Phishing to jedna z metod oszustw w Internecie. Za jej pośrednictwem oszuści, podszywając się najczęściej pod jakąś firmę, instytucję lub osobę, wyłudzają dane osobiste jak np. numery kont bankowych i kart kredytowych czy dane do logowania w różnych serwisach internetowych.

Jak działa phishing?

Najczęściej spotykana forma phishingu to otrzymanie emaila z banku, dostawcy usług, z których korzystamy (np. prądu, internetu, wody), systemów do e-płatności (np. PayPal) czy innych instytucji (np. komornika, kuriera).

Wiadomości te zawierają najczęściej prośby o aktualizację, zatwierdzenie czy potwierdzenie naszych danych, często sugerując ich nieodwracalną utratę, zawieszenie lub zablokowanie konta czy inne problemy. W niektórych mailach odbiorca zostaje także wezwany do natychmiastowego uiszczenia opłaty, aby otrzymać zamówioną przesyłkę czy uniknąć egzekucji komorniczej. Aby nabrać prawdziwości, wiadomości phishingowe zawierają loga i obrazki związane z działalnością, pod którą podszywa się przestępca.

Fałszywe maile zawierają zazwyczaj link, w który nakazuje nam się kliknąć, lub załącznik, który należy pobrać i otworzyć.

Kliknięcie w link przekieruje nas na imitację legalnej strony internetowej, gdzie zostaniemy poproszeni o zalogowanie się do konta. Wprowadzone przez nas dane od razu trafiają do oszusta, który z kolei wykorzystuje je do kradzieży tożsamości, włamania do kont bankowych czy nawet sprzedaży naszych danych osobowych. Bardzo często zdarza się również, że oszust wykorzystując nasze konto mailowe, wysyła spam do innych użytkowników.

Kliknięcie natomiast w załącznik i pobranie go powoduje najczęściej zawirusowaniem komputera, a co za tym idzie kradzieżą znajdujących się na nich nie tylko danych osobowych, ale również zdjęć, wysłanych przez nas wiadomości czy zapisanych na nich danych do kont.

Sztuczki oszustów

Oszuści dokładają wszelkich starań, aby ich wiadomości wyglądały identycznie jak prawdziwe wiadomości firmy czy instytucji, pod którą się podszywają. Mowa tutaj nie tylko o konstrukcji danego maila, zawarcia odpowiednich stopek czy logo firmy, ale także samego adresu, z którego wysyłana jest wiadomość phishingowa.

Aby stworzyć przypominający wyglądem adres mail, często stosuje się znaki lub połączenia znaków, które przypominają daną literę. Przykładowo zamiast użycia w nazwie małej litery L –„l” używa się dużej litery i – „I”, które wyglądają niemal identycznie. Sprawa ma się podobnie z literą „g”, która zostaje zamieniana z małą literą Q – „q”, czy połączenia litery „r” i „n” – „rn”, by zamienić małą literę M – „m”. Często spotyka się również użycia podwójnego „v” – „vv”, by zamienić małe W – „w”, a nawet liter ze znakami diakrytycznymi – np. zamiast „i” użyte zostaje „ì” z kreską zamiast kropki.

Jak nie dać się złapać na haczyk?

Najlepszą metodą, aby nie dać się złapać na haczyki oszustów, jest nasza czujność oraz rozwaga. Nie klikajmy w linki załączone w mailach, nawet jeżeli w wiadomość grozi nam utrata konta lub jego zablokowanie.

Warto również zwrócić uwagę na błahą, jak może się wydać kwestię, jak ortografia oraz poprawna konstrukcja zdania. Większość oszustów nie posługuje się biegle językiem polskim i korzysta z tłumaczeń, które zawierają wiele błędów językowych.

Banki i instytucje finansowe nigdy nie wysyłają mailów z prośbą o zalogowanie się do konta czy wpisanie naszych danych, podobnie jak inne serwisy internetowe. Jeżeli nie jesteś pewien, skontaktuj się z oficjalnym administratorem strony poprzez infolinię, czy inną dostępną formę kontaktu, aby potwierdzić autentyczność otrzymanej wiadomości.

Jeżeli w mailu poproszono cię o podanie poufnych informacji na danej stronie internetowej, nigdy nie przechodź do niej poprzez załączony link, lecz zrób to ręcznie, wpisując adres w przeglądarkę. Dla oszustów nie stanowi żadnego wyzwania zmodyfikowanie treści linku tak, by pozornie wskazywał na autentyczną witrynę, gdy tak naprawdę prowadzi do nieautoryzowanej, podszywającej się strony.

Zawsze sprawdzaj, czy adres URL strony zaczyna się od „HTTPS”, a nie tylko „HTTP”, gdyż „S” oznacza „bezpieczeństwo”. Warto zwrócić na to uwagę, ponieważ większość legalnych witryn korzysta z protokołu HTTPS, gdyż jest on bardziej bezpieczny.

Pamiętaj, by nigdy nie przesyłać w wiadomości email żadnych danych osobistych, numerów kont bankowych oraz kart kredytowych, haseł oraz loginów do serwisów internetowych.

Warto również rozważyć opcję logowania dwuetapowego, które, chociaż na co dzień może być nieporęczne i denerwujące, jest w stanie uchronić nas przez dostaniem się do naszego konta, bez podania drugiego etapu logowania, którym najczęściej jest kod potwierdzający wysłany poprzez wiadomość sms.

[vc_facebook]

Materiał powstał w ramach projektu Stowarzyszenia Gazet Lokalnych z Polsko-Amerykańską Komisją Fulbrighta „Media bliżej ludzi”, finansowanego ze środków Departamentu Stanu USA