Nie daj złapać się na haczyk

Phishing to słowo, które na pierwszy rzut oka może nam niewiele mówić, a jednak za tym określeniem kryją się oszustwa internetowe, z którymi mniej lub bardziej świadomie spotkał się już prawie każdy z nas. CSIRT NASK, zespół reagowania na incydenty cyberbezpieczeństwa, zarejestrował w 2019 roku 6484 incydenty, wśród których 4100 było atakami typu ,,fraud”, czyli oszustw internetowych.

Phishing to jeden z najpopularniejszych typów ataków opartych na wiadomości e-mail, SMS lub coraz częściej na portalach społecznościowych. Bazuje na najsłabszym ogniwie, jakim jest człowiek. Nazwa phishing budzi dźwiękowe skojarzenia ze słowem fishing, czyli z angielskiego łowieniem ryb. Przestępcy, podobnie jak wędkarze, stosują odpowiednią ,,przynętę”, na którą łapią swoje ofiary. Do tego wykorzystują najczęściej sfałszowane e-maile i SMS-y czy wiadomości na portalach społecznościowych, w które, ku zadowoleniu hakerów, wchodzimy bez większego zastanowienia. Atak phishingowy to oszustwo, w ramach którego haker próbuje wyłudzić podstępem od niczego niespodziewających się użytkowników loginy, numery kart kredytowych, wrażliwe dane firmowe albo zainfekować ich komputery wirusami, które następnie mogą wysyłać wiadomości wyłudzające dane od naszych znajomych na portalach społecznościowych.

– Najczęściej za atakami phishingowymi stoją boty, oprogramowania czy serwery. Często jest tak, że po tej drugiej stronie nie ma człowieka. Ktoś to wcześniej wymyślił, uruchomił i teraz zbiera żniwo – mówi Rafał Skoczylas, st. asp. Z Komendy Miejskiej Policji w Koszalinie. – Kampanie phishingowe mogą być dedykowane, czyli wtedy mamy do czynienia ze spearpshingiem, mogą być długo- lub krótkotrwałe. Zdarzają się sytuacje, że osoba, która tę kampanię wymyśliła już dawno, przebywa w areszcie – dodaje.

Pandemia sprawiła, że aktywność bylismy zmuszeni przenieść do sieci i kontaktowaliśmy się ze światem przy pomocy telefonów czy komputerów, przez takie działania phishing tylko zyskał na popularności. Skalę tego niepokojącego zjawiska ujawnia badanie, które przeprowadził Krajowy Rejestr Długów wraz z serwisem chronPESEL.pl. Ankieta wskazuje, że 24 proc. osób natknęło się na phishing. Ankietowani przyznali, że w trakcie rozmowy przez telefon najczęściej pojawiały się próby wyłudzenia danych do bankowości elektronicznej. Rzekomi pracownicy banków starali się uzyskać numer PESEL, serię dowodu osobistego lub inne informacje przypisane do naszego konta – z takimi przypadkami spotkało się aż 52 proc. ankietowanych. W raporcie podkreślono, że aż 18 proc. takich przypadków dotyczyło banku, w którym rozmówca nawet nie miał konta. Co zaskakujące, największa grupa osób (przeszło 29 proc.), która mogłaby przekazać dane do logowania, to ludzie młodzi między 18. a 24. rokiem życia. Rafał Skoczylas mówi, że to efekt większej aktywności w sieci właśnie młodych ludzi, którzy znacznie częściej korzystają ze smartfonów, maili, komputerów, niż ludzie starsi. – Aby mogło dojść do oszustw internetowych, jest potrzebny dostęp do internetu, komputera czy smartfona, z których osoby starsze korzystają, ale w znacznie mniejszym stopniu niż tacy ludzie młodzi. Spotkałem się z tym, że jeżeli starsze osoby mają już komputer, to korzystają z niego głównie do robienia opłat czy przeglądania gazet. Często mają stworzoną przez wnuczka jedną zakładkę tak, by nie musieli dodatkowo przeszukiwać internetu. Przez to, że nie korzystają tak aktywnie z internetu, przynęta w postaci phishingu do nich nie trafia i nie dają się złapać na ten cyberhaczyk – zaznacza Rafał Skoczylas.

Spostrzegawczość i wstrzemięźliwość
Sposób działania oszustów internetowych jest bardzo prosty. Najczęściej przestępcy podszywają się pod znane, zaufane instytucje. Dla sprawnie zorganizowanych grup oszustów nie jest żadnym problemem przygotowanie strony internetowej, która do złudzenia przypomina tę należącą np. do banku czy do operatora telefonicznego. Naszą uwagę powinien przykuć adres zamieszczony w e-mailu. W wiadomości od oszustów na pewno coś się w nim nie będzie zgadzać. Zazwyczaj jest to drobny szczegół, który trudno na pierwszy rzut oka zauważyć, może to być brak kropki lub niepotrzebny myślnik. Takie działanie ma nas przekonać, że odwiedzamy stronę, którą dobrze znamy. Przestępcy starają się, aby e-mail wyglądał bardzo wiarygodnie i najczęściej proszą w nim w imieniu banku, abyśmy zalogowali się do konta. Oczywiście, nie logujemy się na właściwej stronie banku, chociaż do złudzenia może ona przypominać znaną nam stronę, ale w programie złodzieja. W ten sposób dajemy mu klucze do naszego konta i do naszych pieniędzy.

Nowszą formą phishingu jest przejmowanie kont na portalach społecznościowych. Dzięki temu przestępcy mogą naszym znajomym wysłać szkodliwe oprogramowanie, które zagnieździ się na ich komputerach i zdobędzie dla złodziei potrzebne im informacje. Dokładnie na tej samej zasadzie działają fałszywe maile, które trafiają do naszych skrzynek. Wiadomości phishingowe są tak skonstruowane, że mogą próbować skłonić nas do ujawnienia poufnych informacji. Wystarczy jedna chwila, abyśmy oszustowi bez zastanowienia podali nasze dane. Według Rafała Skoczylasa wynika to z tego, że mamy błędny obraz takiego oszusta. – Istnieje przekonanie wśród ludzi, że przestępca, ,,haker” wykonuje skomplikowane czynności informatyczne, matematyczne i w ten sposób przełamuje zabezpieczenie, które mamy w bankach czy na komputerach. Wydaje nam się, że jest to niezależne od nas, że nie mamy na to wpływu. A tak naprawdę 99% tych cyberprzestępstw polega na tym, że to my przekazujemy nasze dane takie jak hasła, konta, piny, wysyłamy zdjęcia dowodu, informujemy o wszystkich danych adresowych. Dużo ludzi uważa, że przed tymi ,,hakerskimi” sztuczkami nie szans się zabezpieczyć albo sądzi, że program antywirusowy ich w zupełności ochroni. Prawda jest taka, że faktycznie komputer jest chroniony, ale w chwili kiedy sami instalujemy złośliwe oprogramowanie, klikamy i wyrażamy zgodę na zainstalowanie nieznanego nam oprogramowania, to nawet antywirus jest bezradny – mówi.

Wstrzemięźliwość to słowo, które powinno być dobrze zapamiętane przez wszystkich użytkowników internetu. To właśnie umiar w ciekawości może uchronić nas przed niepotrzebnym zainstalowaniem złośliwego oprogramowania. Starajmy się nie klikać bez zastanowienia w linki, nawet te od naszych znajomych, bo wystarczy tylko chwila, byśmy stracili wiele.  Dopóki nie mamy pewności, że nadawca jest prawdziwy, nie powinniśmy klikać w żadne linki ani na nie odpowiadać.

Dość szerokim echem odbiła się historia Polskiego przestępcy, który znany jest pod pseudonimami ,,Thomas”, ,,Armaged0n”. Udało mu się przez ponad sześć lat oszukiwać polskich internautów. – Thomas operował zdalnie z Belgii, ale w końcu udało się go złapać. Co było tak naprawdę kwestią czasu (postawiono mu 181 zarzutów). Wśród oszustów internetowych może panować przekonanie, że są oni bezpieczni i anonimowi w sieci. Warto jednak pamiętać, że każda nasza działalność w internecie zostawia ślad. Często kwestią czasu jest, kiedy ktoś zostanie złapany – mówi Rafał Skoczylas.

Haczyk połknięty, co teraz!?
Pamiętajmy o tym, aby zawsze uważać, gdzie podajemy nasze dane osobowe. Nigdy nie publikujmy też na portalach społecznościowych zdjęć naszych dokumentów i podpisywanych umów. Nie wysyłajmy również ich skanów i zdjęć bez zasłonięcia takich danych jak numer i seria dowodu, PESEL. Jeśli zauważysz podejrzanego e-maila, oznacz go w skrzynce odbiorczej jako spam lub wiadomości śmieci lub podejrzany. Spowoduje to usunięcie go ze skrzynki odbiorczej, a także poinformuje dostawcę poczty e-mail, że zidentyfikowałeś go jako potencjalnie niebezpieczny. Co zrobić, jeśli jednak daliśmy się oszukać? Rafał Skoczylas zaznacza, że są różne rozwiązania w zależności od rodzaju phishingu. – W dużym skrócie, jeśli podejrzewamy, że staliśmy się ofiarą oszustwa internetowego, w pierwszej kolejności powinniśmy skontaktować się z bankiem. Jeśli mamy podejrzenie, że pobraliśmy złośliwe oprogramowanie na swój smartfon czy komputer, to powinniśmy udać się do jakiegoś specjalisty, informatyka. Są różnego rodzaju serwisy, które nam sprawdzą dokładnie urządzenia – zaznacza. Dodatkowo oszustwa internetowe możemy zgłaszać poprzez stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska https://incydent.cert.pl/, wypełniając krótki formularz online, dołączając podejrzaną wiadomość i wysyłając.

Typy ataków phishingowych
Phishing e-mail - haker wysyła wiadomość elektroniczną zawierającą łącze. Treść wiadomości jest tak spreparowana, aby wywoływała w użytkowniku zaniepokojenie, zaciekawienie lub zmartwienie, dzięki czemu będzie on bardziej skłonny kliknąć w odnośnik.
Vishing - haker dzwoni na tradycyjny telefon, telefon komórkowy a nawet VoIP (z ang. Voice over Internet Protocol, to nic innego jak wykonywanie rozmów telefonicznych poprzez łącze internetowe) i próbuje wciągnąć użytkownika w rozmowę.
Smishing - haker wysyła wiadomości SMS, w których umieszcza prośbę o kliknięcie odnośnika lub oddzwonienie pod podany numer.
Pharming - to rodzaj ataku, który powstał w odpowiedzi na to, że użytkownicy nauczyli się, aby nie klikać odnośników w wiadomościach e-mail. Użytkownik niepewny, czy dana wiadomość nie jest jednak prawdziwa, zostaje zachęcony do bezpośredniego odwiedzenia strony internetowej w przeglądarce. Ataki typu pharming polegają na przechwyceniu lokalnego bufora DNS, który przenosi użytkownika w wybrane miejsce. W ten sposób zostaje on przekierowany na stronę przygotowaną przez hakera.
Spear phishing - to precyzyjnie nakierowany phishing e-mailowy.
Whaling - phishing e-mailowy biorący na cel osoby na wysokich stanowiskach.
Laserowy spear phishing - phishing e-mail skierowany na jedną lub dwie osoby.

Monika Kwaśniewska

Fot. Magda Pater