Phishing (password harvesting fishing) to metoda oszustwa w zakresie bezpieczeństwa osobistego użytkowników w sieci. Polega na tym, że przestępca podszywa się pod inną osobę lub instytucję, aby wyłudzić poufne informacje, zainfekować komputer szkodliwym oprogramowaniem lub nakłonić ofiarę do określonego działania. Celem phishingu może być m.in. zdobycie loginu i hasła do bankowości elektronicznej, czy danych karty kredytowej, a także poznanie tajemnic użytkownika. Przestępca stosujący phishing określany jest mianem phishera.
Phishing – co to?
Phishing to forma cyberprzestępczości, której celem jest wyłudzenie poufnych informacji. Oszuści działający w ten sposób wykorzystują fałszywe wiadomości e-mail, SMS-y, strony internetowe lub rozmowy telefoniczne, aby wzbudzić zaufanie ofiary i skłonić ją do ujawnienia wrażliwych danych. Zależy im przede wszystkim na danych do logowania do bankowości elektronicznej czy numerach kart płatniczych. Phishing opiera się na manipulacji psychologicznej i wykorzystaniu niewiedzy lub nieuwagi internauty. Metoda ta jest rodzajem SCAM-u, czyli oszustw polegających na budowaniu zaufania u ofiary w celu osiągnięcia korzyści np. finansowych.
Oszustwa w internecie, takie jak ataki phishingowe, są szczególnie niebezpieczne, ponieważ mogą prowadzić do utraty sporych sum pieniędzy, dostępu do kont bankowych lub innych systemów. Co gorsza, mogą także skutkować kradzieżą tożsamości i wyłudzeniem kredytów. W rezultacie ofiara phishingu może popaść w poważne problemy finansowe, a nawet zostać oskarżona o oszustwo, którego nie popełniła.
Phishing – przykłady
Phishing ma formę wiarygodnych komunikatów pochodzących rzekomo od banków, instytucji finansowych, platform zakupowych czy dostawców usług internetowych. Do najpopularniejszych sposobów działania phisherów należą m.in.:
- phishing z wykorzystywaniem wiadomości e-mail,
- phishing z wykorzystaniem stron internetowych i mechanizmów usług webowych,
- phishing z wykorzystaniem złośliwego oprogramowania,
- phishing z wykorzystaniem komunikatów internetowych,
- phishing za pośrednictwem ataków man-in-the-middle.
Phishing e-mailowy polega na wysyłaniu fałszywych e-maili, które do złudzenia przypominają wiadomości wysyłane przez zaufane instytucje, np. banki, firmy kurierskie czy platformy zakupowe. W takim e-mailu znajduje się link do strony imitującej oficjalną witrynę takiej instytucji, na której użytkownik ma podać swoje dane logowania lub inne poufne informacje.
Z kolei vishing to ataki phishingowe przeprowadzane telefonicznie. W tym przypadku oszust podszywa się pod pracownika banku, urzędu lub innej zaufanej osoby, aby nakłonić ofiarę do podania wrażliwych danych.
W przypadku złośliwego oprogramowania przestępcy instalują na urządzeniu ofiary (komputerze, tablecie, smartfonie) złośliwe oprogramowanie, takie jak keyloggery czy trojany, aby przechwycić cenne hasła czy dane kart płatniczych.
Do tego w parze z phishingiem najczęściej idzie carding. Jest to forma oszustwa finansowego, w której przestępcy wykorzystują skradzione dane kart płatniczych do dokonywania zakupu towarów lub usług online. Na początku zakupy, za które płacą oszuści, są niewielkie. W ten sposób przestępcy testują, czy dane karty są aktywne i działają prawidłowo. Kolejne transakcje mogą opiewać na dużo wyższe kwoty.
Jak rozpoznać phishing?
Rozpoznanie phishingu nie jest łatwe, ponieważ oszuści starają się, aby jak najlepiej podszyć się pod prawdziwe instytucje. Jest jednak kilka sygnałów, które świadczą o tym, że mamy do czynienia z cyberoszustami. Do najpowszechniejszych oznak phishingu należą:
- nieznany lub podejrzany link – kliknięcie linku prowadzącego do strony, której adres wygląda nietypowo (np. zawiera dodatkowe litery czy cyfry), może skutkować utratą danych,
- nieznany nadawca – wiadomość pochodzi od adresata, którego użytkownik nie kojarzy,
- błędy w wiadomości – za wiele oszustw phishingowych odpowiadają obcokrajowcy, którzy nie znają języka polskiego i polegają na internetowych tłumaczeniach, dlatego wiadomości zawierają błędy językowe, literówki lub niepoprawną gramatykę,
- poczucie pilności – oszuści często próbują wywołać presję czasową, np. grożąc blokadą konta, jeśli użytkownik natychmiast nie podejmie działania,
- prośba o dane osobowe – żadne wiarygodne instytucje nie proszą o poufne dane, takie jak hasła czy numery PIN, numery CVV/CVC przez e-mail lub telefon.
Gdzie zgłosić phishing?
Co zrobić, gdy zachodzi podejrzenie aktu typu phishingu? Można zgłosić to:
- do banku lub instytucji, pod którą podszywają się oszuści,
- CERT Polska – przyjmuje zgłoszenia dotyczące incydentów bezpieczeństwa w sieci, podejrzaną wiadomość można przesłać na adres: cert@cert.pl lub wysyłając SMS-a pod numer 8080.
- na policję – phishing jest przestępstwem, dlatego można zgłosić takie zdarzenie na najbliższym komisariacie policji,
- do dostawcy usług internetowych – zgłoszenie podejrzanych linków lub domen do dostawców usług internetowych może pomóc w ich zablokowaniu.
Podsumowanie: Phishing – na czym polega?
Czym jest phishing? Jest to groźna forma cyberprzestępczości, polegająca na wyłudzaniu poufnych danych. Aby je chronić, należy zachować czujność, unikać klikania w podejrzane linki oraz regularnie aktualizować oprogramowanie zabezpieczające. W razie podejrzenia oszustwa warto zgłosić incydent odpowiednim instytucjom, aby zminimalizować ryzyko strat i chronić innych użytkowników.