Phishing, smishing, vishing – jak się w tym połapać?

Oszustwa internetowe stały się już niestety plagą. W sumie nic dziwnego, skoro większość naszych aktywności przeniosła się dziś do Internetu. I nie ma co ukrywać, cyfryzacji nie zatrzymamy. Nawet urzędy, gdzie zwyczajowo trzeba było swoje odstać w kolejkach, musiały nauczyć się, że sprawy można też załatwić online.

W sieci są tłumy, przesyłamy w niej niezliczone ilości informacji (często poufnych), kupujemy online na potęgę (bo tak bezpieczniej). Doskonale wiedzą o tym cyberprzestępcy i niestety działają bardzo aktywnie. Jedną z metod przechwycenia cennych danych jest phishing. Aby nie dać się złapać, warto wiedzieć o tym więcej, a poniższe zestawienie powinno pomóc w zrozumieniu tematu.

Czym jest phishing?

Krótko mówiąc, jest to wiadomość, w której oszuści próbują zmusić nas do wykonania jakiejś czynności (najczęściej podanie danych do logowania do bankowości, kart płatniczych). Zwykle taka wiadomość zawiera link, w który trzeba kliknąć lub załącznik do otwarcia. 

Aby nas zachęcić, cyberprzestępcy stosują różne sztuczki spod znaku kija i marchewki. Raz próbują po dobroci (super atrakcyjna oferta tylko dla Ciebie!), a innym razem potrafią wykorzystać szantaż (Twoje fotki w sieci, ale będzie wstyd!).

Jak połapać się w tych „ingach”? Nie jest łatwo, ale trzeba próbować.

Phishing

Na początek klasyczny phishing, czyli podejrzana wiadomość mailowa. Co powinno wzbudzić naszą czujność? Przede wszystkim wiadomości, które pochodzą od nieznanych nam nadawców, w których jesteśmy proszeni o wykonanie nietypowej czynności (zwykle ma ona skończyć się kliknięciem w link lub otwarciem załącznika). 

Aby nakłonić nas do podjęcia akcji, oszuści straszą nas, że w przeciwnym razie nasza bankowość internetowa przestanie działać, nie obejrzymy już filmu na Netflixie, bo subskrypcja niezapłacona, stracimy szansę na super ofertę, w której upragniony telefon kosztuje tylko 15 złotych. 

Oczywiście za takimi sztuczkami kryją się fałszywe strony bankowe, szybkich płatności czy np. złośliwe oprogramowanie do zainstalowania.

Smishing

Fałszywe SMS-y. Nie łatwo je rozpoznać, ponieważ często wpadają do wątku naszej dotychczasowej komunikacji np. z bankiem. Ale co ważne, przeważnie opierają się one na podobnej socjotechnice. 

Oszuści próbują nakłonić nas do kliknięcia w link pod pretekstem wykonania drobnej dopłaty (kilka złotych), aby np. otrzymać paczkę, na którą czekamy. Oczywiście powody, aby kliknąć w link, mogą być różne: zaległość w urzędzie skarbowym, uzyskanie kodu odbioru paczki, szczepionka w promocyjnej cenie. Po kliknięciu w link zostaniemy przekierowani do fałszywej strony szybkich płatności, nieprawdziwych stron banku, do strony z fałszywą aplikacją na telefon. 

Możemy stracić w ten sposób dane do logowania, czyli w konsekwencji pieniądze lub zainstalować aplikację, która będzie miała dostęp do telefonu wraz z SMS-kodami, którymi często potwierdzamy transakcje.

Vishing

Jest to złośliwe działanie polegające na wykonaniu rozmowy telefonicznej z ofiarą. Co ważne, rozmowę może prowadzić automat lub człowiek. Podczas połączenia, oszust próbuje wyłudzić od nas jak najwięcej informacji lub wysyła nam linki na maila, w które mamy kliknąć pod pretekstem konieczności aktualizacji danych lub zainstalowania oprogramowania do sprawdzenia, czy z naszym połączeniem sieciowym jest wszystko w porządku. 

Zebrane informacje mogą posłużyć np. do zaciągnięcia kredytu, co może być szczególnie bolesne, jeśli dowiemy się o tym zbyt późno.

Komunikatory internetowe

Tu zasada może być podobna jak w przypadku smishingu lub vishingu. Częstą praktyką jest przejmowanie kont na Facebooku i wykorzystywanie ich do kontaktu ze znajomymi w celu wyłudzenia pieniędzy na BLIK-a. Jest to atrakcyjna forma oszustwa, bo BLIK umożliwia np. wypłatę gotówki bez obecności osoby, z której konta pieniądze zostaną pobrane. 

Trzeba uważać też na sensacyjne artykuły, filmiki, które często są rozsyłane, a aby je zobaczyć, należy podać dane do logowania do Facebooka. W taki sposób łatwo stracić do niego dostęp.

Co robić? Jak się chronić?

Oczekiwalibyśmy tutaj pewnie magicznych rozwiązań technologicznych. Tymczasem najistotniejszym mechanizmem obronnym jest nasz rozsądek, spokój i weryfikacja wszystkiego, co wydaje nam się podejrzane. Czyli po prostu sprawdzajmy nadawców wiadomości, pod żadnym pozorem nie przekazujmy naszych danych do logowania, kiedy ktoś prosi o nie w mailu, SMS-ie czy rozmowie telefonicznej, nawet jeśli jest to nasz bank. 

Czytajmy to, co potwierdzamy, a tam, gdzie to możliwe, rezygnujmy z SMS-kodów jako narzędzia autoryzacyjnego na rzecz bezpieczniejszych rozwiązań aplikacyjnych np. tokenów, mobilnych podpisów. 

Jeśli otrzymamy dziwną wiadomość od znanej nam firmy, skontaktujmy się z nią i potwierdźmy, że rzeczywiście takie wiadomości wysyła. Zamiast kolejnych plotek o celebrytach, czas przy kawie wykorzystajmy do czytania artykułów o aktualnych cyberzagrożeniach. Rozmawiajmy o tym temacie z bliskimi, ze znajomymi. Im więcej będzie osób świadomych, tym trudniej będzie cyberprzestępcom. 

Oczywiście, dobry antywirus (również na telefonie!), stosowanie silnych haseł, szyfrowanie przesyłanych informacji nie zaszkodzi, ale i tak na końcu okaże się, że najważniejsza jest nasza ostrożność i stosowanie zasady ograniczonego zaufania.