Phishing – jak rozpoznać i jak się bronić?

Każdy użytkownik – zarówno mniej lub bardziej zaawansowany – może stać się ofiarą phishingu. Jest to bardzo popularna metoda oszustwa w cyberprzestrzeni. Phishing jest prostym atakiem hakerskim polegającym ma wykorzystaniu błędów użytkownika lub jego niewiedzy.

Czym jest phishing?

Phishing jest próbą wyłudzenia prywatnych danych: hasła do kont bankowych, popularnych serwisów internetowych (Facebook lub Gmail), numery kart kredytowych czy konsoli administratorskich. Atak nie wymaga szukania luk w zabezpieczeniach, ani posiadania zaawansowanej wiedzy technicznej. Polega na podszyciu się pod inną osobę lub znane instytucje. Zazwyczaj hakerzy wysyłają e-maile, w których proszą o wejście na podaną stronę, na której użytkownik ma zaktualizować hasło czy podać numer karty kredytowej. Oczywiście ta strona jest fałszywa, choć wygląda łudząco podobna do prawdziwej.

Rodzaje phishingu:

• Spear phishing

  - atak spersonalizowany pod konkretną osobę lub firmę. Najbardziej efektywna technika phishingu ze względu na duże przygotowanie poprzez zebranie cennych informacji na temat ofiary.

• Clone phishing

  - klonowanie prawdziwej wiadomości e-mail i zastąpienie prawdziwego linku tym złośliwym.

• Whaling

  - atak skierowany w szczególności do kierownictwa wyższego szczebla i innych ważnych celów z branży biznesowej

• Brand phishing

  - podszywanie się pod firmę, świadczącą usługi dla atakowanej firmy

• Spoofing

  - fałszowanie domen. Oszuści podszywają się pod istniejącą domenę, ale adres e-mail wyglądał jak oryginalna wiadomość od danej instytucji

• Smishing

  - wykorzystanie wiadomości SMS zawierającej złośliwy link

Jak bronić się przed phishingiem?

• W Sieci stosuj zasadę ograniczonego zaufania. Nie należy klikać podejrzanych linków i pobierać plików z nieznanych źródeł. Zbadaj z dokładnością wiarygodność danej wiadomości.
• Uważaj na wiadomości pilne i wzbudzające ciekawość np. masz tylko kilka minut na odebranie nagrody. Takie e-maile zachęcają do szybkiego i nieprzemyślanego reagowania.
• Nie udostępniaj innym osobom Twoich haseł i loginów – pod żadnym pozorem.
• Zwróć uwagę na poprawność gramatyczną, interpunkcyjną i błędy ortograficzne. Fałszywe wiadomości często zawierają nie poprawną pisownie.
• Sprawdź dane nadawcy wiadomości. Adresy mailowe mogą delikatnie różnić się od prawdziwych. Mogą zawierać literówkę lub nie pełną nazwę firmy czy instytucji.
• Przyjrzyj się dokładnie treści wiadomości. Zdarza się, że oszuści zastępują np. literę „I” cyfrą „1”, a literę „O” cyfrą „0”.
• Jeśli masz jakieś wątpliwości co do prawdziwości otrzymanej wiadomości, skontaktuj się niezwłocznie z daną firmą czy instytucją. Otrzymasz informację, czy rzeczywiście został wysłany do Ciebie mail.
• Odwiedzając stronę internetową banku czy instytucji upewnij się, czy zawiera zieloną kłódkę obok adresu strony.
• Wiadomość od znajomych zawiera prośbę o pieniądze? Bądź ostrożny – ich konto mogło zostać zhakowane. Dotyczy to głównie serwisów społecznościowych.
• Nie odpowiadaj na maile, dotyczące prośby o podanie loginu i hasła.
• Zadbaj o bezpieczeństwo swoich kont. Włącz uwierzytelnienie dwuskładnikowe tam, gdzie to możliwe. Korzystaj także z menedżera haseł.
• Zadbaj o bezpieczeństwo swoich kont. Włącz uwierzytelnienie dwuskładnikowe tam, gdzie to możliwe. Korzystaj także z menedżera haseł.
• Zawsze korzystaj z najnowszej wersji przeglądarki internetowej oraz na bieżąco aktualizuj komputer. Możesz także zabezpieczyć swój komputer oprogramowaniem antywirusowym.

Najlepszym zabezpieczeniem przed phishingiem jest rozważne korzystanie z Internetu.