Zanim klikniesz – zastanów się

Pozornie nieszkodliwe maile, często wzywające do pilnego działania, mogą prowadzić do fałszywych witryn wyłudzających dane. Zanim klikniesz – zastanów się: phishing w praktyce

Cyberprzestępcy najczęściej łowią przypadkowe osoby – niezmiennie jednym z głównych zagrożeń dla internautów, obserwowanych przez zespół CERT Polska pozostaje phishing. Pozornie nieszkodliwe maile, często wzywające do pilnego działania, mogą prowadzić do fałszywych witryn wyłudzających dane.

Celem przestępców, którzy stoją za tego typu oszustwami jest zdobycie poufnych danych – najczęściej loginów i haseł do konkretnych usług – poprzez podszywanie się pod zaufane instytucje lub osoby. W tym celu rozsyłają oni wiadomości e-mail zawierające linki do fałszywych stron, które wyglądają niemal identycznie jak oryginalne witryny.

Samo kliknięcie w taki link nie jest groźne, ale zalogowanie się na spreparowanej stronie kończy się tym, że nasze dane trafiają bezpośrednio do cyberprzestępców. Następnie często dochodzi do zmiany hasła, co uniemożliwia właścicielowi dostęp do własnego konta.

– Warto podkreślić, że nie ma jednego, powtarzalnego wzoru takiej wiadomości. Treść ataku jest często dopasowana do konkretnej grupy docelowej, a sposób działania zależy od umiejętności technicznych sprawców. W większości przypadków pojawia się jednak element presji – odbiorca jest ponaglany do natychmiastowego działania, np. poprzez ostrzeżenia o rzekomym zablokowaniu konta i groźbie negatywnych konsekwencji w przypadku braku reakcji – wyjaśnia Anna Kwaśnik, ekspertka ds. budowania świadomości cyberbezpieczeństwa w NASK.

Phishing w praktyce

Coraz więcej codziennych spraw załatwiamy online – robimy zakupy, kontaktujemy się z bliskimi, logujemy się do banku czy urzędów, ale wraz z rozwojem technologii rośnie także częstotliwość wyłudzeń. Dlatego to tak ważne, żeby zachować czujność podczas codziennego korzystania z sieci. W atakach phishingowych cyberprzestępcy często sięgają po sprawdzoną i skuteczną metodę manipulacji – socjotechnikę.

– Socjotechnika to manipulacja emocjami użytkownika, by nakłonić go do określonego działania – np. podania hasła, kliknięcia linku, który przenosi na stronę przygotowaną przez cyberprzestępców czy zainstalowania podejrzanego oprogramowania. Często oszuści podszywają się pod zaufane instytucje, takie jak banki, urzędy, a nawet naszych znajomych – tłumaczy Anna Kwaśnik.

Jednym z najczęściej spotykanych i najprostszych scenariuszy, które obserwują eksperci z CERT Polska, jest masowe rozsyłanie wiadomości phishingowych na przypadkowe adresy e-mail. W takich kampaniach oszuści zazwyczaj podszywają się pod administratorów poczty elektronicznej – zarówno w nazwie nadawcy, jak i treści wiadomości – informując o rzekomych naruszeniach lub zablokowaniu konta. Tego typu wiadomości są często napisane niedbale, zawierają błędy językowe oraz próbują sprawiać wrażenie automatycznych powiadomień systemowych.

W ostatnim czasie zespół CSIRT NASK zaobserwował kampanię phishingową, w której oszuści podszywają się pod platformę Netflix.

2D6238E2 7C50 43A4 A1D9 683878432Df9 Technosenior

Użytkownik otrzymuje wiadomość mailową o nieuregulowanej płatności za subskrypcję. W treści znajduje się link prowadzący do fałszywej strony logowania, której celem jest wyłudzenie danych uwierzytelniających oraz informacji o karcie płatniczej.

Jak się bronić?

Najlepszą ochroną niezmiennie pozostaje zachowanie zdrowego rozsądku. Przed kliknięciem linku, otwarciem załącznika czy wpisaniem danych – warto się na moment zatrzymać.

W przypadku otrzymania podejrzanej wiadomości e-mail warto zwrócić szczególną uwagę na adres nadawcy – czy wygląda znajomo i poprawnie? Cyberprzestępcy często podszywają się pod znane firmy lub instytucje, używając adresów łudząco podobnych do prawdziwych – np. zamiast @bank.pl może być @bannk-pl.com. Należy też uważnie przeczytać treść wiadomości – oszustwa często zawierają błędy gramatyczne lub dziwne sformułowania.

Przed zalogowaniem się na jakiejkolwiek stronie upewnij się, że adres w przeglądarce zgadza się z oficjalną domeną serwisu. Zwracaj uwagę na literówki, dziwne znaki, końcówki domen (np. .net zamiast .gov.pl) i nazwę wyświetlaną obok adresu – może być fałszywa. Jeśli masz wątpliwości, wejdź na oficjalną stronę danej organizacji i porównaj dane kontaktowe. Nie ufaj wiadomości tylko dlatego, że „wygląda profesjonalnie”. Jeśli masz jakiekolwiek wątpliwości, wstrzymaj się z podawaniem danych i skontaktuj się z pomocą techniczną danej firmy albo zgłoś podejrzenie przez nasz formularz kontaktowy.

Zdrowy rozsądek to podstawa, ale warto sięgnąć także po dodatkowe zabezpieczenia.

Aby lepiej chronić się przed phishingiem, rozważ użycie menadżera haseł i ustaw go tak, by automatycznie wypełniał dane logowania. Dzięki temu, jeśli trafisz na fałszywą stronę – formularz nie zostanie uzupełniony.

Dodatkową warstwą bezpieczeństwa może być włączenie uwierzytelniania dwuskładnikowego (2FA). Choć nie zabezpiecza ono przed każdym rodzajem phishingu, to z pewnością utrudnia dostęp do konta w przypadku prostych ataków.

Warto również używać silnych, unikalnych haseł dla każdego serwisu – dzięki temu, nawet jeśli jedno z nich zostanie przechwycone, inne konta pozostaną bezpieczne.

Zobacz również

12 listopada 2024·3 min read

Galaxy Ring: teraz inteligentny pierścień zadba o Twoje zdrowie i samopoczucie

Pamiętaj o regularnym aktualizowaniu oprogramowania. Poprawki bezpieczeństwa chronią przed znanymi lukami. Chodzi tu zarówno o system operacyjny, jak i przeglądarki, aplikacje oraz programy antywirusowe. Zawsze korzystaj też z legalnego i aktualnego oprogramowania antywirusowego — nie instaluj „darmowych” wersji z niepewnych źródeł – mogą zawierać ukryte zagrożenia.

Co zrobić, jeśli doszło do wyłudzenia danych?

– Warto pamiętać, że bezpieczeństwo w sieci nie zależy wyłącznie od specjalistów – to nasza wspólna odpowiedzialność. Każdy z nas może przyczynić się do ograniczenia skali zagrożeń, zachowując ostrożność i informując innych o potencjalnych niebezpieczeństwach – mówi Anna Kwaśnik, ekspertka ds. budowania świadomości cyberbezpieczeństwa w NASK.

Nie zwlekaj – jak najszybciej skontaktuj się z administratorem usługi, której dane zostały przejęte i poinformuj o sytuacji. Choć CERT Polska nie może pomóc w odzyskaniu konta, zachęcamy do zgłoszenia incydentu za pomocą formularza. Przekazanie adresu podejrzanej strony pomoże nam w podjęciu działań blokujących zagrożenie i zabezpieczeniu innych użytkowników.

Widzisz coś podejrzanego w internecie – fałszywą stronę, podejrzany e-mail lub próbę wyłudzenia danych? Wejdź na incydent.cert.pl i wypełnij prosty formularz. To szybkie i dostępne dla każdego.
Dostałeś SMS z dziwnym linkiem? Wyślij go za darmo na numer 8080 – pomożesz zablokować zagrożenie i ostrzec innych.
Korzystasz z aplikacji mObywatel? Znajdziesz tam opcję „Bezpiecznie w sieci”, która podpowie Ci, jak łatwo zgłosić incydent.

Pamiętaj – w internecie obowiązują te same zasady co w realnym świecie: jeśli coś wygląda zbyt dobrze, żeby było prawdziwe – prawdopodobnie takie właśnie jest.