziny – zawiera opcje bezpiecznej bankowości, kopie zapasowe w chmurze, a nawet szyfrowane połączenia VPN. Przeczytaj o wszystkich zaletach i możliwościach AVG Ultimate 2021.
AVAST
Avast to kolejny producent popularnych rozwiązań antywirusowych. Jego najpopularniejszy produkt Avast Premium Security to ochrona dostosowana do potrzeb użytkowników domowych, którzy korzystają regularnie z e-bankowości oraz opcji zapisywania haseł w przeglądarce. Avast oferuje również osobną opcję do ochrony przed phishingiem – blokuje przekierowania do niebezpiecznych stron internetowych nawet po kliknięciu w odnośnik. Zapoznaj się z pełnym opisem pakietu do ochrony antywirusowej Avast.