Internet może i przegląda się fajnie, może i jest bardzo użyteczny, ale też niestety naraża nas na wszelkiego rodzaju przekręty i ataki cyberprzestępców.
Głowa do góry! wystarczy trochę wiedzy i ostrożności, a nic nam nie będzie grozić. W tym przewodniku pokażemy wam jak uniknąć phishingu i trzymać się od internetowych oprychów z dala.
Co to phishing? To rodzaj oszustwa, które opiera się w dużej mierze na inżynierii społecznej. Cel jest prosty: wkręcić ofiarę, by zainstalowała wirusa lub przekazała wrażliwe informacje, takie jak dane osobiste, hasło do banku itd. Wszystko po to, by uzyskać jakieś korzyści jej kosztem.
Oszuści zazwyczaj podszywają się pod pracowników banków czy innych instytucji. Są do tego często bardzo przekonywujący w tej roli. Mogą również tworzyć niemal idealne kopie popularnych stron internetowych, które potem mogą być wykorzystane do kradzieży danych logowania i kart kredytowych.
Nie oznacza to jednak, że jesteście bezbronni. Czytajcie dalej, a dowiecie się jak możecie chronić się przed takimi atakami.
Poznaj swojego wroga: odmiany phishingu
Inżynieria społeczna leży u podstawy każdej próby wyłudzenia danych. Cele, które oszuści chcą osiągnąć, są jednak różne, podobnie jak i metody, których używają.
Podszywanie się pod pracownika banku lub innej instytucji (na przykład policji), by wykraść pieniądze, to jeden z typów phishingu.
Whaling (znany również jako executive phishing lub CEO fraud) bierze na cel zarządy i kadrę kierowniczą dużych firm i instytucji, a służą do tego odpowiednio przygotowane fałszywe e-maile.
Spear phishing jest dość podobny do poprzedniego rodzaju, bo ukierunkowany jest na konkretne osoby, grupy, czy organizacje, a nie na każdego.
Vishing (voice phishing) oparty jest na rozmowach telefonicznych, podczas których oszust podszywający się pod pracowników różnych instytucji próbuje przekonać ofiarę do podania wrażliwych danych lub wykonania pewnych czynności, które kończą się najczęściej utratą pieniędzy lub innymi szkodami.
Smishing (SMS phishing) jest podobny, ale zamiast rozmów telefonicznych wykorzystuje spreparowane SMS-y.
Pharming polega na zainstalowaniu wirusa na komputerze ofiary. Szkodliwe oprogramowanie potem przekierowuje użytkownika na fałszywe strony.
Domain spoofing (spoofing domeny) to z kolei podszywanie się pod autentyczne strony. Nawet adres jest bardzo bliski prawdziwemu.
Ataki typu Man-in-the-Middle (MITM) polegają na tym, że cyberprzestępca „wchodzi” w komunikację między dwoma stronami. Jake i Linda mogą być przekonani, że rozmawiają ze sobą, ale między nimi może być ktoś, kto przechwytuje ich wiadomości i nawet wpływa na ich rozmowę.
Jak bronić się przed oszustami
Skoro już wiecie z czym możecie mieć do czynienia, teraz czas na garść porad jak uniknąć takich ataków.
Po pierwsze, używajcie uwierzytelniania przynajmniej dwuskładnikowego (2-Factor Authentication, 2FA) lub nawet wieloskładnikowego (Multi-Factor Authentication, MFA), gdy logujecie się do różnych usług. Nie tylko jest to bezpieczniejsze, ale też będziecie wiedzieć, gdy ktoś niepowołany próbuje włamać się na wasze konto.
Po drugie, regularnie instalujcie aktualizacje systemu i oprogramowania. Starsze wersje przeważnie mają wiele luk, które oszuści mogą wykorzystać. Nie kuście losu.
Po trzecie, zwracajcie uwagę na wszelkiego rodzaju oznaki, że macie do czynienia z wyłudzeniem, a w szczególności na:
Wiadomości z poczuciem pilności – jeśli otrzymacie e-maila z prośbą lub wręcz żądaniem, by coś szybko zrobić, bo inaczej stanie się coś złego tudzież okazja zbyt dobra, by była prawdziwa przejdzie wam koło nosa, zachowajcie ostrożność. To tania psychologiczna zagrywka, która jest jednym z fundamentów phishingu.
Literówki, błędy gramatyczne, kiepskie formatowanie itp. – jeśli widzicie takowe w mailach pochodzących od rzekomo zaszczytnej instytucji, miejcie się na baczności. OK, małe pomyłki się zdarzają, ale jeśli wiadomość jest na przykład pełna błędów i kiepsko napisana, to możecie mieć 100% pewności, że to próba oszustwa.
E-maile wysłane poza typowymi godzinami pracy – jeśli otrzymacie coś od kolegi czy koleżanki z pracy o nietypowej porze dnia (lub w nocy), koniecznie się z nimi skontaktujcie, najlepiej osobiście lub przez telefon, by potwierdzić, że dana wiadomość pochodzi od nich (najczęściej nie).
Podejrzanie linki i załączniki – nie pobierajcie niczego, co wygląda na fałszywe, szczególnie jeśli rozszerzenie pliku jest dziwne. Nie klikajcie żadnych linków, tylko najpierw na nie najedźcie kursorem i sprawdźcie jaki adres się wyświetla. Najlepiej w ogóle nic nie klikajcie.
Generalnie jeśli jakiś wasz znajomy wysyła wam na przykład maila z prośbą o pieniądze, zapytajcie się ich osobiście, czy to faktycznie on go wysłał. Ich konto na mediach społecznościowych lub e-mail mogły zostać przejęte przez cyber-oprycha, więc dobrze jest upewnić się, że wszystko jest w należytym porządku.
Jeśli korzystacie z marketplace’ów, bądźcie MEGA ostrożni, gdy ktoś, powiedzmy, chce kupić wasz przedmiot i wysyła poprzez wiadomości prywatne linka, którym chce wam „zapłacić”. Najczęściej mocno nalegają, by przyjąć ową zapłatę, bo inaczej zaraz się rozmyślą (poczucie pilności).
To jedna z najbardziej powszechnych metod kradzieży pieniędzy przez Internet. Faktyczni kupujący wykorzystają wyłącznie metody płatności dostępne oficjalnie na danej platformie. Pamiętajcie: NIGDY nie klikajcie na linki lub nie używajcie opcji „płatności” wysłanych wam wiadomościami prywatnymi!
Jeszcze jedno: łatwo jest zrobić literówkę w adresie strony, na którą często wchodzicie. Problem polega na tym, że w ten sposób możecie przypadkowo trafić na fałszywkę.
Aby sprawdzić, czy dana strona jest autentyczna, upewnijcie się, że ma ikonę kłódki przy adresie. Dodatkowo dokładnie przeczytajcie adres, by wykluczyć jakiekolwiek błędy.
Pamiętajcie też, by nigdy nie googlować banków, sklepów online czy marketplace’ów. Wpisujcie adres ręcznie.
Bądźcie bezpieczni online
Jak widać jest wiele sposobów na uniknięcie oszustw. To wy jesteście zarówno najmocniejszym, jak i najsłabszym ogniwem w łańcuchu obrony. Pamiętajcie: bądźcie ostrożni, unikajcie ofert i okazji, które są zbyt dobre, by mogły być prawdziwe, na spokojnie czytajcie e-maile w poszukiwaniu sygnałów ostrzegawczych, no i poszerzajcie swoją wiedzę na temat sieciowych zagrożeń. W ten sposób zapewnicie sobie bezpieczeństwo.
Do następnego razu i uważajcie na siebie!