Od lat korzystają jednak ze starej, ale niezwykle skutecznej metody. Czym jest phishing i jak się przed nim bronić?
Phishing to nic innego, jak metoda oszustwa polegająca na podszywaniu się pod znaną osobę, firmę, organizację czy instytucję. Celem oszustów jest zdobycie zaufania potencjalnej ofiary i zmuszenie jej np. do podania swoich danych osobowych, hasła do konta lub numeru karty kredytowej. Kampanie phishingowe zazwyczaj mają charakter masowy. Cyberprzestępcy rozsyłają identyczne wiadomości mailowe lub SMS-y do tysięcy osób, licząc na to, że przynajmniej mała część z nich czeka akurat na przesyłkę ze sklepu internetowego lub korzysta z banku, pod który właśnie próbują się podszyć.
Sprzymierzeńcem oszustów jest oczywiście nasze roztargnienie. Czytając nowego SMS-a, potencjalna ofiara często nie zastanawia się, czy jej nadawcą faktycznie jest firma, z której usług korzysta. Aby zwiększyć swoje szanse, przestępcy grożą rychłą blokadą konta w serwisie streamingowym, odcięciem dostępu do internetu, czy chociażby utratą oszczędności na koncie bankowym. To wszystko sprawia, że jesteśmy skłonni natychmiast kliknąć w link prowadzący do spreparowanej strony internetowej oszustów.
Gdy wydaje nam się, że logujemy się na swoje konto na Facebooku lub Netfliksie, tak naprawdę wysyłamy login i hasło do przestępców. Podobnie, podając numer karty kredytowej lub zatwierdzając transakcję w bankowości internetowej, oddajemy przestępcom dostęp do naszych pieniędzy.
Metoda wydaje się banalna, ale od lat jest wyjątkowo skuteczna. Jak zatem chronić się przed phishingiem? Przede wszystkim, korzystając z sieci z głową. Zanim klikniemy w jakikolwiek link otrzymany mailem lub SMS-em, lepiej upewnić się, do jakiej strony faktycznie prowadzi. Spreparowana witryna zazwyczaj osadzona jest w zagranicznej domenie lub jej adres różni się od adresu oryginalnej strony banku lub serwisu internetowego. Firma korzystająca z polskiej domeny krajowej nie zażąda przecież podania danych na stronie w domenie należącej np. do Rosji czy Hondurasu. Często różnice te są dość subtelne, dlatego lepiej dokładnie przeczytać adres www i porównać go z tym, który wyświetla się po wejściu na prawdziwą stronę usługodawcy.
Warto też dokładnie przeczytać treść otrzymanej wiadomości, bo w fałszywych mailach często aż roi się od błędów językowych. Otrzymując takiego maila, najlepiej od razu go skasować. Nie należy też pobierać załączników, bo może kryć się w nich złośliwe oprogramowanie. Pamiętajmy też, że prawdziwe platformy społecznościowe, streamingowe czy zakupowe nigdy nie proszą o podanie np. numeru karty bankowej, aby potwierdzić dane użytkownika konta. Podobnie, jak konsultanci banku nie domagają się podania hasła SMS potwierdzającego transakcje w bankowości internetowej. Warto też powiadomić o incydencie swój bank lub firmę, pod którą podszywają się przestępcy. Być może w ten sposób pomożemy ostrzec innych klientów przed oszustwem.
---
Już wkrótce rusza hackathon, którego wyłącznym patronem jest redakcja Next.gazeta.pl. Jego uczestnicy będą zajmować się rozwiązaniami ze świata sztucznej inteligencji skierowanych do organizacji pozarządowych. Zapraszamy do śledzenia relacji z tego wydarzenia na łamach Gazeta.pl.