Osoby, które nie zetknęły się nigdy z terminem phishing powinny jak najszybciej doszkolić się z bezpiecznego korzystania z sieci. Obecnie za jej pomocą płacimy kartą za zakupy, zlecamy przelewy czy sprawdzamy stan konta na rachunku oszczędnościowym w banku. Internet stał się ogromnym ułatwieniem dla nas, ale i wielkim zagrożeniem dla naszych pieniędzy.
Co to jest phishing?
Phishing to zwyczajne oszustwo (często niezbyt wyrafinowane), które ma na celu wyłowienie w tłumu internautów nieuważnego użytkownika sieci i najczęściej pozbawienie go oszczędności zgromadzonych na rachunku bankowym.
Schemat działania oszustów jest dość zbliżony. Przestępcy wybierają grupę potencjalnych ofiar (np. osoby które korzystają z jakiejś platformy aukcyjnej) lub starają się zaatakować jak największą liczbę osób, z nadzieją, że część z nich w ostatnim czasie np. zamawiała coś w sieci. Podszywając się pod daną firmę, starają się przekonać internautę, aby sam (nieświadomie) wysłał pieniądze na numer rachunku przestępców lub przekazał dane do logowania.
Popularne w ostatnim czasie było np. podszywanie się pod firmę kurierską i proszenie o niewielką dopłatę do usługi lub pod operatora telekomunikacyjnego, który rzekomo musi potwierdzić dane swojego klienta. Elementem wspólnym dla prawie wszystkich tego typu ataków jest spreparowana strona internetowa. Ma do złudzenia przypominać oryginalną, jednak należy do cyberprzestępców.
To na niej ofiara proszona jest o podanie numeru karty kredytowej wraz z kodem CVV lub "zalogowanie" się do konta bankowego i potwierdzenie wysłania przelewu hasłem SMS. Nieświadomy internauta zamiast faktycznie dokonywać danej operacji w sieci, zwyczajnie przekazuje dane logowania i hasła przestępcom. Ci następnie korzystają z nich, aby wyczyścić konto bankowe lub zapłacić kartą w internecie. Po kilku minutach po pieniądzach nie ma już śladu.
Nie ma w Polsce chyba dużej firmy oferującej swoje usługi w sieci (np. banku, operatora komórkowego, firmy kurierskiej czy sklepu internetowego), pod którą cyberprzestępcy nie próbowaliby się ostatnio podszyć. Szczególnie chętnie udają oczywiście te największe, bo zwiększają tym samym prawdopodobieństwa wyłowienia łatwowiernej osoby, która da się na phishing nabrać.
W ostatnich miesiącach z falą oszustów zmagają się m.in. użytkownicy OLX i Allegro (to dość ciekawy przykład, dlatego warto go tu opisać). W internecie pojawiło się sporo oszustów, którzy wyszukują osoby wystawiające coś do sprzedania na tych platformach. Korzystając np. z WhatsAppa korespondują ze sprzedającym udając zainteresowanych wystawionym towarem. Po chwili rozmowy twierdzą, że decydują się zakup prosząc o wysyłkę towaru i przesyłają link, pod którym sprzedającym miałby rzekomo odebrać płatność.
To oczywiście pułapka. Przestępcy mają nadzieję, że klikniemy w link i zostawimy na spreparowanej stronie dane swojej karty płatniczej oczekując na zapłatę za sprzedaż towaru. Jeśli mamy wątpliwości, oszuści ponaglają lub wysyłają spreparowane potwierdzenie zapłaty (którą rzekomo mamy odebrać). Gdy wykryjemy próbę phishingu z ich strony, kontakt momentalnie się urywa.
Jak nie dać się nabrać na phishing?
Podstawowa zasada, którą zawsze powinniśmy się kierować w sieci to rozwaga. Dobrze jest się dwa razy zastanowić, czy to, co twierdzi rzekomy klient czy też firma świadcząca nam usługi, ma w ogóle sens. Jeśli ktoś faktycznie wylicytował coś od nas na platformie aukcyjnej, to raczej zapłaci za towar osobiście lub poprzez jeden z dostępnych w danym serwisie sposobów, a nie wyśle link, gdzie to my będziemy musieli wpisać numer swojej karty kredytowej.
Bank chcący zweryfikować naszą tożsamość poprosi zapewne o stawienie się w placówce lub zadzwoni i przeprowadzi standardową weryfikację, a nie będzie prosił w mailu podanie o hasła do bankowości internetowej. Z kolei firmy kurierskie raczej nie żądają dopłaty kilkudziesięciu groszy na podejrzanej stronie internetowej grożąc, że nie dostarczą przesyłki.
Po drugie, zawsze sprawdzajmy, gdzie zamierzamy wpisać swoje dane i czy połączenie z dan a witryną jest bezpieczne (ikona kłódki przy pasku adresu). Przestępcy często korzystają ze stron o nazwach łudząco podobnych do oryginalnych. Przekręcają jedną z literek w nazwie (np. Go0gle lub Alegro) lub wykorzystują podejrzane domeny. Firma korzystająca z polskiej domeny krajowej (.pl) nie zażąda przecież dopłaty na stronie w domenie należącej np. do Hondurasu (.hn) czy dawnego Związku Radzieckiego (.su).
Po trzecie, warto zwracać uwagę na treść wiadomości namawiającej do kliknięcia w link. Często oszuści nie posługują się biegle (lub w ogóle) językiem polskim, stąd nietrudno wyłapać błędy gramatyczne w mailu lub na spreparowanej stronie. Takie podejrzane wiadomości najlepiej po prostu ignorować.
