Strona używa cookies. Jeśli nie wyrażasz zgody na używanie cookies, zawsze możesz wyłączyć ich obsługę w swojej przeglądarce internetowej. Polityka Cookies Akceptuję

Poławianie w sieci, czyli jak nie dać się phishingowi

Twój biznes
|
13.09.2021

Przestępstwa w Internecie przybierają w ostatnim czasie tak wysublimowane formy, że trudno się przed nimi chronić nawet zaznajomionym z tematem osobom, a co dopiero nieświadomym zagrożenia laikom. Sprawdź, jakie są aktualne sposoby na bezpieczeństwo w sieci i nie daj się złowić oszustom.

oszustwo w internecie
Cyberprzestępcy mają coraz bardziej wyszukane metody

ZOBACZ TAKŻE:

Bezpieczne zakupy w sieci – o czym powinieneś wiedzieć?

Czym jest phishing i dlaczego wciąż jest skuteczny?

Co rusz mamy do czynienia z oświadczeniami banków i różnych instytucji, które odżegnują się od rzekomo wysyłanych przez nie wiadomości do swoich klientów z prośbami o podanie danych. To chyba najbardziej powszechna metoda na nielegalne pozyskanie informacji, która z automatu powinna zapalać u każdego czerwoną lampkę. Phishing to nic innego, jak sposób oszustwa polegający na podszywaniu się pod daną osobę czy instytucję, mający na celu wyłudzenie informacji. Najczęściej chodzi oczywiście o dane umożliwiające cyberprzestępstwo kradzieży pieniędzy z konta, ale czasami także o pozyskanie czegoś, dzięki czemu można zastosować szantaż i nakłonić ofiarę do określonego działania.

Wydawać by się mogło, że każdy z nas jest już na tyle świadomym użytkownikiem sieci, że żadne działania cyberprzestępców nie są w stanie na nas podziałać. Oczywiście, każdy ignoruje maile od rzekomych mieszkańców Afryki czy jest wyczulony na wiadomości z dziwnie wyglądającymi linkami, jednak współczesne formy phishingu są w stanie uśpić czujność nawet najostrożniejszych użytkowników sieci. Metoda ta bazuje bowiem na zaufaniu. Cyberprzestępcy coraz częściej podszywają się nie tylko pod banki i instytucje, ale także pod naszych znajomych. Wiadomość z prośbą o pomoc finansową wysłana przez przyjaciela na portalu społecznościowym może, ale nie zawsze musi wzbudzić naszą czujność. Zwłaszcza, jeśli jest napisana w podobnym do znanego nam stylu.

Popularne jest także działanie na emocjach i próba wzbudzenia paniki czy przedstawianie powagi sytuacji. Nietrudno w końcu kliknąć w wysłany link, kiedy ktoś grozi nam zablokowaniem konta i tym podobnymi konsekwencjami. Poza tym phishing to już nie tylko działanie „na oślep” przez przestępców i wiara w złowienie kilku naiwniaków. Obecnie są to długofalowe działania i pieczołowicie przygotowywane intrygi.

Phishing niejedno ma imię

Ofiarą phishingu może paść nie tylko grono przypadkowych osób, do których wysłano wiadomości z prośbą o udostępnienie danych, ale często na celowniku jest konkretna osoba lub firma. I takie spersonalizowane ataki, noszące nazwę spear phishingu są obecnie najskuteczniejsze. Oszustwo jest poprzedzone długotrwałym zbieraniem informacji na temat ofiary, by ostateczny atak miał jak największe szanse powodzenia.

Moja znajoma prowadząca w Polsce kilka sklepów z damskimi torebkami sprowadzanymi z Włoch padła ofiarą właśnie takiego dokładnie przemyślanego przestępstwa. Prowadziła korespondencję z dobrze znanym sobie dostawcą, u którego już niejednokrotnie zamawiała towar i który cieszył się jej dużym zaufaniem. Ostatnia jego wiadomość przed przelewem za wysłane zamówienie dotyczyła zmiany numeru konta, na którym miały wylądować pieniądze, okraszona przekonującym wyjaśnieniem o kwestiach podatkowych. Mail zawierał w treści całą dotychczasową korespondencję i stanowił odpowiedź na ostatnią wiadomość. Jak nietrudno się domyślić finału, przelew został wysłany, ale do prawdziwego odbiorcy nigdy nie dotarł. Kiedy wiadomościom zaczęli się przyglądać specjaliści, okazało się, że o ile w polu nadawcy zgadzało się imię i nazwisko, o tyle po kliknięciu i rozwinięciu adresu mailowego jedną literą różniła się domena adresata. Prawda, że w takich okolicznościach chyba każdy dałby się na to złowić? Co prawda, oszust nie pozyskał danych od ofiary, ale opisywana metoda jest bardzo popularna także wśród phisherów.

Innym rodzajem tego popularnego przestępstwa jest tak zwany clone phishing, który niewiele ustępuje poprzedniemu w kwestii skuteczności. Polega on na wysyłaniu do odbiorców wiadomości identycznej, jaką otrzymał od zaufanej instytucji czy nadawcy z podmienionymi na złośliwe załącznikami lub linkami. To podobna sytuacja do opisanej wcześniej, gdyż adres mailowy także do złudzenia przypomina ten oryginalny. Dlatego tak ważne jest, by dokładnie przyglądać się temu polu w wiadomościach, które wzbudzają nasze wątpliwości co do wiarygodności.

Ofiarą phishingu możesz paść nie tylko jako osoba prywatna, ale także w ramach wykonywania obowiązków służbowych. Ten rodzaj ataków cyberprzestępców jest określony mianem whalingu i dotyczy najczęściej osób zajmujących ważne stanowiska w instytucji. To także atak wymierzony w konkretną osobę (najczęściej decyzyjną) i pod nią przygotowywany. Metoda ta bazuje najczęściej na problemach wykonawczych i przybiera postać na przykład wezwań do zapłaty. Wiadomość do złudzenia przypomina mail pochodzący od przedstawiciela urzędu czy działającej na rynku firmy. Oszustwo ma na celu wywołać u odbiorcy silne emocje związane z powstałym dla firmy problemem, pod wpływem których kliknie w złośliwy załącznik, by wyświetlić zawartość rzekomego wezwania do zapłaty czy innego dokumentu. Tym ważniejsze jest zachowanie w takich okolicznościach zdrowego rozsądku i nie robienie niczego pochopnie.

Jak nie paść ofiarą phishingu?

Dużo zostało już powiedziane o metodach phishingu i na podstawie tego można wyciągnąć pewne istotne wnioski co do tego, jak chronić się przed cyberprzestępcami. Niestety, wykrywalność takich oszustw jest niewielka, gdyż w sieci próżno po nich później szukać śladów. Tym istotniejsza jest zatem odpowiednia ochrona prewencyjna – z jednej strony polegająca na uważności, a z drugiej na pewnych konkretnych działaniach technicznych. W końcu komputery i przeglądarki również posiadają swoje zabezpieczenia, z których należy korzystać. Poniżej znajdziesz 10 sposobów na to, jak chronić się przed phishingiem:

1. Po pierwsze i najważniejsze: wzmożona uważność i zdrowy rozsądek

Banki i inne instytucje stale informują w komunikatach, że NIGDY nie proszą swoich klientów o podanie danych do logowania – ani za pomocą poczty elektronicznej, ani telefonicznie. Ignoruj także wiadomości z podejrzanymi linkami kierującymi do stron do logowania. Banki zawsze korzystają z certyfikowanego bezpiecznego połączenia HTTPS, które musi być widoczne w adresie strony logowania. Często w przeglądarkach widnieje tam także ikonka zielonej kłódki. Jeśli otrzymałeś wiadomość od pozornie znanej ci instytucji z linkiem do logowania, zamiast z niego skorzystać, wpisz ręcznie w przeglądarce znany ci adres logowania.

2. Nie ignoruj aktualizacji przeglądarek

One także posiadają wbudowane zabezpieczenia, chroniące cię przed atakiem oszustów i szkodliwym oprogramowaniem. Ich najnowsze wersje są wzbogacane o kolejne, skuteczniejsze zapory i zabezpieczenia, stanowiące odpowiedź na coraz to nowe rodzaje przestępstw w sieci.

3. Sprawdzaj otrzymane adresy stron internetowych zanim zdecydujesz się kliknąć

Nazwa firmy czy instytucji w linku może różnić się tylko jedną literą i na pierwszy rzut oka wyglądać bardzo wiarygodnie.

4. Zawsze aktualizuj programy antywirusowe i włącz zaporę firewall

Podobnie jak zabezpieczenia przeglądarek – stale są one wzbogacane o nowe formy zabezpieczeń i ostrzegają, czy dana witryna jest godna zaufania. To bardzo ważne, gdyż nawet jeśli pochopnie sam klikniesz w złośliwy link, próbę ataku może udaremnić za ciebie narzędzie.

5. Nie zapisuj haseł w przeglądarce

Choć to wygodne, unikaj zapamiętywania i automatycznego uzupełniania haseł do ważnych witryn, jak na przykład strona bankowości internetowej. Skoro już o tym mowa, zmieniaj hasła często i dbaj o to, by były jak najbardziej skomplikowane. W tym celu możesz skorzystać z szyfrującego programu do przechowywania haseł, by skomplikowanych kombinacji znaków nie musieć trzymać w pamięci.

6. Wyloguj się

Po skorzystaniu ze strony banku czy instytucji zawsze się wyloguj przed zamknięciem przeglądarki, zwłaszcza, gdy nie korzystałeś ze swojego osobistego komputera.

7. Nie loguj się korzystając z otwartego wi-fi

Unikaj logowania do ważnych witryn w miejscach publicznych, gdzie korzystasz z hotspota.

8. Bądź podejrzliwy

Ignoruj podejrzane wiadomości mailowe lub weryfikuj ich prawdziwość u źródła, na przykład telefonicznie. Wiele zdradzić może także niepoprawny styl tekstu i wszelkie błędy, na które poważne instytucje z pewnością by sobie nie pozwoliły w oficjalnej korespondencji.

9. Nie podawaj danych

Firmy i instytucje nie proszą o weryfikowanie danych drogą mailową poprzez ich podawanie, dlatego takie prośby najlepiej ignorować i zgłaszać zainteresowanym podmiotom, pod które ktoś się podszywa.

10. Włącz filtrowanie wiadomości w poczcie

Oczywiście czasami może się zdarzyć, że w folderze SPAM wylądują także istotne maile, dlatego przed jego opróżnieniem sprawdź korespondencję. Skoro jednak dana treść się w nim znalazła, na pewno uważniej i ostrożniej podejdziesz do jej analizy.

Bezpieczeństwa w sieci niestety nie są dziś w stanie zapewnić nam same urządzenia i oprogramowania. Rozwój cyberprzestępczości jest tak szybki, a formy coraz bardziej wyrafinowane, że techniczne zapory często za nimi nie nadążają. Dlatego tak ważne jest zachowanie wzmożonej ostrożności, gdyż głównie to my sami jesteśmy w stanie stanowić dla siebie najlepszą ochronę przed oszustwem.

Krzysztof Marski

Wejdź na FORUM!
Linki artykułu
Kopiuj link:
Skopiowano do schowka

Wklej link na stronę:
Skopiowano do schowka

ARTYKUŁY POWIĄZANE

Jak bezpiecznie zainwestować?
Jak bezpiecznie zainwestować?
Za darmo, ale legalnie
Za darmo, ale legalnie
Praca zdalna – jak ją dobrze zorganizować?
Praca zdalna – jak ją dobrze zorganizować?
20 rad dla startującego przedsiębiorcy
20 rad dla startującego przedsiębiorcy
Biznes w chmurze, czyli co ci daje cloud computing
Biznes w chmurze, czyli co ci daje cloud computing
Inwestuj z fantazją
Inwestuj z fantazją

 

Komentarze (0) / skomentuj / zobacz wszystkie