Do pięciu albo nawet do 10. Do tylu warto policzyć przed kliknięciem w link, przesłany przez bank, dostawcę energii, czy firmę kurierską. Pośpiech nie popłaca: pozorna oszczędność tych kilkunastu sekund w dłuższej perspektywie może nas sporo kosztować. W skrajnych przypadkach — oszczędności całego życia, na które polują specjaliści od phishingu.
Coraz większa liczba z nas potrafi podać definicję pojęcia “phishing”. To bardzo dobra wiadomość. Nieco gorsza brzmi: wciąż zbyt mała liczba użytkowników internetu zdaje sobie sprawę, jak niewiele trzeba, aby pomóc hakerowi uzyskać dostęp do naszych wrażliwych danych.
Co to jest phishing?
Stwierdzenie “pomóc” jest tu zdecydowanie na miejscu. Hakerzy, wbrew pozorom, nie działają w pojedynkę. Ich sukces zależy od tego, czy to my klikniemy w spreparowany link albo, czy wpiszemy hasło w odpowiednie rubryki fałszywego serwisu bankowości elektronicznej.
Mówiąc ogólnie, phishing to działanie mające na celu wyłudzenie danych osobowych, dostępów, loginów czy haseł do kont na różnego rodzaju serwisach.
Hakerzy starają się nas “złowić”, nęcąc idealnymi replikami serwisów takich jak Facebook, czy wspomniane strony banków. Potrafią też wysyłać SMS-y łudząco podobne do tych, jakie dostajemy z gazowni czy pisać maile, które teoretycznie mogłyby pochodzić od kogoś, kto chciałby zakupić wystawiony przez nas na serwisie aukcyjnym przedmiot.
Jak możemy bronić się przed atakiem specjalistów od phishingu? Odpowiedź będzie zaskakująca: wystarczy… poczytać.
Aby poznać model działania hakerów, specjalizujących się w phishingu warto uważnie śledzić doniesienia o kolejnych atakach. Bo mimo że trudno przewidzieć, jakimi metodami konkretnie będą posługiwać się hakerzy w najbliższych miesiącach czy latach, to jednak pewne jest to, że będą żerować na naszej nieuwadze, pośpiechu czy zbyt dużym zaufaniu. Niestety, to właśnie niefrasobliwość użytkowników jest najpotężniejszym narzędziem socjotechnicznym, jakie mają w zanadrzu, co bardzo dobrze obrazują poniższe przykłady.
Przekręt na klienta OLX
Korzystając z popularnego serwisu sprzedażowego OLX zawszę warto kierować się zasadą ograniczonego zaufania. Może się bowiem okazać, że zamiast właściwej osoby zakupy negocjujemy z hakerem o niezbyt czystych intencjach.
Jak tłumaczy Robert Grabowski, szef CERT Orange Polska, ten konkretny typ oszustwa jest o tyle zaskakujący, że ofiarami padają zazwyczaj kupujący.
Tu mamy do czynienia z sytuacją odwrotną: potencjalny kupiec kontaktuje się z nami za pośrednictwem komunikatora WhatsApp. Wyraźnie mu się śpieszy, więc podsyła nam link do formularza płatności OLX. My, uradowani, że tak szybko uda nam się sfinalizować transakcję, klikamy radośnie i nawet przez myśl nam nie przejdzie, że OLX na swojej stronie przedstawia ten sposób zakupu zupełnie inaczej. Taka prośba od kupującego powinna być dla nas poważnym znakiem ostrzegawczym. A inne czerwone flagi?
— Komunikacja przez WhatsApp to pierwszy sygnał ostrzegawczy. Pamiętajmy, że przestępcy niekoniecznie będą posługiwać się polskim numerem. Kolejny to przebieg konwersacji: będzie schematyczna, kupiec zada nam pytanie czy w grę wchodzi dostawa przez OLX i zwrot pieniędzy na kartę płatniczą sprzedającego. Taki mechanizm w ogóle nie istnieje — tłumaczy Robert Grabowski.
Dobrze, jeśli wątpliwości co do tożsamości potencjalnego kupca najdą nas jeszcze w trakcie rozmowy. — Warto zadać wtedy jakieś mniej schematyczne pytanie. W wielu przypadkach po drugiej stronie będziemy mieli osobę z zagranicy, która nie posługuje się językiem polskim, ale po prostu wkleja przygotowane wcześniej wypowiedzi — radzi szef CERT Orange Polska.
W przypadku “haczyka” w osobie fałszywego kupca na OLX teoretycznie mamy więc chwilę, aby rozgryźć potencjalne oszustwo. Innym, znacznie szybszym i bardziej inwazyjnym sposobem na natychmiastowe wyłudzenie pieniędzy popisali się twórcy przekrętu “na odcięcie prądu”.
Oszustwo na SMS: PGE prosi o dopłatę
W maju tego roku niektórzy klienci PGE otrzymali SMS-a, w którym dostawca informował o konieczności dopłaty małej, kilkuzłotowej kwoty do rachunku. Całą operację należało przeprowadzić możliwie jak najszybciej, więc życzliwy nadawca zamieścił link do strony płatności. Na pierwszy rzut oka, wszystko się zgadzało: logo spółki energetycznej, layout, pola do wpisywania danych.
Problem w tym, że nie była to oczywiście strona należąca do PGE. Ale aby się o tym przekonać trzeba było drugiego rzutu oka, na który wielu klientów nie miało czasu. Zresztą, powiecie, kwota i tak była nieznaczna, więc czym tu się martwić. To przecież nie to samo, jakby ograbiono nas z zaoszczędzonych na koncie milionów. Cóż, specjaliści nie byliby tu aż tak entuzjastycznie nastawieni.
— Tu nie chodzi o trzy czy cztery złote, ale o zupełne wyczyszczenie naszego konta. Przestępcy przechwytują nasze dane do logowania. Mogą dzięki temu zacząć wykonywać inne operacje na naszym koncie — uczula Robert Grabowski.
Ekspert dodaje, że przestępcy działają z reguły bardzo sprawnie i szybko. Warto więc bardzo dokładnie czytać informacje towarzyszące potwierdzeniom płatności — nawet jeśli jesteśmy niemal pewni, że potwierdzamy zlecony przed chwilą przelew na kilka złotych. Może się zdarzyć, że przestępcy zdążyli już zmienić dyspozycję.
Scam na Facebooku: zagubiona dziewczynka wyłudza dane osobowe
Aby uniknąć ataku phishingowego warto również trzymać na wodzy emocje. Zdrowy rozsądek to podstawowa cecha, jakiej powinniśmy się trzymać analizując na przykład takie informacje:
Jeśli złapiemy się na haczyk tej ckliwej historii i będziemy chcieli sprawdzić, co dokładnie wydarzyło się z małą Anią, natkniemy się na link do wideo. Niestety, można je obejrzeć tylko przechodząc ze strony docelowej na Facebooka. Klikamy więc w odnośnik, wpisujemy login, hasło i… właśnie daliśmy sobie wykraść dane.
Okazuje się, że strona, którą właśnie wzięliśmy za popularny serwis społecznościowy, jest tylko do niej podobna. Łudząco, to fakt, ale patrząc na nią powinno nam się zapalić co najmniej kilka lampek ostrzegawczych.
— Użytkownicy Facebooka z reguły są zalogowani do serwisu i nie muszą tego robić za każdym razem, kiedy chcą obejrzeć materiał udostępniony w serwisie. Inną kwestią jest sensacyjność treści malvertisingowych (rozsiewanie złośliwych treści za pomocą reklam). Fakt, jesteśmy zalewani clickbaitami (nagłówkami przesadnie wyolbrzymiającymi faktyczną treść czy znaczenie artykułu), ale warto uważać na fake newsy, nakierowane na wyłudzanie danych, zwłaszcza że mogą się one pojawiać nawet na popularnych portalach — przestrzega szef CERT Orange Polska.
Jak chronić się przed phishingiem: 5 rzeczy, które pozwolą ci przejrzeć oszustwo
Nie da się przewidzieć wszystkiego, a na pewno nie da się z całą pewnością stwierdzić, jakie działa wymierzą w nas hakerzy. Pewne jest jednak to, że chuchając na zimne można uniknąć wielu nieprzyjemnych sytuacji.
Oto 5 złotych zasad, o których powinniśmy bezwzględnie pamiętać, aby zapobiec utracie danych czy pieniędzy:
1. Bądź czujny — czytaj komunikaty. Nawet jeśli jesteś “prawie pewien”, że dokładnie wiesz, na co właśnie zakreślasz zgodę, albo jaką transakcję właśnie potwierdzasz. Te dodatkowe kilka sekund może uchronić cię przed sporą nieprzyjemnością.
2. Nie stosuj jednego hasła do wszystkiego — nie musisz ich pamiętać, zrobi to za ciebie menedżer haseł. Pamiętaj tylko, aby porządnie zahasłować… skrytkę z hasłami. Jeśli będą one dostępne w przeglądarce dla każdego, kto podejdzie do komputera, cała operacja nie ma sensu.
3. Sprawdzaj certyfikaty stron — jeśli strona wydaje ci się podejrzana, sprawdź, od kiedy “wisi” w internecie. Wystarczy kliknąć ikonkę kłódki obok paska adresu. Witryny zakładane przez hakerów będą często miały krótką, nawet kilkugodzinną historię.
4. Nie ufaj sklepom — przed dokonaniem pierwszego zakupu koniecznie sprawdź dane sprzedającego. Najprostszym sposobem jest wrzucenie w wyszukiwarkę numeru telefonu i sprawdzenie, czy nie należy przypadkiem do kogoś innego. Wskazówką, że coś jest nie tak, może być brak popularnych form płatności, prośba o przelanie pieniędzy na konto czy sensacyjne rabaty.
5. Sprawdź url — adresy witryn zakładanych przez hakerów mogą się nieznacznie różnić od oryginałów, dlatego czujność w tej kwestii jest bardzo wskazana. Aby uniknąć problemów warto sprawdzić, czy aby na pewno kropki są postawione tam gdzie powinny, albo czy nazwa domeny nie wzbogaciła się o jedną lub dwie przypadkowe litery.