Co to jest phishing?

Pierwszy raz słowo “phishing” z ang. wędkarstwo, pojawiło się w 1996 roku w kontekście wyłudzenia informacji od użytkowników dużego amerykańskiego serwisu AOL (America Online). Hakerzy wysłali spreparowane wiadomości z prośbą o udostępnienie danych dostępowych do kont użytkowników. Jak się okazało bardzo wielu użytkowników nieświadomie podało komplet informacji. Od tego czasu metoda podszywania się pod różne instytucje i firmy ma się całkiem dobrze i cały czas kolejni użytkownicy serwisów, klienci banków, sklepów internetowych i platform zakupowych padają ofiarami phishingu.

Co to jest phishing?

Rafał Stępniewski

4 lutego 2020

Główną cechą wiadomości wyłudzającej informacje to nawoływanie atakowanej osoby do działania. W wiadomości często pojawiają się sformułowania nakłaniające do kliknięcia w link, sprawdzenia szczegółów, zweryfikowania danych, ustawień lub wręcz prośby o zalogowanie się np. w systemie bankowym.

Kluczowym czynnikiem, który wpływa na skuteczność takich działań, jest łudząco podobny format wiadomości — te same czcionki, stopka w mailu, logo firmy, czy też styl komunikacji firmy, pod którą podszywają się hakerzy. Chodzi o to, by użytkownik lub klient był przekonany, że otrzymał wiadomość od rzeczywistej firmy.

Wiadomości phishingowe bazują często na chciwości, strachu lub zaufaniu do autorytetu. Problem w wyłudzaniu informacji tą metodą nie leży niestety po stronie technologii, ale po stronie człowieka, który przez nieostrożność podejmuje działania, do jakich namawia go treść wiadomości.

Jak ustrzec się przed phishingiem?

Niestety nie ma stuprocentowej skutecznej metody na zabezpieczenie się przed tym, by nie paść ofiarą phishingu. Trzeba cały czas zachować czujność i zdrowy rozsądek.

Jeżeli wiadomość zawiera błędy językowe — i nie chodzi tu o literówki, ale błędną składnie językową — to powinien być pierwszy sygnał ostrzegawczy.

Jeżeli nigdy nie otrzymaliśmy wiadomości np. z banku z linkiem, który co do zasady takich wiadomości do nas nie wysyła, a tym razem taką otrzymaliśmy, to również powinno wzbudzić naszą czujność.

Jeżeli nigdy nie współpracowaliśmy z jakąś firmą, a nagle otrzymujemy wiadomość o niezapłaconej fakturze lub o złożonym zamówieniu, którego nie składaliśmy, powinno to wzbudzić nasze podejrzenia.

Jeżeli Urząd Skarbowy przesyła wiadomość z linkiem do decyzji o nałożeniu kary — nie wolno sprawdzać szczegółów takiej decyzji.

Jeżeli otrzymujemy wiadomość o tym, że celebryta zarobił miliony na jakiejś inwestycji i że ty też możesz być jak on — nie należy wierzyć w takie zapewnienia.

Jak bezpiecznie sprawdzić link w wiadomości e-mail?

Jeżeli w wiadomości jest link, można najechać na niego kursorem myszki i sprawdzić bez klikania, na jaki rzeczywiście adres kieruje. Treść linku może wyglądać prawdziwie, ale to, na jaki adres faktycznie nas przekieruje zależy od tego, jak jest spreparowana wiadomość. Jeżeli adres strony WWW, na którą kieruje link ma literówkę lub kieruje na inny adres niż w rzeczywistości powinien albo jaki podany jest w treści linku, to wyraźny sygnał ostrzegawczy.

Przykład, jak może wyglądać link — najedź myszką i zobacz w lewym dolnym rogu przeglądarki, na jaki adres faktycznie przekieruje www.prawokonsumenckie.pl.

Jeżeli chcemy zweryfikować autentyczność wiadomości, skuteczną metodą jest kontakt z daną firmą. Można zadzwonić albo wysłać wiadomości z prośbą o potwierdzenie lub wyjaśnienia. Należy pamiętać, by nigdy nie odpowiadać na wiadomości, które budzą nasze podejrzenia. Bezpieczną metodą jest wejście na stronę WWW danej firmy i odnalezienie adresu e-mail do kontaktu, jeżeli się go nie pamięta lub nie ma w książce adresowej.

Nigdy z ciekawości nie należy klikać w linki przesłane w podejrzanej wiadomości — nawet w trybie incognito lub z innej przeglądarki, z której na co dzień się nie korzysta.

Nigdy nie należy otwierać załączników, które otrzymaliśmy w przesłanej wiadomości od osoby/firmy, z którą nigdy nie mieliśmy kontaktu.

Fałszywe strony internetowe

Przygotowanie strony internetowej nie stanowi dzisiaj żadnego wyzwania. Można bardzo szybko skopiować i spreparować kopię strony internetowej łudząco podobnej do oryginału. Jak rozpoznać fałszywą stronę internetową? Po pierwsze należy sprawdzić, czy adres strony jest taki jak powinien być — często jest jakaś literówka lub wręcz inna końcówka adresu, np. zamiast.pl jest com.pl lub inna.

Certyfikat SSL — można zweryfikować, czy jest wystawiony na faktyczną firmę, klikając na kłódkę w pasku z adresem strony w przeglądarce.

Niestety powyższe metody nie dają pewności, że unikniemy próby wyłudzenia. Dużo oszustw kończy się powodzeniem, ponieważ wiele osób jest zbyt łatwowiernych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!