Nie daj się złowić! Co to jest phishing i jak nie dać się nabrać na fałszywe maile i SMS-y

Czy dostałeś ostatnio maila o fakturze, której nie kojarzysz? Albo “od Netflix” z informacją o “zawieszeniu członkostwa”? A może masz w skrzynce SMS od “sklepu PGG”, informujący, że “węgiel został wystawiony na półkę”? To właśnie sposoby hakerów na to, by wykraść Twoje dane, czyli phishing. Czytaj dalej i dowiedz się, jak nie dać się złowić.

I nie martw się – na pewno nie przegapiłeś żadnej faktury, terminu płatności czy sesji sprzedażowej w sklepie PGG. 😉

Co to jest phishing? Na czym polega?

Dostajesz czasami fałszywe wiadomości? Albo takie, które wyglądają na podejrzane? To właśnie phishing – czyli łowienie haseł (password harvesting fishing). Inaczej mówiąc, to taka internetowa kradzież metodą na wnuczka, podczas której hakerzy podszywają się pod inną, zaufaną osobę/instytucję, żeby wyłudzić od poufne informacje i Cię okraść.

Mogą w ten sposób zdobyć przykład Twoje dane logowania, dane karty kredytowej, zainfekować Twój komputer złośliwym oprogramowaniem czy też skłonić Cię do jakiegoś określonego działania. Wszystko prowadzi do zdobycia danych, które są im potrzebne, żeby Cię na przykład okraść z oszczędności na koncie bankowym.

Phishing to te wszystkie fałszywe maile i SMS-y, podejrzane wiadomości na Mesengerze oraz na portalach typu OLX czy Vinted.

To te wszystkie wiadomości, że musisz coś dopłacić, żeby odebrać przesyłkę, że wygasło Ci “członkostwo na Netflixie”, albo nie opłaciłeś domeny na OVH. Celowo są skonstruowane tak, żeby Cię nastraszyć, że o czymś zapomniałeś, spowodować panikę i skłonić do szybkiego naprawienia błędu.

Zwykle są też do złudzenia podobne do prawdziwych wiadomości od serwisów czy banków. Na szczęście, da się rozpoznać, że wiadomość jest fałszywa – poniżej pokażemy Ci, jak to zrobić.

Koniecznie zapisz sobie ten wpis w zakładkach w przeglądarce i wracaj do niego zawsze, kiedy otrzymasz podejrzaną wiadomość. Z czasem te taktyki, o których piszemy, będą dla Ciebie pierwszym odruchem – i właśnie o to chodzi. Ale jeśli na razie nie są – nic się nie dzieje. Wystarczy mieć nasz wpis pod ręką!

Dlaczego phishing jest tak skuteczny?

Być może myślisz, że na phishing są podatne wyłącznie określone typy osób: te mniej oswojone z technologią i internetem, być może starsze – ale to już nieprawda.

Fałszywe wiadomości od hakerów potrafią być tak dobrze skonstruowane i tak do złudzenia podobne do wiarygodnych maili i SMS-ów, że nawet doświadczony użytkownik może się nabrać.

Wszystko przez to, że hakerzy stosują metody inżynierii społecznej:

• manipulują,
• straszą (możliwym przestępstwem, zagrożeniem, utratą dostępu) i wzbudzają panikę,
• podają się za osoby Ci znane i godne zaufania (np. za Netflix, OVH, pracownika Twojego banku),
• przesyłają linki do złudzenia podobne do tych prawdziwych (czasami różnica tkwi w jednej kreseczce lub kropce; czasami hakerzy ukrywają podejrzane linki za pomocą skracaczy linków),
• wykorzystują niewiedzę, łatwowierność i strach,
• zachęcają lub zmuszają do szybkiego działania (np. w celu opłacenia mandatu karnego, czy firmowej domeny).

Wszystko po to, żeby wzbudzić Twoje zaufanie i skłonić Cię do zalogowania się bez namysłu na podanej stronie.

W inżynierii społecznej chodzi właśnie o to, żeby pokonać zabezpieczenia odporne na ataki (na przykład logowanie, bezpieczne hasła, uwierzytelnianie dwuskładnikowe) – w tym celu hakerzy “współpracują” z człowiekiem i przekonują go, że chcą dla niego dobrze.

Dalej już poradzą sobie sami (np. dzięki złośliwemu oprogramowaniu, które trafi na Twój komputer, kiedy zalogujesz się na fałszywej stronie).

Jak się bronić przed phishingiem? 9 najważniejszych wskazówek

Mamy dla Ciebie 9 sprawdzonych porad, jak nie dać się okraść.

Tego nie rób!

1. Nie znasz nadawcy maila/SMS-a? Nie klikaj w linki i nie otwieraj załączników.

2. Uważaj na maile/SMS-y z błędami. Często fałszywe wiadomości są bardzo niepoprawne gramatycznie i stylistycznie (choćby dlatego, że tworzą je zagraniczni hakerzy).

3. Nie podawaj loginów i haseł, kiedy ktoś żąda ich w mailu lub SMS-ie. Twój bank nie zażąda od Ciebie podania loginu i hasła.

4. Nie daj się nabrać na popularne oszustwa – niezapłacona przesyłka, niezapłacony prąd, nieopłacony Netflix. Zajrzyj czasami na Niebezpiecznik.pl lub po prostu – wpisz w Google adres/numer telefonu nadawcy wiadomości.

5. Nie daj się nastraszyć. To, że ktoś w mailu czy SMS-ie twierdzi, że nie zapłaciłeś, wcale nie znaczy, że serio tak się stało.

6. Nie wpuszczaj zdalnie na swój komputer kogoś, kogo nie znasz. To częsta praktyka: hakerzy podają się na przykład za pracowników banku, twierdzą, że muszą się połączyć z Tobą zdalnie, żeby coś zrobić na Twoim koncie bankowym… i w ten piękny sposób zdobywają dostęp do Twojego konta bankowego lub innego cennego miejsca.

Dodatkowo:

7. Jeśli jakiś temat jest gorący w kraju – bądź gotów na to, że oszuści go wykorzystają. Przykład: cały kraj żyje zakupem węgla w sklepie PGG. Hakerzy postanowili więc wysyłać fałszywe SMS-y z informacją, że węgiel jest już na półce i linkiem do fałszywego sklepu. Są już pierwsze oszukane osoby, które zapłaciły w fałszywym sklepie i nigdy nie zobaczą tego “zamówionego” węgla na oczy.

8. Uważaj na skrócone linki. Jeśli nie masz pewności, nie klikaj w link. Możesz też skopiować jego adres (ale ostrożnie, żeby przypadkiem nie kliknąć) i wkleić do notatnika, żeby podejrzeć, jak naprawdę wygląda.

9. Jeśli masz wątpliwości co do maila/SMS-a – zapytaj informatyka.

To tyle, jeśli chodzi o najważniejsze zasady. Pamiętaj jednak, że cyberprzestępcy są coraz doskonalsi w swoim “fachu”. Kiedy już opanujesz te najważniejsze zasady, zapoznaj się i korzystaj także z tych mniej oczywistych wskazówek, którymi dzielimy się poniżej.

Jak sprawdzić, czy mail/SMS jest fałszywy? 7 dodatkowych wskazówek

Co jeszcze możesz zrobić, żeby nie dać się okraść przez fałszywe maile/SMS-y? Rozpoznać je. Poniżej podajemy sprawdzone i proste sposoby, które możesz zastosować, żeby samodzielnie określić, czy wiadomość jest niebezpieczna.

1. Znajdź maila/SMS-a od prawdziwego nadawcy i porównaj z tym, którego właśnie otrzymałeś.

2. Jeśli mail wylądował w spamie, szansa, że jest fałszywy, jest większa. Do takich maili podchodź z większą nieufnością.

3. Sprawdź adres e-mail nadawcy (najlepiej w źródle wiadomości – ale możesz też kliknąć w Odpowiedz i/lub w adres e-mail nadawcy, żeby go edytować i podejrzeć, jak wygląda faktycznie). Sprawdź, czy mail na pewno pochodzi z firmy/organizacji na którą powołuje się nadawca (słowem: czy jest w domenie). Dziwny, zupełnie niewiarygodny adres e-mail powinien zawsze wzbudzić Twoją podejrzliwość.

4. Sprawdź domenę nadawcy w VirusTotal. To świetne narzędzie, które pomoże Ci odróżnić fałszywą domenę od prawdziwej (a czasami te różnice są bardzo subtelne – dodatkowa kropka lub kreseczka w adresie, albo litera z akcentem zamiast polskiej litery). Tylko uwaga – nie przesyłaj tam plików z wrażliwymi danymi. Serwis działa w domenie publicznej i wysłane przez Ciebie wiadomości będą publicznie dostępne.

5. Sprawdź numer telefonu nadawcy SMS-a/dzwoniącego – np. w serwisie Kto dzwonił. Albo po prostu w wyszukiwarce Google. Jeśli numer jest podejrzany, możliwe, że inni użytkownicy już o tym napisali w sieci.

6. Sprawdź, czy nadawca maila/SMS-a próbuje Cię nastraszyć zagrożeniem, które wymaga natychmiastowego działania. Uważaj na wszelkie polecenia w stylu “Wyślij te dane w ciągu 24 godzin”, “Kliknij tu natychmiast”. To powinno od razu wzbudzić podejrzenia.

7. Zaglądaj do serwisów takich jak Niebezpiecznik i Sekurak lub obserwuj je w social mediach. Znajdziesz tam zawsze aktualne informacje o najnowszych atakach i wiele sposobów, jak się obronić przed hakerami.

Co zrobić, gdy otrzymasz fałszywego maila lub SMS-a? Dobre praktyki przeciw phishingowi

Jak zareagować, kiedy już wiesz, że otrzymana wiadomość była fałszywa?

Poinformuj dział IT w firmie

Przede wszystkim: daj znać informatykowi o próbie wyłudzenia danych. Często taki atak to tylko zapowiedź kolejnych, groźniejszych prób włamania się do Twojej firmy, konta bankowego czy poczty e-mail. Informując nas o tym, możesz zapobiec zagrożeniu.

Zgłoś incydent do CERT Polska

Następnie koniecznie zgłoś przypadek phishingu w CERT Polska.

Zrobisz to za pomocą strony incydent.cert.pl – wypełnij krótki formularz, dołącz podejrzaną wiadomość zgodnie z tą instrukcją i wyślij.

W przypadku fałszywych SMS-ów – wyślij tego SMS-a bezpośrednio do CERT Polska na numer 799-448-084 za pomocą opcji Przekaż wiadomość lub Udostępnij.

Dzięki temu uchronisz kolejne osoby… a być może i siebie w przyszłości. Przestępcy są bardzo wytrwali i zapewne jeszcze wielokrotnie będą próbowali trafić na moment, w którym będziesz bardziej podatny na socjotechniki.

Najbardziej znane przypadki phishingu w Polsce i za granicą

Otrzymałeś podejrzaną wiadomość? Sprawdź, czy nie padłeś ofiarą oszustwa.

Poniżej publikujemy listę najnowszych i najbardziej znanych przypadków podszywania się w Polsce oraz linki do ich opisów (głównie w serwisie Niebezpiecznik.pl).

• fałszywe oznaczenia na Facebooku i ostrzeżenia “o trwałym wyłączeniu konta”
• fałszywe maile od “Netflix”
• oszustwo “na ankietę Ministerstwa Finansów”
• fałszywe SMS-y podszywające się pod PGE
• fałszywe SMS-y podszywające się pod BLIK
• fałszywe SMS-y na “mandat karny”
• fałszywe SMS-y ze sklepu PGG
• fałszywe maile od OVH (w tytule: ”unikaj zawieszenia domeny” i “your OVH account is suspended”)
• fałszywe SMS-y o nieopłaconej paczce
• fałszywe SMS-y o paczce do odebrania

Podsumowanie

Na każdego z nas czyha wiele zagrożeń. I nie możemy już powiedzieć, że tylko w internecie. Wystarczy mieć aktywny numer telefonu, żeby otrzymać fałszywego SMS-a z niebezpiecznym linkiem.

Jest tylko jedna metoda, żeby ochronić siebie i swoją firmę przed phishingiem – daleko idąca ostrożność i nieufność.

Kiedy otrzymasz nawet rutynową i znajomo wyglądającą wiadomość, daj sobie chwilę. Zawsze najpierw dokładnie ją sprawdź. To, że ktoś wysyła Ci fakturę, której nie kojarzysz, informuje, że czegoś nie dopilnowałeś i naciska, żebyś jak najszybciej to naprawił, może oznaczać jedno: że chce wykorzystać Twój pośpiech. Zbędny pośpiech, który skończy się dla Ciebie kradzieżą środków z konta, wyciekiem danych klientów i bolesną karą RODO.

Jeśli jakiś otrzymany e-mail lub SMS budzi Twoje wąpliwości – skonsultuj się z informatykiem w firmie. W IT lepiej zapobiegać niż leczyć. Czasami lepiej być zbyt ostrożnym i zgłosić coś na wyrost, niż później ponosić późniejsze konsekwencje braku reakcji.

Koniecznie podeślij nasz artykuł pracownikom w swojej firmie! Niech każdy dowie się, jak skutecznie bronić się przed phishingiem.

A jeśli potrzebujesz informatyka, który zadba o bezpieczeństwo w Twojej firmie, kliknij w poniższy przycisk i wyślij nam wiadomość przez formularz.