Co to jest  phishing i jak nie dać się oszukać?

Jedno nieprzemyślane kliknięcie w link i katastrofa gotowa. Phishing to popularny sposób działania cyberprzestępców.  Nie bez kozery, angielska nazwa tej metody ma kojarzyć się ze słowem „fishing” oznaczającym łowienie ryb. Co robić, aby nie stać się rybą chwytającą przynętę razem z haczykiem?  

Udają banki, urzędy, dobroczyńców

Podszywają się pod banki, kurierów, operatorów telefonii komórkowej, dostawców Internetu, dystrybutorów energii lub gazu ziemnego. Cyberprzestępcy próbują wyłudzić nasze dane logowania do bankowości elektronicznej albo kont w mediach społecznościowych.

Zaczynają od wiadomości

Metoda działania jest prosta. Otrzymujemy email, wiadomość przez komunikator społecznościowy albo SMS o wyglądzie niemal bliźniaczym do oryginalnych wiadomości bankowych lub pochodzących od innych usługodawców. Często wiadomość sugeruje, że nadawcą jest urząd administracji publicznej. Bez zastanowienia klikamy w podany tam link i nieszczęście gotowe. Sytuacja dotyczyć może nas prywatnie, nas jako pracownika, nas jako właściciela firmy.

Co zrobić, aby nie paść ofiarą oszustów?

Dobrze się zastanów. Postaw sobie pytania:  

  • czy jestem klientem tego banku, tej sieci, tego dostawcy itp.?
  • czy składałem jakiś wniosek?
  • czy zamawiałem coś w ostatnim czasie za pośrednictwem tej firmy kurierskiej, a nawet jeśli tak to w jaki sposób miałaby powstać ta niedopłata; czy to realne?
  • czy uczestniczyłem w grze, aby teraz ktoś informował mnie o wygranej?
  • czy znam osobę która do mnie pisze i przedstawia się jako „znajomy z ławy szkolnej”?

Oczywiście tego typu pytania można mnożyć – wynikają one zwykłego logicznego myślenia.

O czym warto pamiętać?

  • Żaden bank, sąd, urząd skarbowy ani inna instytucja publiczna nie będzie wzywać cię smsem albo emailem do dokonania płatności wraz z jednoczesnym podaniem linka do płatności.
  • Dokładnie obejrzyj wiadomość. Często będzie zawierać błędy składniowe, podejrzany numer nadawcy albo dziwny adres internetowy.  Na przykład: jeśli prawdziwy adres banku PKO brzmi „www.pkobp.pl”, to z jakiej racji w adresie nadawcy widnieje domena (a więc adres internetowy) „prawie” jak oryginalna, np. „pkobp-bankonline.pl”?
  • Zwróć uwagę na kierowany do Ciebie zwrot, który jest podejrzanie uniwersalny, jak np. „Szanowny kolego”, „Drogi kliencie” itp.
  • Przeanalizuj, czy wiadomość nie zawiera ponaglenia mającego Cię zmotywować do szybkiego działania, jak np.: „Przejdź do płatności, aby uniknąć odsetek”, „Dopłać do przesyłki 80 gr., aby uniknąć konsekwencji”, „Masz tylko 24 godziny na reakcję” itp.
  • Nie bierz udziału w podejrzanych konkursach. Zastanów się, dlaczego ktoś miałby podarować Ci drogi telefon, ponieważ akurat tak się złożyło, że ponoć jesteś milionowym gościem na jego stronie?

Masz wątpliwości – nic nie rób

Jeśli masz jakiekolwiek wątpliwości, niczego nie klikaj. Zawsze możesz osobiście (lub korzystając z oficjalnej infolinii) skontaktować się z urzędem, firmą, bankiem i zapytać o tę rzekomą sprawę.

Jeśli prowadzisz firmę, porozmawiaj na temat phishingu z pracownikami – oni przecież korzystają ze służbowych emaili, komputerów oraz telefonów.

Pomóż starszym zrozumieć

Jeżeli jesteś młodym człowiekiem doskonale orientującym się w metodach działania cyberprzestępców, przeprowadź prewencyjną rozmowę z rodzicami i dziadkami.

Warto zapamiętać

  • Jeśli zauważyłeś próbę nieuczciwych działań, wejdź na stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska (Zespół CERT Polska działa w strukturach NASK  -Naukowej i Akademickiej Sieci Komputerowej)  https://incydent.cert.pl/, wypełnij krótki formularz online i wyślij.  
  • Jeśli stałeś się ofiarą przestępstwa – powiadom policję.
  • Wszystkie podejrzane wiadomości SMS z linkami można zgłosić CERT Polska używając funkcji „Przekaż”, bezpośrednio na numer: 799-448-084