Uważaj na phishing, czyli największe niebezpieczeństwo w Internecie

Czy wiedziałeś, że sam możesz wpakować się w poważne problemy, logując się na zaufaną platformę? Wyobraź sobie, że otrzymujesz wiadomość e-mail od największej giełdy kryptowalut, na której konto masz od lat. Z przyzwyczajenia, od razu klikasz w link, który miał Cię przekierować na stronę logowania. Gdy niczego nieświadomy podajesz tam swoje dane, okazuje się, że Twój portfel jest pusty — padłeś ofiarą phishingu. Cyberprzestępcy stworzyli fałszywą stronę, dzięki której sam przekazałeś im dostęp do swoich środków.

Jest to realny problem, który dotyka coraz więcej osób. Przestępcy za nieświadomą zgodą swojej ofiary mogą zdobyć dostęp do jej wszystkich danych, takich jak hasła oraz loginy. 

Jak rozpoznać phishing?

Phishing występuje pod wieloma postaciami, mogą to być fałszywe wiadomości e-mail lub SMS, fałszywe strony internetowe oraz spear phishing. “W swoich wiadomościach wykorzystują inżynierię społeczną i inne techniki manipulacji, które skłaniają ofiarę do podjęcia różnych, często nieracjonalnych działań” – podano na oficjalnej stronie gov.pl.

Wspomniany spear phishing jest najbardziej wyrafinowaną metodą oszustów, jednak nie jest jeszcze wystarczająco rozpoznawalny. Są to dokładniej spersonalizowane wiadomości, sprawiające wrażenie autentycznych (np. stosowanie nagłówka w mailu: “Cześć Piotrek, tutaj Adam”). Oszuści, stosując tę technikę, podszywają się pod Twoich dalszych znajomych (pozyskując uprzednio informacje np. z Facebooka czy Instagrama). Podszywają się również pod zaufane instytucje, z których korzystasz na co dzień (np. bank, giełda kryptowalut) pisząc wiadomości czy kontaktując się telefonicznie. Systematycznie zbierają o Tobie najważniejsze informacje, aby przygotować spersonalizowaną wiadomość, której celem jest wyłudzenie poufnych danych (haseł, loginów do kont bankowych lub giełdowych, tajemnic handlowych), a następnie kradzież pieniędzy.

Skutkiem działań oszustów internetowych stosujących phishing, niezależnie od jego formy jest wyciągnięcie od ofiary jak największej ilości prywatnych danych, w celu finalnej kradzieży jej środków.

Phishing w praktyce

Hakerzy w ostatnim czasie tworzą coraz więcej pułapek wyglądających jak znane platformy z branży krypto. Przykładem może być ukazany poniżej łudząco przypominający autentyczny adres giełdy kryptowalut Binance, czyli binance.com. Dopiero po przyjrzeniu się możesz zauważyć dodatkowe kropki w adresie, który prowadzi do phishingowej strony. Warto dodać, że na pierwszy rzut oka strony oszustów wyglądają tak samo jak te, na których były wzorowane.

Źródło: Reddit @u/Games_sans_frontiers

Źródło: Binance.com

Powyższa grafika przedstawia przykładowe adresy stron phishingowych podszywających się pod giełdę Binance. Zwróć uwagę na to, że część podanych adresów wygląda, jakby mogły być stworzone przez oficjalną platformę, reszta z nich posiada jedynie literówki. Oszuści, tworząc stronę phishingową, wykupują zazwyczaj domenę różniącą się nieznacznie od tej autentycznej, z nadzieją na to, że nikt tego nie zauważy. Ten typ cyberataku w przeciwieństwie do spear phishingu skierowany jest do większej grupy odbiorczej. 

Podczas logowania się na portale społecznościowe oraz platformy internetowe weryfikuj dokładnie czy adres domeny jest poprawny. To samo dotyczy wiadomości SMS lub e-mail zawierających linki, które otrzymujesz od znajomych lub instytucji.

Skala problemu — Czy mnie również to dotyczy?

CERT (Computer Emergency Response Team) to pierwszy w Polsce zespół reagowania na incydenty bezpieczeństwa komputerowego działający w ramach NASK (Naukowa i Akademicka Sieć Komputerów). Jest odpowiedzialny za bezpieczeństwo w Internecie.

W 2021 roku eksperci z polskiego NASK zarejestrowali ponad 110 tysięcy zgłoszeń, dotyczących internetowego oszustwa. Wiadomo, że większość przypadków dotyczyła phishingu — najpopularniejszego rodzaju oszustwa internetowego w ostatnich latach. 

Liczba incydentów, które zaklasyfikowano jako phishing, w porównaniu do poprzedniego roku (2020 r.) wzrosła o 196%. Należy przy tym pamiętać, że może to być niepełny obraz sytuacji, ponieważ nie każdy przypadek oszustwa jest zgłaszany lub raportowany. 

Te wyniki idealnie obrazują, jak prędko rozrasta się branża przestępcza. Oznacza to, że każda osoba korzystająca z Internetu jest narażona na tego typu pułapki.

Kampania “Nie pie(p)rz” — Jak zabezpieczyć się przed phishingiem?

Jak powiedział Piotr Belniak z CERT “sposobów na oszustwa przybywa, a akcje cyberprzestępców stały się o wiele bardziej masowe”. Właśnie dlatego Kanga Exchange prowadzi kampanię społeczną “Nie pie(p)rz” i za jej pośrednictwem edukuje o tym, jak ustrzec się przed uwikłaniem w proceder prania pieniędzy i przed internetowymi oszustwami. Z artykułów blogowych giełdy dowiesz się jeszcze więcej o bezpieczeństwie w Internecie.

Pamiętaj, że najlepszą bronią, którą możesz posługiwać się w walce z hakerami, jest wiedza oraz ograniczone zaufanie. Uważnie czytaj wiadomości, które otrzymujesz, sprawdzaj, czy w adresach stron, na których się logujesz, nie ma błędów, a także zaopatrz się w oprogramowanie antywirusowe.

Zuzanna Kwiecień