Phishing – co to jest i jak się przed nim chronić?

Phishing to rodzaj oszustwa internetowego, które staje się coraz bardziej popularne. Jego celem jest wyłudzenie danych osobowych, takich jak hasła, dane konta bankowego, numer dowodu osobistego i inne poufne informacje. Hakerzy lub inne osoby, chcące wyłudzić dane osobowe, używają często bardzo przebiegłych metod – przez to ich oszustwa stają się niezwykle efektywne, a skala zjawiska jest ogromna. Z uwagi na fakt, że każdy z nas może paść ofiarą phishingu, zupełnie się tego nie spodziewając, warto nauczyć się go rozpoznawać i odpowiednio się przed nim zabezpieczać.

Phishing – co to jest?

Phishing to typ oszustwa internetowego, w którym przestępca podszywa się pod inną osobę lub pod instytucję (często również rządową) w celu wyłudzenia danych osobowych. Oprócz tego celem phishingu może być nakłonienie ofiar do określonych działań. Termin ten pochodzi od angielskich słów „password harvesting fishing”, oznaczających dosłownie „łowienie haseł”. Powstał w latach dziewięćdziesiątych, kiedy to doszło do próby kradzieży danych od jednego z największych amerykańskich dostawców internetu. Osoba, odpowiedzialna za atak, wysyłała do użytkowników maile, podszywając się pod jednego z pracowników ówczesnego America Online. W wiadomości znajdowała się prośba o potwierdzenie hasła. W ten sposób przestępca zdobył ogromną ilość haseł, dzięki którym mógł logować się na konto i wykorzystywać je, między innymi do wysyłania wiadomości typu SPAM.

Obecnie ataki phishingowe są coraz bardziej zaawansowane i trudno je rozpoznać. W wielu przypadkach przestępcy starają się wykorzystać strach użytkowników i nakłonić ich do pewnych działań, których celem może być kradzież danych osobowych. Jedną z „popularnych” metod phishingu jest tworzenie stron internetowych, łudząco podobnych do oficjalnych stron banków czy innych instytucji finansowych. Ofiary otrzymują maila (często z domeny banku lub podobnej) o konieczności zweryfikowania hasła, tłumacząc to na przykład chwilowymi problemami technicznymi. W wiadomości mailowej znajduje się link, kierujący na stronę internetową, która wyglądem niemal nie różni się od strony banku – po podaniu tam loginu i hasła dane są wykradane, a przestępca zyskuje możliwość logowania się na konto bankowe ofiary.

Rodzaje phishingu

Phishing to zjawisko, które pojawiło się już kilkanaście lat temu. Dzisiaj można wyróżnić kilka jego rodzajów. Jednym z nich jest spear phishing, czyli phishing spersonalizowany pod konkretną osobę lub firmę. Przestępcy przez długi czas starają się zdobyć jak najwięcej danych na temat swojej ofiary, a następnie przeprowadzają atak. Szacuje się, że 91% tego typu spersonalizowanych ataków zakończone jest sukcesem przestępców. Jednym z najgłośniejszych przypadków jest atak na Hillary Clinton w czasie kampanii prezydenckiej w 2016 roku.

Kolejnym rodzajem phishingu jest clone phishing. Polega on na tym, że prawdziwa wiadomość mailowa, w której znajduje się link lub załącznik, zostaje zastąpiona złośliwymi wersjami. Następnie wiadomość taka wysyłana jest do ofiary z innego adresu mailowego. Z reguły są to wiadomość, które rzekomo pochodzą od różnego typu instytucji rządowych czy banków. Należy pamiętać, że tego rodzaju firmy, w szczególności banki, nigdy nie proszą użytkowników o podanie poufnych informacji. W przypadku clone phishing wykorzystywane jest zaufanie społeczne, które posiada dana firma lub instytucja. Działa tutaj prosty mechanizm – użytkownik wychodzi z założenia, że skoro otrzymał maila na przykład z Ministerstwa Finansów, to musi on być wiarygodny. Niestety – z reguły jest to próba oszustwa.

Ostatni wyróżniany dzisiaj rodzaj phishing to whaling. Ofiarami tych ataków są z reguły osoby postawione na najwyższych stanowiskach – kierownicy korporacji, dyrektorzy dużych instytucji itp. Często jest to połączenie dwóch poprzednich typów phishingu – celem jest tutaj określona osoba, a wiadomość mailowa fałszowana jest jako pochodząca z zaufanej witryny – na przykład z kancelarii prawnej. Celem może być uzyskanie przez przestępców danych do konta bankowego lub do ważnych dokumentów, będących w posiadaniu wyłącznie jednej osoby.

Jak rozpoznać phishing?

Choć dla wielu osób phishing jest zjawiskiem bardzo odległym, tak naprawdę dotyczy ono większość użytkowników internetu. Wystarczy przejrzeć wiadomości typu SPAM, których często nawet się nie zauważa, ponieważ lądują w oddzielnym folderze. W wielu przypadkach znaleźć tam można różnego typu maile reklamowe, jednak pośród nich niejednokrotnie znajdują się wiadomości z informacją o przesyłce (której nie ma, jednak po wejściu w odpowiedni link można ją śledzić) czy innego typu oszustwa. Choć w wielu przypadkach rozpoznanie phishingu jest bardzo trudne, znajomość mechanizmów, wykorzystywanych przez przestępców, może pomóc w jego rozpoznaniu. Przede wszystkim nie należy sprawdzać adresy mailowe, z których pochodzi wiadomość – w razie wątpliwości można porównać je z tymi, które znajdują się na stronie internetowej firmy. W rozpoznaniu phishingu może pomóc również wiedza o fakcie, że przestępcy często wykorzystują strach jako główne narzędzie. Z tego powodu w mailach phishingowych znaleźć można informację o tym, że konto bankowe zostało zablokowane lub że dana osoba widnieje w Krajowych Rejestrze Długów. Kreatywność przestępców wydaje się nieograniczone. Z tego powodu tak ważna jest wzmożona czujność w czasie korzystania ze skrzynki mailowe – czyli dla wielu osób niemal przez cały czas.

Phishing – jak się bronić?

Istnieje kilka sposobów, dzięki którym można uchronić się przed phishingiem. Oto niektóre z nich:

• nie reaguj na podejrzane wiadomości mailowe, pochodzące z nieznanych domen, takie jak prośby o podanie danych osobowych. W szczególności nie należy pobierać załączników czy otwierać linków URL nieznanego pochodzenia;
• nie przyjmuj zaproszeń do grona znajomych od osób, których nie znasz, na przykład w mediach społecznościowych;
• ochraniaj swoje hasła przy pomocy specjalnych, sprawdzonych programów. Warto pamiętać o tym, żeby w każdym miejscu mieć inne, najlepiej bardzo złożone hasło, składające się z różnych znaków (małych i wielkich liter, cyfr i znaków interpunkcyjnych). Dzięki temu w sytuacji, w którym dojdzie do kradzieży czy wycieku danych w jednej domenie, przestępcy nie będą mogli zalogować się na inne konta;
• dokładnie sprawdzaj adresy mailowe, z których pochodzą wiadomości – często na pierwszy rzut oka nie różnią się one od tych prawidłowych;
  nigdy nie podawaj swoich poufnych danych przez maila, przez komunikatory czy przez telefon;
• dbaj o to, aby Twoja przeglądarka czy program pocztowy był aktualny – dzięki temu ustrzeżesz się przed wykorzystaniem przez przestępców błędów w programie;
  w miejscach takich jak konto bankowe korzystaj z dwu-etapowej weryfikacji – oprócz hasła możesz otrzymać SMSa z prośbą o potwierdzenie logowania – dzięki temu nikt niepożądany nie zaloguje się na Twoje konto;
• wykorzystuj najnowsze filtry antyspamowe, które wbudowane są w programy pocztowe. Wiele programów antywirusowych zawiera również specjalne filtry antypishingowe, które reagują na na próby wprowadzenia numeru konta bankowego, kodu CVV czy numeru PIN;
• dodatkowo warto stworzyć dodatkowe konto bankowe, które będzie używane w celu zakupów online czy kupowania dostępu, na przykład do serwisów takich jak Netflix. Coraz częściej niezbędne jest podawanie danych takich jak numer konta bankowego i kod CVV – warto mieć dodatkowe konto z niewielką ilością środków, służące jedynie w celu kupowania usług czy produktów online. Dzięki temu nawet w sytuacji wycieku danych Twoje konto bankowe, na którym gromadzisz środki, będzie bezpieczne.

Phishing – podsumowanie

Świadomość istnienia zjawiska, jakim jest phishing oraz znajomość mechanizmów, wykorzystywanych przez przestępców jest niezbędna, aby skutecznie chronić się przed atakiem. Bardzo ważna jest również daleko idąca ostrożność, szczególnie podczas otwierania wiadomości mailowych. Można przypuszczać, że przestępcy będą szukali coraz nowszych sposobów na zdobycie poufnych danych, a samo zjawisko phishingu będzie się rozwijało. Z tego powodu bardzo ważne jest śledzenie nowych informacji w tym temacie – posiadanie aktualnych wiadomości na temat „trendów” w phishingu zwiększa szansę na ochronę. Warto wykorzystywać najnowsze metody chronienia się przed phishingiem, aby móc bezpiecznie funkcjonować w sieci.