Ostatnimi czasy coraz więcej słyszy się o różnych oszustwach lub próbach oszustw. Skupmy się na samych oszustwach w cyberprzestrzeni, gdzie oszuści mogą wykraść nasze dane osobowe czy nawet uzyskać dostęp do naszego konta bankowego. Najpopularniejszym ostatnio sposobem jest właśnie phishing, ponieważ wciąż bardzo wielu ludzi nie jest na tyle świadomych, żeby rozpoznać próbę wyłudzenia.
Phishing to nic innego, jak próba oszustwa przez podszywanie się pod inną osobę, firmę lub instytucję w celu wyłudzenia Twoich poufnych danych.
Najczęściej spotykany rodzaj phishingu, to podszywanie się pod bankowe strony internetowe czy pod strony szybkich płatności. Dokonujący ataku uruchamia kopię strony internetowej wybranej instytucji, a niczego nieświadomy użytkownik próbując zalogować się na takiej stronie nieświadomie zostawia złodziejom swoje dane logowania.
Dzisiaj do tego wszystkiego oszuści internetowi potrafią wysyłać SMSy, które również do złudzenia na pierwszy rzut oka wyglądają identycznie, jak wiadomości od operatora, kuriera, czy innej znanej nam instytucji.
Takie wiadomości zazwyczaj zamiast numeru mają po prostu widoczną nazwę firmy, nadawcy wiadomości. Treść jest zazwyczaj skonstruowana w taki sposób, aby czytający podjął jakieś działanie, na które właśnie czekają oszuści.
Takim działaniem jest właśnie wejście w link zawarty w wiadomości. Po kliknięciu zapewne otworzy nam się fałszywa strona internetowa, na której zostawiając swoje dane prawie na pewno narazimy się na utratę dostępu do platformy lub w przypadku pseudo dopłat, na wyczyszczenie naszego konta bankowego.
Zastanówmy się zatem kilka razy, zanim bezmyślnie przejdziemy na jakiś niepewny link.
Jak rozpoznać Phishing?
Wbrew pozorom, często bardzo prosto jest rozpoznać próbę oszustwa poprzez phishing. Już jakiś czas temu wspominałem jak rozpoznać fałszywe wiadomości mejlowe. Dzisiaj skupimy się przede wszystkim na tekstowych wiadomościach SMS, które są coraz popularniejsze. Musimy sobie zdać pytanie, nie czy, a kiedy taką wiadomość dostaniemy.
Odebraliśmy taką wiadomość, co robić? Jeżeli treść wiadomości jest skonstruowana w sposób podobny do tego na obrazku i nawołuje Cię do przejścia w link i wykonania dodatkowej opłaty, mamy prawie 100% pewności, że wiadomość jest oszustwem.
Zwróćmy najpierw uwagę na informacje o nadawcy wiadomości. Większe firmy i instytucje podpisują się nie numerem telefonu, a swoją nazwą. Widząc więc w takiej wiadomości numer telefonu nadawcy możemy od razu taką wiadomość wrzucić do kosza.
Treść i odnośniki
Nazwa nadawcy jest okej, to sprawdzamy dalej. Przyglądamy się treści wiadomości. Sprawdzamy poprawność pisowni, składni oraz interpunkcji. Takie wiadomości często gęsto są generowane automatycznie. Na nasze szczęście języki polski nie jest prostym językiem i wszelkie takie zabiegi będą wyraźnie widoczne w treści.
Treść jest okej… weryfikujemy więc dalej. Dochodzimy w końcu do linku, dzięki któremu możemy na przykład dokonać płatności. Weźmy na przykład wiadomość z powyższej grafiki. Informacja o dopłacie dla kuriera, przykładowo z firmy XYZ. Pewny i bezpieczny link powinien wyglądać mniej więcej tak: https://xyz.pl/odnosnik.
Na szczęście w porównaniu do nazwy nadawcy, oszuści nie mają możliwości podszycia się pod bezpieczny link. Taki odnośnik zawsze będzie wyglądał podejrzanie, będzie miał przestawione znaki lub dodane jakieś znaki do adresu. Łudząco może przypominać adres internetowy firmy, ale tak naprawdę nim nie jest.
Linki skraca się przy pomocy portali takich jak bit.ly. W takie linki też nie należy klikać.
Bardzo dobrym przykładem jest nazwa InPost, gdzie „l” oraz „I” w większości czcionek wyglądają identycznie. Trzeba więc też uważać na takie zabiegi.
Jeżeli wciąż masz wątpliwości najlepiej skontaktować się z biurem obsługi klienta danej firmy i dopytać o szczegóły. Czasem lepiej poświęcić kilka minut na dokładne sprawdzenie wiadomości, niż stracić prywatność swoich danych czy oszczędności z konta bankowego.
Zapamiętaj
Bank, ani żadna organizacja publiczna, czy szanująca się firma nie poprosi Cię nigdy o podanie swojego hasła czy innej opcji logowania. (bo tak naprawdę i tak mają dostęp do Twojego konta użytkownika).
Nikt nie ma prawa także prosić Cię smsowo czy w inny nieformalny sposób o dokonanie zapłaty lub jakiejkolwiek dopłaty. Takie sprawy załatwia się innymi, zgodnymi z prawem sposobami.
Polecam także wpis związany z rządową akcją przestrzegającą przed Phishingiem.