Nie daj się nabrać na podejrzane e-maile i SMSy

Phishing to wciąż jeden z najpopularniejszych i niestety najskuteczniejszych ataków w sieci. Polega na wysyłaniu przez cyberprzestępców fałszywych e-maili, których celem jest wyłudzenie danych, a w konsekwencji np. aktywacja złośliwego oprogramowania i nawet kradzież pieniędzy z konta bankowego. Przestępców najczęściej interesują hasła i loginy, PESEL oraz numery z kart płatniczych.

Na czym polega phishing

Metody ataku mogą być różne. Co ważne, wszystkie opierają się na manipulacji. Cyberprzestępcy używają nawet certyfikatów cyfrowych (publicznie zaufanych), aby uwierzytelnić tworzone strony. Robią wszystko, żebyśmy uwierzyli w wiarygodność nadawcy i treści, kliknęli w przesłany link, a na fałszywej stronie podali swoje dane. Gdy to zrobimy, dane trafiają w ręce przestępców, którzy wykorzystają je do kradzieży tożsamości, zaciągnięcia kredytu, a nawet przejęcia naszych oszczędności. Popularnym sposobem jest podszywanie się pod banki, firmy kurierskie czy instytucje rządowe.

Dlaczego phishing jest skuteczny

• Fałszywe wiadomości mogą nie wzbudzać podejrzeń i wyglądać dokładnie tak, jak standardowa korespondencja.
• Oszuści często wybierają tematy na topie, przedstawiają kuszące oferty, by przyciągnąć naszą uwagę.
• Popularną metodą jest też kreowanie sytuacji paniki.
• Treść wiadomości ma nakłonić nas do ściągnięcia/otwarcia załącznika lub kliknięcia w podany link.
• Oszuści używają sformułowań, które mają wywrzeć na nas presję i nakłonić do konkretnego działania.

Pamiętajmy! Phishing wciąż ewoluuje, przez co trudno się na niego przygotować.

Jak nie dać się oszukać

Pamiętajmy, aby ostrożnie podchodzić do otrzymywanych e-maili. Po pierwsze zastanówmy się, czy treść wiadomości dotyczy faktycznie nas. Przykładowo, jeśli otrzymamy informację o statusie przesyłki, pomyślmy, czy coś zamawialiśmy, czy oczekujemy na jakąś przesyłkę. To jednak nie zawsze wystarczy, bo czasem zdarza się zbieg okoliczności – dostajemy sms od kuriera o konieczności dopłaty np. 2 zł, a faktycznie oczekujemy na przesyłkę. Albo oszust podszywa się akurat pod naszego dostawcę prądu czy gazu i grożąc odłączeniem nas od sieci domaga się wpłaty kilku złotych. To, że nakaz wydaje się nam prawdopodobny, a suma jest niewielka, usypia naszą czujność. Odruchowo klikamy w naszą bankowość elektroniczną lub mobilną i widzimy stronę naszego banku. Czy na pewno? Popatrzmy na adres strony i niech nas nie zwiedzie zamknięta kłódka, która ma oznaczać bezpieczeństwo strony. Kłodka niczego niestety nie szyfruje, a adres na pewno jest inny niż ten, który wpisujemy chcąc połączyć się z bankiem. Nie wolno wpisywać tam swoich danych. A jeśli się niepokoimy, zadzwońmy na infolinię do firmy kurierskiej, dostawcy prądu i gazu czy innej instytucji lub firmy, pod którą podszywa się oszust. Spytajmy czy domagają się od nas dopłaty do rachunku.

Po drugie zwracajmy uwagę na adres nadawcy – czy jest poprawny, czy go znamy. Sprawdźmy, czy adres mailowy nadawcy zgadza się z tym podanym poniżej w treści maila. Dodatkowo, adresy podawane przez oszustów często mogą zawierać przekręconą, niepoprawną nazwę firmy, pod którą się podszywają.

Po trzecie zwróćmy uwagę na konstrukcję wiadomości, którą otrzymaliśmy – błędy językowe, literówki czy brak polskich znaków powinny wzbudzić naszą czujność. Zachowajmy też ostrożność, jeśli w mailu znajdują się bezosobowe zwroty. Zastanówmy się, jak zazwyczaj zwraca się do nas nadawca, na przykład znajomy, pisząc z nami na popularnych komunikatorach.

Po czwarte sprawdźmy format załączników. Wirusy najczęściej znajdują się w plikach ZIP i RAR oraz takich o podwójnym rozszerzeniu, np. pdf.exe. Nie otwierajmy załącznika, jeśli nie mamy pewności, że pochodzi z wiarygodnego źródła.

Po piąte zwróćmy uwagę na temat i treść, która ma stworzyć sytuację paniki i nakłonić nas do szybkiej reakcji, np. dostajemy informację o niezapłaconej fakturze i konsekwencjach, czy o problemach w dostępie do serwisu choćby w bankowości internetowej, zablokowaniu tego dostępu, konieczności natychmiastowej zmiany hasła lub aktualizacji oprogramowania. Zachowajmy czujność szczególnie, gdy w treści wiadomości są słowa czy sformułowania typu: „wyślij dane w ciągu 24 godzin” albo „kliknij tutaj natychmiast”. Cyberprzestępcy często podają się za znane firmy i instytucje, żeby uśpić naszą czujność. Pamiętajmy, że bank nigdy nie prosi o wysyłanie danych osobowych klientów przez wiadomość e-mail lub SMS.

Po szóste zanim klikniemy w link, sprawdźmy jego faktyczny adres (który wyświetli się po najechaniu na niego myszką).

Pamiętaj!

Wiadomość może być niebezpieczna, nawet jeśli znamy jej nadawcę. Przestępcy mogą zainfekować czyjąś skrzynkę i rozsyłać złośliwe maile. Jeżeli coś wygląda podejrzanie, upewnijmy się, czy faktycznie wysłał ją nasz znajomy – wystarczy, że do niego zadzwonimy.

Partnerem materiału jest PZU