Zaczyna się niewinnie. Mail od banku, SMS od kuriera, wiadomość na Messengerze od znajomego. Każdego dnia tysiące Polaków otrzymuje takie komunikaty. Problem w tym, że za wieloma z nich stoją przestępcy, którzy dopracowali swoje metody do perfekcji. Stawka jest wysoka - nasze dane i pieniądze.
Oszuści w naszych skrzynkach mailowych
Klasyczny phishing mailowy wciąż ma się świetnie. Bank informujący o blokadzie konta, sklep proszący o dopłatę do zamówienia, kurier żądający uregulowania niedopłaty za przesyłkę. Przestępcy stosują sprawdzoną sztuczkę - pressure marketing. "Twoje konto zostanie zablokowane za 24 godziny", "Przesyłka wróci do nadawcy" - tego typu komunikaty mają wywołać stres i skłonić do pochopnego działania.
Jak się bronić? Po pierwsze, zawsze sprawdzajmy adres nadawcy. Oszuści używają domen łudząco podobnych do prawdziwych, na przykład allegro-dostawa.com zamiast allegro.pl. Po drugie, żaden bank czy sklep nie prosi o logowanie przez link w mailu. Jeśli mamy wątpliwości, wejdźmy na stronę banku wpisując adres ręcznie w przeglądarce.
Kiedy dzwoni oszust
Vishing, czyli telefoniczny phishing, to prawdziwa plaga. Oszust podszywa się pod konsultanta bankowego, pracownika urzędu czy nawet policjanta. Najczęściej używane hasła podczas tego rodzaju przekrętów to: "wykryliśmy podejrzaną transakcję", "pani konto jest zagrożone", "prowadzimy śledztwo w sprawie".
Przestępcy są świetnie przygotowani. Potrafią tak poprowadzić rozmowę, że ofiara sama poda dane do logowania lub zrobi przelew na "bezpieczne konto". Złota zasada? Bank nigdy nie prosi o podanie hasła, zainstalowanie aplikacji czy przelanie pieniędzy na inne konto "w celu zabezpieczenia". W razie takiego telefonu najlepiej się rozłączyć i samemu zadzwonić na infolinię swojego banku.
Fałszywe promocje w mediach społecznościowych
"iPhone 16 za 800 zł!", "PlayStation 5 za 600 zł!" - takie okazje to codzienność na Facebooku czy Instagramie. Oszuści podszywają się pod znane sklepy, tworząc łudząco podobne profile. Czasem różnica to tylko jedna litera w nazwie albo dodatkowa kropka.
Do tego dochodzi spear phishing - spersonalizowane ataki wykorzystujące informacje z naszych profili społecznościowych. Przestępca wie, gdzie pracujemy, co lubimy, gdzie byliśmy na wakacjach. Dzięki temu może stworzyć przekonującą ofertę i uśpić naszą czujność. Przykłady "przekonujących ofert" to rzekoma oferta pracy od fałszywego rekrutera z naszej branży, ekskluzywna zniżka na produkty związane z naszym hobby, wiadomość od "kolegi" z pracy z prośbą o pilne dane lub przelew, podszywanie się pod znajomego z prośbą o pomoc finansową oraz fałszywe konkursy z obietnicą wygranej, np. vouchera na wakacje w miejscu, które odwiedziliśmy.
Sztuczna inteligencja w rękach przestępców
Deepfake phishing to nowy poziom zagrożenia. Sztuczna inteligencja pozwala tworzyć realistyczne nagrania, na których znane osoby zachwalają "pewne inwestycje" czy "unikalne okazje". Co gorsza, AI potrafi też naśladować głos - przestępcy mogą zadzwonić głosem łudząco podobnym do głosu naszego znajomego czy członka rodziny.
Nie daj się nabrać - praktyczne wskazówki
Jak nie wpaść w pułapkę? Przede wszystkim nie działajmy pod presją czasu. Oszuści zawsze próbują nas poganiać - "oferta ważna tylko dziś", "konto zostanie zablokowane za godzinę". Prawdziwe instytucje dają czas na reakcję i nie zmuszają do natychmiastowych decyzji.
Warto też stosować dwuskładnikowe uwierzytelnianie wszędzie, gdzie to możliwe. To dodatkowa warstwa zabezpieczeń - nawet jeśli oszust pozna nasze hasło, nie uzyska dostępu do konta bez kodu z aplikacji czy SMS-a.
Najważniejsza jest jednak zwykła czujność. Jeśli coś wydaje się zbyt piękne, by było prawdziwe - prawdopodobnie tak właśnie jest. W razie wątpliwości warto skonsultować się z kimś innym lub zadzwonić bezpośrednio do instytucji, pod którą podszywa się nadawca podejrzanej wiadomości.