Wpisz poszukiwane słowo i wciśnij Enter.

Na czym polega phishing i jak go uniknąć?

Na czym polega phishing i jak go uniknąć?

Phishing to wyłudzenie danych za pomocą współczesnych technologii internetowych. Kradzież tożsamości lub dostępów do kont bankowych, a nawet podszycie się pod inną osobę (lub instytucję) to przykłady coraz częściej widoczne wśród polskich użytkowników. Podstawowym narzędziem do walki z phishingiem jest znajomość zagrożeń i wiedza jak nie dać „złapać się na haczyk” cyberprzestępcy. Pomocne jest również wsparcie oprogramowania zabezpieczającego, czyli antywirusa z modułem antyphishingowym na komputer i smartfon. Czy Polacy są odporni na wyłudzanie danych? Jak chronić swoje dane i nie dać nabrać się na phishing? 

Jak groźny jest phishing?

Polska nie jest wyjątkiem na globalnej mapie phishingu. Coraz częściej słyszymy o dużych kampaniach phishingowych skierowanych w stronę Polaków z wykorzystaniem znanych marek sklepów e-commerce, firm kurierskich, a takze instytucji czy rejestrów publicznych. Tylko w okresie pandemii, prawie co trzeci z nas otrzymał podejrzany SMS lub telefon, a co szósty Polak nie wie jak zadbać o bezpieczeństwo swoich danych.

W marcu 2021 roku na zlecenie serwisu ChronPESEL.pl i KRD pod patronatem UODO, zostało przeprowadzone badanie ankietowe dotyczące prób phishingu wśród Polaków. Dane zawarte raporcie Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii nie napawają optymizmem. Aż 30% ankietowanych padło w ostatnim czasie próbie wyłudzenia danych, a 43% obawia się, że padnie ofiarą phishingu.

70 procent respondentów zauważyło w ostatnim czasie zwiększenie aktywności oszustów wyłudzających dane, a prawie co szósty Polak nie posiada wiedzy i nie zna narzędzi pomagających chronić poufne informacje, w tym swoje dane osobiste.

Dane dot. świadomości Polaków na temat phishingu (2021)
Główne wnioski raportu Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii (Źródło: Raport, str. 5)

Jaki jest cel ataku phishingowego?

Ataki phishingowe ukierunkowane są zarówno w firmy, jak i w osoby prywatne. Ich celem jest zdobycie danych pozwalających na przejęcie danych autoryzacyjnych, poufnych informacji, prywatnych plików czy kradzież pieniędzy. Najczęściej* atak phishingowy składnia do:

  • Kliknięcia w link internetowy – 49,2%
  • Otworzenie podejrzanego załącznika – 44,4%
  • Wykonanie przelewu lub opłacenie należności (np. faktury)– 28,1%
  • Przekazania danych osobowych – 25,8%
  • Uruchomienie pliku wykonywalnego lub instalację dołączonej aplikacji – 22,4%
  • Zmiany danych autoryzacyjnych (np. do e-bankowości) za pomocą dołączonego linku – 14,9%
  • Przekazania danych do logowania do e-bankowości – 13,9%
  • Przekazania danych autoryzacyjnych (w tym kodu PIN) – 5,8%

* Źródło: Raport – Młodzi Polacy świadomi zagrożeń i przygotowani do ochrony danych osobowych w czasie pandemii, str. 8.

Jak rozpoznać phishing?

Do kontaktu z ofiarą i przeprowadzenia ataku phishingowego cyberprzestępcy najczęściej wykorzystują wiadomość SMS, popularne komunikatory (np. w wyniku wirusowej wiadomości na Messengerze lub postu na Facebooku) oraz maile. Te ostatnie są najczęściej stosowane ze względu na skalę wyłudzeń – spam wysyłany jest do milionów użytkowników.

Phishing email – podejrzane wiadomości w skrzynce pocztowej

Wykorzystanie emaila jako formy nieukierunkowanego ataku phishingu jest popularną metodą, stosowaną przez cyberprzestępców. Oszust rejestruje fałszywą domenę (część adresu email po znaku @), łudząco podobną do znanej marki sklepu, dostawcy usług lub banku. Następnie tworzy wiadomość phishingową i przesyła ją tysiącom nieświadomych ofiar ze swojego serwera. W oparciu o socjotechnikę cyberprzestępcy nakłaniają użytkowników m.in. do kliknięcia w podejrzany link i podanie danych poufnych ( w tym danych autoryzacyjnych) czy zainstalowanie niebezpiecznego oprogramowania dostarczonego w załączniku.

Przykład ataku phishingowego za pośrednictwem email z użyciem znanej marki
Szeroki atak phishingowy z wykorzystaniem marki home.pl. Cyberprzestępcy próbowali nakłonić użytkowników do podania danych autoryzacyjnych do panelu użytkownika home.pl.

Phishing może przybrać również formę ukierunkowanego ataku na konkretną osobę/ firmę. Takie ataki wymagają przeprowadzenia wywiadu i zebrania informacji o ofierze, jednak są dużo precyzyjniejsze, charakteryzują się mniejszą liczbą błędów i wyższą skutecznością, niż ataki nieukierunkowane. Mogą wynikać z dokładnej obserwacji organizacji lub zebrania wrażliwych, ale dostępnych publicznie danych kontaktowych.

Przykładowo – firmy są rejestrowane i zlokalizowane pod konkretnym adresem. Posiadają również unikalny numer NIP/REGON. Są to dane dostępne na stronie internetowej lub w rejestrze przedsiębiorców. Cyberprzestępca może dzięki temu wysłać dobrze spersonalizowaną wiadomość do pracowników firmy z prośbą o „aktualizację swoich danych na poczcie email” ze względu na zmianę struktury firmy. Pozyska w ten sposób loginy oraz hasła do skrzynek pocztowych.

Jak obronić się przed phishingiem email?

Nie poddawaj się presji czasu – cyberprzestępcy wykorzystując metody socjotechniki często opierają atak o presję czasu. Duża liczba fałszywych wiadomości „ostrzega” użytkownika przed wyłączeniem usługi, skasowaniem konta czy pilną koniecznością zmiany danych autoryzacyjnych poprzez dedykowany link – nie rób nic pochopnie!

Skontaktuj się z infolinią firmy – zawsze, w przypadku nawet najmniejszych wątpliwości (nieznana domena, błędy językowe, brzydka szata graficzna, podejrzane linki) skonsultuj się telefonicznie pod oficjalnym numerem telefonu z przedstawicielem marki, która zawarta jest w emailu i potwierdź treść instrukcji zawartej w wiadomości.

Zachowaj czujność – nie klikaj w linki ani załączniki dodane do wiadomości, ani nie odpowiadaj na wiadomość bez pewności, że pochodzi z autoryzowanego źródła.

Sprawdź swój email – zweryfikuj, czy Twój adres email w wyniku wycieku nie został udostępniony w Internecie. Sprawdzisz to za pośrednictwem strony: have i been pwned

Włącz moduł antyphishingowy w email – Sprawdź, czy antywirus zainstalowany na Twoim komputerze posiada i ma włączony moduł ochrony antyphishingowej w skrzynce email. Jeżeli nie, skorzystaj z oprogramowania antywirusowego z wbudowaną ochroną przed atakami phishingowymi.

Phishing SMS – podejrzane wiadomości w telefonie

Ataki phishingowe za pośrednictwem wiadomości SMS (SMiShing) najczęściej nakłaniają ofiarę do wykonania przelewu, wykupienia usługi subskrypcyjnej, zainstalowanie szkodliwego oprogramowania lub zalogowania się do sfałszowanego panelu logowania w celu pozyskania danych autoryzacyjnych.

Phishingowy SMS

Przykład phishingowej wiadomości SMS z wykorzystaniem dostawcy usług kurierskich,
źródło: inPost.

Phishingowy SMS - przykład

Przykład phishingowej wiadomości SMS z wykorzystaniem marki z branży motoryzacyjnej,
źródło: niebezpiecznik.pl

Jak obronić się przed phishingiem SMS?

Nie klikaj w link w SMS – zachowaj czujność, jeżeli wiadomość SMS nakłania Cię do kliknięcia w hiperlink (śledzenie przesyłki/ pobranie faktury/ dokonanie płatności). W sytuacji, gdy wiadomość SMS budzi Twój niepokój, np. w danej chwili nie czekasz na paczkę, nie masz wykupionych usług subskrypcyjnych wymagających odnowienia czy widzisz podejrzanie wyglądający link – nie podejmuj żadnych akcji.

Korzystaj z oficjalnych eBOKów i paneli klienta – jeżeli SMS odnosi się do usług, z których korzystasz – nie klikaj w hiperlink podany w wiadomości. Zaloguj się do swojego konta klienta poprzez przeglądarkę i oficjalną stronę dostawcy oraz sprawdź, czy faktycznie musisz podjąć jakieś działania.

Skonsultuj się telefonicznie z dostawcą – w sytuacji, gdy z treści wiadomości wynika że Twoje konto jest zagrożone lub zostanie zablokowane – nie poddawaj się presji czasu. Skonsultuj się telefonicznie pod oficjalnym numerem z infolinią dostawcy i potwierdź tę informację.

Zainstaluj antywirus na smartfon z modułem antyphishingowym w SMS – warto rozważyć zainstalowanie oprogramowania antywirusowego na smartfon, które stanowi dodatkową ochronę przed zagrożeniami, w tym podejrzanymi stronami i złośliwymi aplikacjami mobilnymi.

Phishing telefoniczny

Odbierasz telefon i słyszysz „Mam dla Pana/Pani bardzo ważną wiadomość, proszę tylko o potwierdzenie…” – znasz to z autopsji? Phishing telefoniczny to bardzo wyrafinowana i trudna do odparcia forma ataku, zwłaszcza dla nieświadomych użytkowników np. osób starszych. Atak oparty o presję czasu, dzieje się w momencie połączenia. Ofiara nie ma czasu na zastanowienie się nad tym, czy osoba, z którą rozmawia jest faktycznie tą, za którą się podaje. Przez telefon cyberprzestępcy najczęściej wyłudzają dane osobiste, dane autoryzacyjne do kont (np. do e-bankowości), czy nakłaniają nieświadome osoby do wykonania przelewu internetowego.

Połączenie przychodzące od phishingowego numeru telefonu
Próba połączenia z phishingowego numeru telefonu i wyłudzenia danych autoryzacyjnych do e-bankowości.

Jak obronić się przed oszustwem przez telefon?

Dokładnie zweryfikuj rozmówcę – na początku rozmowy poproś i zapisz o imię, nazwisko i nazwę firmy dzwoniącej osoby. Jeżeli rozmówca prosi Cię o podanie danych autoryzacyjnych np. numeru PESEL czy danych do konta bankowego – odmów i skontaktuj się z przedstawicielem instytucji podając zapisane dane rozmówcy. Jeżeli rozmówca powołuje się na członka Twojej rodziny – zweryfikuj to z nim i poproś o inny termin rozmowy, a następnie skontaktuj się z krewnym. Nie zgadzaj się z góry na nic!

Weryfikacja numeru telefonu
Jeżeli dzwoni do Ciebie podejrzany numer – nie odbieraj. Sprawdź jego wiarygodność w internetowym rejestrze, np. nieznany-numer.pl

Nie odbieraj podejrzanych telefonów – jeżeli dzwoni podejrzany telefon – nie odbieraj. Sprawdź najpierw czy nie znajduje się w rejestrze fałszywych telefonów. Jeżeli jest bezpieczny, oddzwoń.

Nie podawaj danych osobistych przez telefon – jeżeli w rozmowie przychodzącej rozmówca prosi Cię o podanie jakichkolwiek danych autoryzujących – odmów. Cyberprzestępcy najczęściej pod pozorem weryfikacji Twojej tożsamości wyłudzają dane takie jak np. adres, PESEL czy login i PIN do bankowości internetowej. Jest to szczególnie istotne w kontekście osób starszych i odbywającego się obecnie Spisu Mieszkań i Ludności.

Zapytaj o źródło – zapytaj rozmówcę skąd posiada Twój numer telefonu. Jeżeli jego odpowiedź wzbudzi Twoją wątpliwość, zakończ rozmowę.

Nie zgadzaj się na zawieranie umów przez telefon – w sytuacji, gdy rozmówca proponuje zawarcie umowy przez telefon – odmów. Nie podawaj żadnych danych ani nie wyrażaj akceptacji umowy ustnie. Jeżeli proponowana oferta na pierwszy rzut oka wydaje Ci się jednak korzystna, poproś o przesłanie warunków poprzez wiadomość email, przy czym nadal zachowaj czujność.

Sprawdź swój numer – zweryfikuj, czy Twój numer telefonu w wyniku wycieku nie został udostępniony w Internecie. Sprawdzisz to za pośrednictwem strony: have i been pwned

Korzystaj z antywirusa dla urządzeń mobilnych– jeżeli do połączeń telefonicznych używasz smartfona, zainstaluj mobilne oprogramowanie antywirusowe. Zweryfikuj, czy posiada ono moduł weryfikacji phishingowych połączeń telefonicznych.

Czy antywirus chroni przed phishingiem?

Z uwagi na fakt, że ataki phishingowe oparte są w głównej mierze o metody socjotechniczne, antywirus z modułem antyphishingowym może jedynie wesprzeć ochronę Twoich danych od strony technicznej. Przede wszystkim zwróci Twoją uwagę na podejrzaną domenę lub linki, nietypową treść wiadomości czy załączniki zawierające złośliwe oprogramowanie. Najważniejsza jest świadomość zagrożeń i wiedza, w jaki sposób chronić się przed phishingiem. Antywirus z modułem antyphishingowym będzie doskonałym uzupełnieniem tworzącym dodatkową barierę bezpieczeństwa przed wyłudzeniami.

Polecany antywirus do ochrony przed phishingiem

Oprócz samej wiedzy na temat zagrożeń w sieci warto zwiększyć bezpieczeństwo poprzez wybór odpowiedniego oprogramowania antywirusowego. Poniższe rozwiązania są dedykowane użytkownikom domowym oraz biznesowym i pochodzą od wiodących firm z branży cyberbezpieczeństwa.

Kaspersky

Darmowy antywirus na Androida - Kaspersky

Firma Kaspersky od lat dostarcza skuteczne i nagradzane w testach aplikacje antywirusowe. Dzięki regularnym aktualizacjom i opcjom do ochrony przed wieloma zagrożeniami, jest godnym polecenia rozwiązaniem dla osób prywatnych i małych firm. Warto wspomnieć, że od kilku lat Kaspersky oficjalnie działa w Szwajcarii i tam zlokalizowana jest infrastruktura firmy.

Sprawdź nasze zestawienie programów od firmy Kaspersky – Anti-Virus, Internet Security oraz Total Security.

G DATA

G Data - antywirus z ochroną w czasie rzeczywistym

Programy antywirusowe od G Data są bardzo często wybierane przez polskich użytkowników. Dzieje się to nie bez powodu – łączą w sobie wysoką jakość ochrony, przydatne opcje (tj. menadżer haseł) oraz atrakcyjną cenę. Na szczególne wyróżnienie zasługuje tutaj pakiet Total Security zawierający funkcję kontroli rodzicielskiej oraz skaner wykorzystujący 2 silniki antywirusowe. Sprawdź, jak wygląda ochrona w czasie rzeczywistym w G DATA.

AVG Ultimate

To nowość w rodzicie popularnych antywirusów AVG. Firma zasłynęła jako popularny dostawca darmowych rozwiązań dla użytkowników domowych, ale nie daj się zmylić! Dopiero w komercyjnych pakietach antywirusowych użytkownicy są w stanie dostrzec realne korzyści, płynące z ochrony przed wieloma zagrożeniami w Internecie. AVG Ultimate to pakiet dostosowany dla całej rodziny – zawiera opcje bezpiecznej bankowości, kopie zapasowe w chmurze, a nawet szyfrowane połączenia VPN. Przeczytaj o wszystkich zaletach i możliwościach AVG Ultimate 2021.

Avast Premium Security na PC z Windows

AVAST

Avast to kolejny producent popularnych rozwiązań antywirusowych. Jego najpopularniejszy produkt Avast Premium Security to ochrona dostosowana do potrzeb użytkowników domowych, którzy korzystają regularnie z e-bankowości oraz opcji zapisywania haseł w przeglądarce. Avast oferuje również osobną opcję do ochrony przed phishingiem – blokuje przekierowania do niebezpiecznych stron internetowych nawet po kliknięciu w odnośnik. Zapoznaj się z pełnym opisem pakietu do ochrony antywirusowej Avast.