Czym jest phishing?
Phishing tłumacząc z języka angielskiego oznacza „wędkarstwo”. Jest to oszustwo polegające na wyłudzaniu danych oraz nakłanianiu do podejmowania działań, które wymuszane są na nas przez oszustów. Wykorzystywana jest taktyka w postaci przesyłania wiadomości sms lub mail, w którym podane są między innymi linki do zalogowania się w bankowości internetowej czy też uiszczenia zapłaty za rachunek za prąd oraz gaz. Phishing to również przypadki, kiedy otrzymujemy od znajomych z portali społecznościowych wiadomości z prośbą o przelanie środków pieniężnych. Oszuści poprzez takie działania starają się uzyskać dostęp do naszych chronionych danych osobowych oraz do kont bankowych. Można powiedzieć, że jest to tzw. „przynęta” – zachęcenie odbiorcy maila lub sms-a do podjęcia konkretnego działania poprzez kliknięcie, zalogowanie się lub przelania środków. Niestety każda taka czynność wiąże się z rezultatem w postaci negatywnych konsekwencji dla osoby dokonującej takiego „kliknięcia”.
W jaki sposób działają oszuści?
Działanie oszustów w metodzie phishingu jest bardzo schematyczne, a mianowicie podszywanie się pod bank, instytucję, operatora pocztowego, kuriera czy operatora telekomunikacyjnego. Ma to na celu wzbudzenie zaufania do otrzymanej wiadomości oraz danych w niej przekazanych. Otrzymujemy wiadomość łudząco podobną do tej, którą otrzymujemy przykładowo od kuriera celem odbioru paczki i dopłaty za koszty transportu czy też sms z treścią o konieczności zapłaty za zaległy rachunek za prąd. W oszustwie phishingu oszuści poprzez nakłonienie do podjęcia czynność „kliknięcia” w link mają dostęp do danych do logowania, haseł, a nawet numeru karty bankowej. Ważne wobec tego jest, aby znać pojęcie czym jest phishing, bowiem oszustwo to jest powszechne, a oszuści dopuszczając się go działają w sposób łudząco przypominający prawdziwą wiadomość.
W jaki sposób rozpoznać czy wiadomość jest podejrzana i czy mamy do czynienia z phishingiem?
Za każdym razem kiedy otrzymamy wiadomość od banku, operatora telekomunikacyjnego, pocztowego czy kuriera musimy zadać sobie pytanie czy adresat wiadomości jest nam znany oraz czy rzeczywiście porozumiewa się z nami poprzez przesyłanie wiadomości sms lub mail. Otrzymanie wiadomości od firmy z koniecznością do zapłaty za dokonaną usługę lub zakupiony towar powinien wzbudzić w nas podejrzenie phishingu jeżeli nigdy nic z taką firmą nie mieliśmy do czynienia. Nie należy wtedy „klikać” w żadną otrzymaną wiadomość, a tym bardziej w link przekierowujący do płatności. Należy pamiętać, że jeżeli wiadomość wzbudza w nas nawet najmniejsze podejrzenia oszustwa phishingu, to nie należy podejmować działań w niej wskazanych. Najlepszym sposobem na rozpoznanie podejrzanej wiadomości jest zachowanie ostrożności oraz zdrowego rozsądku.
Jakie wiadomości mogą w nas wzbudzić podejrzenie phishingu?
Dobrym sposobem na rozpoznanie podejrzanej wiadomości jest zapamiętanie kilku przykładów, które wprost powinny wzbudzać w nas podejrzenia oszustwa phishingu. Po pierwsze wiadomość, która może być przesłana przez oszusta może zawierać sformułowanie aby zapłacić środki pieniężne w ciągu 24 lub 48 godzin, a w przeciwnym wypadku może się wiązać to z negatywnymi konsekwencjami. Innym przykładem phishingu jest otrzymanie wiadomości, w której adresat prosi nas o podanie danych osobowych lub numeru konta czy numeru BLIK do przelania pieniędzy. Należy zwrócić uwagę również na wygląd graficzny wiadomości, bowiem bardzo często zawierają one błędy językowe, ortograficzne i tzw. „literówki”. Wygląd strony, do której po kliknięciu w link zostaliśmy przekierowani wręcz łudząco przypomina autentyczną stronę. Należy wtedy dokładnie przeanalizować i poszukiwać różnic w układzie strony, logotypu czy kolorystyce.
Phishing na przykładach
Oszuści podszywający się pod banki – Najczęstszymi przypadkami phishingu są wiadomości sms lub mail otrzymywane od banków ze wskazaniem korzystnej oferty kredytowej lub konieczności uzupełnienia danych osobowych w bankowości internetowej. Nigdy nie należy „klikać” w takie wiadomości, a tym bardziej nie podawać żadnych danych osobowych, w tym najważniejszej danej w postaci numeru PESEL. Uzyskanie przez oszustów phishingu takich danych może spowodować nie tylko opróżnienie konta z środków pieniężnych, ale także zabranie na naszą osobę kredytu czy nawet założenia firmy. Zdarzają się również sytuacje, kiedy odbieramy telefon od konsultanta banku, który w pełni profesjonalny sposób przedstawia nam nową ofertą banku czy wskazuje na konieczność przekazania nam ważnych informacji, ale najpierw konieczna jest weryfikacja naszych danych. Taka sytuacja powinna od razu wzbudzić w nas podejrzenie oszukańczego działania phishingu i spowodować rozłączenie się, a następnie należy udać się do stacjonarnej placówki banku i upewnić się czy telefon ten nie był próbą oszustwa i wyłudzenia danych.
Oszuści podszywający się pod operatorów telekomunikacyjnych i przedsiębiorstwa – Innym przykładem oszukańczego działania phishingu są maile przesyłane przez oszustów podszywających się pod operatorów telekomunikacyjnych i przedsiębiorstwa gazowe i dostarczające prąd ze wskazaniem konieczności zapłaty wskazanej kwoty. Oszuści wskazują, iż nie została zapłacona cała kwota rachunku i wynikła konieczność zapłaty lub też otrzymujemy wiadomość z treścią „w przypadku braku zapłaty kwoty w ciągu 3 dni od otrzymania wiadomości zostanie odłączony prąd”. Wiadomość taka wywołuje strach oraz pierwszą reakcję w postaci „kliknięcia” w link, podania danych i zapłaty. Nie należy jednakże tego robić, ponieważ mamy do czynienia z phishingiem. Należy udać się do wskazanego operatora celem uzyskania informacji czy posiadanym jakieś zadłużenie, a jeżeli tak to takiej zapłaty nie dokonywać za pomocą otrzymanego linku, ale w stacjonarnej kasie operatora.
Oszuści działający poprzez kody BLIK i karty płatnicze – Phishing polega również na oszustwach związanych z kartami płatniczymi. Oszuści przesyłając wiadomość sms lub mail wskazują na konieczność podania danych osobowych oraz numeru karty bankowej, aby dokonać czynności zalogowania się lub przelania środków na określony cel. Jeżeli nie znamy adresata wiadomości oraz nie mamy przekonania, że do zalogowania należy podać takie dane, nie należy absolutnie dokonywać takich czynności, ponieważ jest to jeden z przykładów phishingu, aby pozyskać dane do logowania i numer karty bankowej. Oszuści często przesyłają także wiadomości z przekierowaniem do podania kodu BLIK do zrealizowania płatności. Podanie takiego kodu może spowodować przejęcie przez oszustów danych do logowania do naszej bankowości internetowej, a w rezultacie naszych środków pieniężnych.
Jak należy postąpić aby nie paść ofiarą phishingu?
Podstawową radą, aby nie paść ofiarą phishingu jest ograniczone zaufanie oraz brak przekazywania komukolwiek naszych danych osobowych, haseł i loginów. Nie należy klikać w otrzymywane linki, a jeżeli mamy wątpliwość co do poprawności działania adresata wiadomości, to najwłaściwszym postępowaniem będzie udanie się do stacjonarnej placówki operatora, banku czy instytucji, od której otrzymaliśmy wiadomość.
Co w sytuacji gdy staniemy się ofiarą oszustwa phishingu?
W sytuacji gdy padniemy ofiarą phishingu związanego z kartą kredytową oraz bankowością internetową należy zablokować kartę kredytową oraz udać się do banku celem zgłoszenia incydentu. Należy również udać się do jednostki Policji oraz Prokuratury, aby zgłosić próbę wyłudzenia naszych danych osobowych. Istnieje również strona internetowa: https://incydent.cert.pl/ , na której można wypełnić stosowny formularz online ze wskazaniem oszukańczego działania. Zgłoszenia takie pomagają wykrywać oraz określać formy phishingu.
