Ochrona przed phishingiem. Jak się chronić przed złodziejami danych w sieci?

Ostatnia aktualizacja: 5 stycznia 2024

Ofiarą cyberprzestępców może zostać niemal każdy użytkownik Internetu: od przeciętnego Kowalskiego aż po największe światowe firmy. Phishing to jeden z najczęstszych zjawisk przestępczych w sieci, którego ofiarą padają tysiące użytkowników. Na haczyk dali się złapać najwięksi giganci, w tym Google i Facebook. Ochrona przed phishingiem jest możliwa – konieczna jest jedynie uważność i ostrożność podczas korzystania z sieci. Z artykułu dowiesz się, jak przebiega standardowy phishing i jak skutecznie chronić swoje finanse przed zakusami cyberprzestępców.

SPIS TREŚCI

Co to jest i jak przebiega phishing? Ochrona przed phishingiem

Phishing jak się chronić

Ataki phishingowe to jedna z ulubionych metod cyberprzestępców wyłudzania danych i poufnych informacji. Phishing polega na podszywaniu się pod obdarzoną zaufaniem społecznym firmę prywatną, instytucję finansową lub urząd w celu wyłudzenia poufnych danych. Według raportu firmy Kaspersky w drugim kwartale 2019 roku na haczyk dał się złapać co 10 obywatel Polski. Za popularnością phishingu stoi jego prostota i duża skuteczność: każdego dnia oszuści są w stanie przechwycić w ten sposób numery kart kredytowych, hasła, loginy i poufne informacje na temat firm i osób prywatnych.

Przestępcy stosujący phishing chętnie podszywają się pod znane firmy, instytucje finansowe i urzędy. W Polsce odnotowano ataki podszywające się pod Ministerstwo Finanse i ZUS. Tracą dwie strony: firma, której wizerunek jest wykorzystywany i ofiara przestępstwa. Najczęstszym celem ataku jest kradzież środków z konta lub dostęp do płatnych usług. Przez proceder swoje dobre imię i finanse straciło również wiele firm, których nieświadomi pracownicy dali się nabrać na środki socjotechniczne wykorzystywane podczas oszustw.

Celem oszustów jest za każdym razem sprowadzenie nieświadomej ofiary ataku na fałszywą stronę internetową. Oszuści podszywają się pod kogoś innego, wykorzystując popularne media, np.:

  • wiadomości e-mail,
  • media społecznościowe,
  • reklamy internetowe,
  • wiadomości SMS (tzw. smishing),
  • kalendarz Google.

Phishing – jak działają oszuści?

Ataki phishingowe są do siebie bardzo podobne. Wspólna jest ich jedna cecha: wykorzystanie czynnika ludzkiego i socjotechnik, które pozwalają na wyłudzenie danych od nieświadomych internautów. Najskuteczniejsi oszuści doskonale wiedzą, jak napisać wiadomość, aby wzbudzić w odbiorcy emocje skłaniające ku szybkiemu, nieprzemyślanemu działaniu. Oszuści są coraz bardziej kreatywni, więc ataku możemy spodziewać się na niemal każdym kroku.

Przykładowy przebieg ataku phishingowego

Ataki phishingowe często wyłudzają informacje o danych bankowych. Schemat ataków często się powtarza:

  1. Przestępcy rozsyłają fałszywe wiadomości mailowe do losowo wybranych odbiorców. W jego treści odbiorca znajduje apel o pilne zalogowanie się na swoje konto bankowe.
  2. Klikając podany w wiadomości link, ofiara ataku zostaje przekierowana na fałszywą stronę instytucji, stworzonej w celu przechwycenia danych.
  3. Ofiara wprowadza swoje dane na stronie, podając swój login oraz hasło.
  4. Podany link kieruje na fałszywą stronę banku
  5. Klient loguje się na fałszywej stronie, podając login i hasło i pozostawiając swoje dane złodziejom.

Phishing – jak wygląda fałszywa wiadomość?

Wiadomość, która powinna wzbudzić zaniepokojenie, będzie zawierać link, który jest konieczny do podjęcia dalszego działania. Często będzie nawoływać do aktualizacji lub weryfikacji swojego konta, uzupełnienia danych karty kredytowej, szybkiej reakcji na wiadomość. Oszuści mogą użyć oryginalnego logotypu lub stopki firmy – ich zdobycie nie jest żadnym problemem.

Wiadomość phishingowa

Rodzaje ataków phishingowych

Oszuści mogą atakować wielu odbiorców jednocześnie, jednak istnieją również ataki spersonalizowane, do których się starannie przygotowują. Często zdarzają się również ataki na pracowników wybranej firmy i celowe wprowadzanie ich w błąd, aby wyłudzić cenne dla firmy informacje. Dobrze jest znać kilka najpopularniejszych form ataków, aby móc na nie efektywnie reagować.

  • Spear phishing, czyli ataki spersonalizowane

Wyjątkowo nieprzyjemne w skutkach są ataki spersonalizowane wymierzone w konkretnych użytkowników sieci. Takie działanie jest trudniejsze do wykrycia i o wiele skuteczniejsze, ponieważ oszuści przygotowują się do niego wcześniej. Ofiarami są zazwyczaj pracownicy firm, a celem pozyskanie poufnych danych firmy. Ofiary są starannie wybierane przez przestępców, a następnie są prześwietlane ich serwisy społecznościowe, lista kontaktów czy wypowiedzi na forach internetowych. W ten sposób łatwo o spersonalizowanie wiadomości, uśpienie czujności ofiary i pozyskanie wyjątkowo wrażliwych danych.

  • Clone phishing

Klonowanie prawdziwej wiadomości e-mail. Przestępca może użyć wzoru podczas tworzenia nowej i załączyć zmienione linki prowadzące do złośliwej strony www. Ofiara ma pewność, że otrzymuje identyczną wiadomość od tego samego nadawcy.

  • Whaling

Typ ataku spersonalizowanego, który ma za zadanie przechwycenie danych od osób zajmujących najwyższe stanowiska w firmie.

  • Brand phishing

Oszuści podszywają się pod przedsiębiorstwo, świadczące usługi dla atakowanej firmy.

  • Spoofing

Typ phishingu, który polega na fałszowaniu domen. Cyberprzestępca podszywa się pod istniejącą domenę, aby jego e-mail wyglądał jak oryginalna wiadomość od wybranej organizacji.

  • Smishing

Atak wykorzystujący wiadomości SMS, zawierające złośliwy link.

Ochrona przed phishingiem. Jak się bronić?

Nikt nie chce zostać ofiarą phishingu. Złodzieje danych są bardzo pomysłowi, jednak ich zajęcie opiera się na standardowych technikach. Ucząc się, jak rozpoznawać fałszywą wiadomość i stronę www, chroniąc swoje dane i zachowując ostrożność podczas odbierania codziennej korespondencji minimalizujesz ryzyko wpadnięcia w sieć phishera.

Dobre nawyki w sieci

  1. Nie klikaj podejrzanych linków i plików do pobrania w wiadomościach. Zawsze zbadaj wiarygodność danej wiadomości, dzwoniąc do nadawcy, którego dotyczy e-mail. W razie otrzymania wiadomości od swojego banku zaloguj się do swojego konta „z ręki”.
  2. Wiadomość wydaje Ci się pilna i wzbudza ciekawość? Nadawca kusi, że masz tylko 20 minut na odbiór nagrody lub rabatu? Pomyśl dwa razy – to jedna z socjotechnik, które mają zachęcić Cię do szybkiego i nieprzemyślanego reagowania. Ogromna część ataków phishingowych ma za zadanie wzbudzenie w czytelniku silnych emocji.
  3. Przestępcy dbają o realistyczny wygląd swoich stron. Często są one łudząco podobne do orginału, pod który się podszywają. Zielona kłódka obok adresu nie gwarantuje, że jesteś bezpieczny. Protokół HPPS oznacza jedynie, że dane między Tobą z daną stroną internetową są bezpiecznie transmitowane, jednak nie gwarantuje wiarygodności samej witryny.
  4. Nie odpowiadaj na mail, który wyda Ci się podejrzany. Ignoruj prośby o podanie loginu i hasła, swoich danych osobowych lub skanu dowodu osobistego.
  5. Nie miej zaufania do wiadomości zawierających prośby o pieniądze – nawet od najbliższych współpracowników lub znajomych. Pamiętaj, że ich konto mogło zostać zhakowane i wykorzystane wbrew ich intencjom. Dotyczy to zwłaszcza sieci społecznościowych.

Zabezpieczenia techniczne przed phishingiem

Ochrona przed phishingiem będzie skuteczna, o ile połączysz uważność i dobre oprogramowanie na komputerze. Wybrane narzędzia mogą skutecznie chronić Twoją pocztę i inne media, z których korzystasz.

  1. Popraw bezpieczeństwo swoich kont, włączając uwierzytelnianie dwuskładnikowe oraz używając menedżera haseł. Program powinien poinformować Cię o podejrzanej wiadomości.
  2. Ustaw w swojej poczcie filtry antyspamowe, które będą przechwytywać i oznaczać podejrzane wiadomości.
  3. Na bieżąco aktualizuj oprogramowanie na swoim komputerze.
  4. Zainstaluj dobry program antywirusowy, chroniący zawartość Twojego komputera.
Jeśli otrzymasz podejrzanego e-maila lub SMS-a, możesz to zgłosić. To proste i trwa zaledwie kilka chwil. Dowiedz się, gdzie i jak zgłosić oszustwo internetowe.
Czytaj więcej
  • Czy artykuł był pomocny ?
  • Tak   Nie

Powiązane artykuły

jak się zalogować, jak zmienić hasło, jak opłacić, gdzie faktura, przypisanie domeny.
lub
sprawdź kategorie pomocy
i wyświetl 2553 wpisów
automatyczne odnawianie usług CRON cykliczne uruchamianie DKIM dostawa dostęp DPD FIFA 23 FreshMail Integracja galeria internetowa Google Zakupy h&m HTML instrukcja kaskadowe arkusze stylów katalog tymczasowy klucze RSA kotwice moduł mod_rewrite na serwerze niebezpieczne połączenie nowi użytkownicy operator OX pakiet poczta pozycjonowanie program lojalnościowy repozytorium serwery DNS SMART SOA stan magazynu strona startowa szczegóły produktu szyfrowanie ustawienia użytkownik widoczność wolumin wpis wprowadzenie XML zwiększenie zasobów