Dostałam mejl/sms z super ofertą rabatową z linkiem do nieznanego sklepu. Klikać czy nie? Czym może skutkować wejście w taki linki?

Uwielbiamy promocje i wyprzedaże. Okazyjne ceny pozwalają nam na kupowanie rzeczy, na które w innym wypadku nie byłoby nas stać i na sprawianie przyjemności sobie oraz swoim bliskim bez nadmiernego obciążania portfela. Jednak czy zawsze warto ufać atrakcyjnym finansowo ofertom? Kiedy należy na nie szczególnie uważać?

Jak rozpoznać atak phishingowy?

Po otrzymaniu maila lub SMS-a z atrakcyjną ofertą rabatową w pierwszej chwili reagujemy entuzjazmem i radością. Jednak zanim skorzystamy z domniemanej okazji, warto upewnić się, czy aby na pewno jest to bezpieczne. Jeśli w wiadomości znajduje się link, np. do nieznanego nam sklepu lub strony bankowości internetowej, prawdopodobnie jest ona przykładem phishingu, czyli jednej z metod wyłudzania poufnych informacji. Cyberprzestępcy podszywają się pod firmę lub instytucję, by podstępem zdobyć nasze dane do logowania. W ten sposób zyskują dostęp do naszego konta bankowego, dzięki czemu mogą samodzielnie wykonywać z niego przelewy.

Jak rozpoznać atak phishingowy? Niestety sprawa nie jest tak prosta, jak mogłoby się wydawać. Hakerzy często niemal perfekcyjnie imitują oficjalną korespondencję od zaufanych organizacji, a także wiernie odtwarzają strony internetowe banków i sklepów. Wystarczy przeoczyć drobny szczegół, by stać się ofiarą oszustwa. Przykładem phishingu może być również przesłanie e-maila z załącznikiem, w którym znajduje się złośliwe oprogramowanie pozwalające na zdalne kontrolowanie komputera lub wykradzenie danych do logowania, np. do bankowości internetowej. Taki załącznik może imitować m.in. rzekome potwierdzenie płatności za transakcję, której nie dokonaliśmy lub zestawienie płatności za dany miesiąc.

Metody stosowane w phishingu

Dlaczego phishing jest tak skuteczny? Ten prosty sposób wyłudzania wrażliwych danych bazuje na naszym zaufaniu. Wszyscy lubimy promocje, nagrody oraz różnego rodzaju prezenty. Wystarczy więc przekonać odbiorcę, że kliknięcie w link da mu określone korzyści, by zrobił to bez głębszego zastanowienia. Jeszcze mniejsza jest nasza czujność w przypadku stron banków oraz serwisów społecznościowych. Logowanie się na tego typu strony jest dla nas wręcz rutynowa czynnością, w związku z czym rzadko sprawdzamy, czy otwarta witryna faktycznie jest tą, za którą ją bierzemy.

Oprócz zaufania skuteczną metodą wywierania wpływu jest również wykorzystywanie strachu. Oszuści często grożą ofiarom zablokowaniem kont lub przekonują je, że ich profile zostały zaatakowane i wymagają natychmiastowej zmiany hasła. Tego rodzaju krytyczna sytuacja może zrodzić panikę i instynktowne działanie zmierzające do zażegnania wyimaginowanego kryzysu. Niestety w ten sposób zamiast sobie pomóc, narażamy się na zupełnie niepotrzebne niebezpieczeństwo.

Phishing ukierunkowany

Podstawowe formy phishingu koncentrują się na dotarciu do jak największej liczby użytkowników. Jeszcze bardziej niebezpieczną jego odmianą jest natomiast phishing ukierunkowany (ang. spear phishing), który jest wycelowany w konkretną osobę, np. kogoś szczególnie zamożnego, wpływowego lub pracującego w określonej firmie. Phishing ukierunkowany zagraża nam w szczególny sposób z dwóch powodów.

Po pierwsze: jest stosowany wyłącznie wobec osób, które mają naprawdę dużo do stracenia lub dysponują bardzo istotnymi informacjami.

Po drugie: hakerzy starają się jak najlepiej poznać swoją ofiarę, przez co wiedzą, jakich metod perswazji powinni użyć, a ich ataki są dopracowane w najmniejszych szczegółach.

Jak ochronić się przed phishingiem?

Aby ochronić się przed atakiem cyberprzestępców, należy być bardzo uważnym i zwracać uwagę na szczegóły. Wiadomości wysyłane przez oszustów często bywają bardzo podobne do tych oficjalnych i odróżniają je od nich jedynie drobne detale. Warto wnikliwie przyglądać się adresom URL – zdarza się, że fałszywy link różni się od oryginalnego tylko jedną literą. Zanim wprowadzimy dane do logowania, należy upewnić się, czy połączenie jest zabezpieczone. Poznamy to po prefiksie „https://” („s” oznacza „secure”, czyli „bezpieczny”) oraz symbolu zamkniętej kłódki przed adresem.

Zamiast klikać w nadesłany odnośnik, najlepiej samodzielnie wpisać znany sobie adres w okno wyszukiwarki. Jeśli e-mail lub SMS są autentyczne, najprawdopodobniej zawierają kod rabatowy do wpisania na stronie sklepu. Nie należy otwierać niespodziewanych załączników, zwłaszcza jeśli dotyczą transakcji, których sobie nie przypominamy. Nasze hasła do logowania powinny być skomplikowane i trudne do odgadnięcia. Warto systematycznie je zmieniać oraz uczyć się ich na pamięć – pliki z danymi do logowania przechowywane na dysku stanowią dodatkowe zagrożenie. Oprócz tego należy zawsze dbać o to, by nasze urządzenia posiadały dobrej jakości oprogramowanie zabezpieczające. I pamiętajmy: wyjątkowo korzystne okazje przesyłane na skrzynkę e-mail powinny w nas wzbudzać nie tylko entuzjazm, ale również (a może przede wszystkim) zwiększoną czujność.