Celem jest wyłudzenie poufnych informacji osobistych bądź finansowych, zainfekowanie komputera szkodliwym oprogramowaniem czy też nakłonienie ofiary do podjęcia czynności, której nie powinna wykonać na przykład kliknięcie w złośliwy link, podanie hasła na niezaufanej stronie czy otwarcie zainfekowanego załącznika.
Wykorzystują do tego specjalnie sfałszowane wiadomości, które mają wywołać w Tobie silne emocje takie jak ciekawość, niepokój, lęk, wstyd, zaskoczenie, radość lub potrzebę podjęcia natychmiastowego działania. Używają do tego różnych kanałów komunikacji takich jak poczta e-mail (phishing), sms (smishing) czy rozmowy telefoniczne (vishing).
Tak spreparowane wiadomości zazwyczaj wydają się wiarygodne, ponieważ często zawierają elementy do złudzenia przypominające te z oficjalnych serwisów np. logo instytucji (np. Twojego banku, instytucji rządowej) i wysłane są z adresu o łudząco podobnej nazwie, bądź podzywają się pod rzeczywisty adres e-mail bądź numer telefonu.
Cyberprzestępcy nie działają zgodnie z jednym scenariuszem. Dostosowują metody do celu jaki chcą osiągnąć. Kampanie phisingowe mogą być masowe. Przestępcy wysyłają te same fałszywe e-maile do setek, tysięcy ludzi licząc na to, że ktoś da się nabrać i „połknie haczyk”. Ataki phishingowe mogą być też spersonalizowane – skierowane na konkretną osobę czy organizację i poprzedzone są rozpoznaniem ofiary, np. poprzez wysłanie e-maila w którym przestępca podszywa się pod znanego ci współpracownika lub firmę, z którą współpracujesz. Ton rozmowy, e-maila jest alarmujący, naglący, groźny, intrygujący.
Phishing to najczęstszy rodzaj ataków socjotechnicznych wymierzony w klientów banków.
To fałszywe wiadomości e-mail, które nakłaniają odbiorców do udostępnienia informacji osobistych, finansowych lub dotyczących ich bezpieczeństwa:
- mogą wyglądać podobnie lub identycznie jak korespondencja wysyłana przez prawdziwe banki, powielając logo, układ i ton prawdziwych e-maili;
- są napisane językiem, który sugeruje podjęcie pilnego działania na przykład grożąc karą, blokadą środków czy utrudnieniem w dostępie do konta w przypadku braku odpowiedzi;
- mogą zawierać prośby o pobranie załącznika lub kliknięcie łącza.
Na pierwszy rzut oka takie fałszywe e-maile wyglądają na prawdziwe. Cyberprzestępcy wykorzystują nasz pośpiech, stres, zmęczenie, nieuwagę, a także niewiedzę. W rezultacie odbiorcy są bardziej skłonni do poważnego potraktowania tego, co jest w nich napisane i podjęcia działań do których nakłaniają przestępcy.
To oszustwo telefoniczne, w którym przestępcy próbują nakłonić ofiarę do ujawnienia lub „potwierdzenia” informacji osobistych, finansowych lub dotyczących ich bezpieczeństwa albo do przekazania im pieniędzy.
Cyberprzestępcy podczas rozmowy często stwarzają sytuacje, które wymagają natychmiastowego działania. Oto kilka przykładów:
Dzwoni do Ciebie osoba podająca się za pracownika banku:
- informuje o problemie np. z dostępem do konta i jednocześnie oferuje rozwiązanie, ale wymaga potwierdzenia danych teleadresowych, osobowych, numeru pesel, dowodu osobistego, czy hasła do bankowości internetowej przekazuje, że środki na naszym koncie są zagrożone. Sposobem na ich ochronę jest instalacja na naszym urządzeniu oprogramowania do zdalnego dostępu, podanie loginu i hasła do bankowości prosi o potwierdzenie smsem autoryzacyjnym transakcji wykonanej na wcześniej wyłudzonych danych bądź podania kodu autoryzacyjnego, np. BLIK,
- informuje Cię, że konto bankowe lub karta kredytowa zostały zablokowane. Następnie prosi Cię o potwierdzenie tożsamości, a także odpowiedzi na różnego rodzaju pytania – w tym czasie oszuści rejestrują wszystkie informacje na Twój temat w celu kradzieży tożsamości.
Telefon „z banku” może dotyczyć także awarii technicznej, audytu jakości usług banku czy nawet rzekomego ataku hakerskiego, podczas gdy w rzeczywiści to oni w trakcie rozmowy przeprowadzają atak.
To próba zdobycia przez oszustów informacji osobistych, finansowych lub dotyczących bezpieczeństwa za pomocą wiadomości tekstowej - sms. Udają wiarygodne źródło podszywając się pod bank czy dostawcę usług.
W wiadomości zwykle znajduje się prośba o natychmiastowe wykonanie działania np. kliknięcie łącza do strony internetowej, telefon pod wskazany numer w celu "zweryfikowania", "zaktualizowania" lub "ponownego aktywowania" konta. Łącze do strony internetowej prowadzi do fałszywej witryny, a numer telefonu do oszusta podającego się za przedstawiciela legalnej firmy. Celem jest skłonienie Cię do ujawnienia jakichkolwiek informacji, które mogą pomóc oszustom w kradzieży Twoich pieniędzy.
Wiadomości phishingowe zazwyczaj zawierają łącza, które przekierowują Cię do sfałszowanej witryny banku, gdzie zostaniesz poproszony o ujawnienie swoich danych finansowych i/lub osobistych.
Sfałszowane strony internetowe banków wyglądają niemal identycznie jak ich legalne odpowiedniki. Takie witryny często zawierają wyskakujące okienko z prośbą o podanie danych uwierzytelniających do banku.
Strony te zazwyczaj zawierają elementy takie jak:
- pośpiech: komunikaty sugrujące natychmiastowe wykonanie jakiejś czynności, nie znajdziesz takich wiadomości na legalnych stronach internetowych;
- niedopracowany projekt strony: bądź ostrożny w przypadku stron internetowych, które mają błędy w projekcie np. niedopracowany logotyp, zła kolorystyka, nie działące linki lub błędy w pisowni i gramatyce;
- wyskakujące okienka: są powszechnie używane do zbierania od Ciebie poufnych informacji. Nie klikaj w nie i nie podawaj żadnych danych osobowych ani finansowych
- Aktualizuj swoje oprogramowanie, w tym przeglądarkę, program antywirusowy i system operacyjny.
- Zachowaj szczególną ostrożność, jeśli w wiadomości od banku lub innej instytucji finansowej (e-mail, sms) znajduje się prośba o podanie poufnych informacji (np. hasła do konta bankowego, numeru PIN) bądź prośba o przelew pieniędzy.
- Przyjrzyj się dokładnie wiadomości e-mail: sprawdź, czy treść jest spójna, czy nie ma w niej błędów ortograficznych, gramatycznych i językowych.
- Zwróć uwagę na adres nadawcy, który może nieznacznie różnić się od prawdziwego np. „0” może wyglądać jak "o". Porównaj adres e-mail nadawcy z poprzednimi prawdziwymi wiadomościami z Twojego banku/organizacji.
- W przypadku linków przesłanych w treści wiadomości bardzo dokładnie sprawdzaj domeny, na które zostaniesz przekierowany po ich kliknięciu. Często wykorzystywane są skrócone adresy stron internetowych (tiny-URL). Dlatego zanim klikniesz, najedź na dany link kursorem, aby wyświetlić adres, do którego zostaniesz przekierowany.
- Ręcznie wpisuj adres strony banku w przeglądarce. Nie korzystaj z linków w wiadomościach przesyłanych e-mailem czy smsem.
- Nie pobieraj podejrzanych załączników, nie klikaj w pliki graficzne (obrazki) bez wcześniejszego sprawdzenia nadawcy.
- Nie rozpoznajesz nadawcy wiadomości e-mail? Jeśli masz kontakt z nadawcą, zadzwoń do niego i zweryfikuj czy faktycznie to on wysłał wiadomość. Jeśli nie, rozważ jej usunięcie. Szczególną uwagę zwróć na wiadomości, które wymagają od Ciebie natychmiastowego działania, np. „Wyślij swoje dane w ciągu 24 godzin” lub „Twoje konto zostało zablokowane, kliknij tutaj żeby je odblokować”.
- W rozmowie telefonicznej staraj się zweryfikować pracownika banku lub instytucji, z której do Ciebie dzwoni (np. dopytaj o imię i nazwisko, departament, w którym pracuje, itp. Zwracaj uwagę na podejrzane aspekty rozmowy np. prośby o podanie poufnych informacji, ton prowadzonej rozmowy czy nie zawiera groźby, wywołuje w Tobie poczucie pośpiechu, itp. Jeśli nie masz pewności, że jest to pracownik Twojego banku – rozłącz się.
- Nie weryfikuj dzwoniącego używając numeru, który Ci podał. Może to być fałszywy lub sfałszowany numer. Aby potwierdzić jego tożsamość zadzwoń bezpośrednio na infolinię banku (numer znajdziesz na stronie banku).
- Uważaj na informacje, które podajesz o sobie w internecie np. w mediach społecznościowych. Nie zakładaj, że dzwoniący jest prawdziwy tylko dlatego, że ma dużo informacji o Tobie.
- Uważaj, gdy korzystasz z urządzenia mobilnego. Trudniej jest zauważyć próbę phishingu z telefonu lub tabletu. Nie masz możliwości "najechania myszką" na podejrzany link, a mniejszy ekran sprawia, że rzadziej dostrzegasz oczywiste błędy.
Pamiętaj
- Nigdy nie podawaj osobom trzecim numeru PIN, danych karty płatniczej, kodów autoryzacji SMS, kodów BLIK.
- Bank nigdy nie wymaga podania danych logowania do bankowości internetowej czy zainstalowania dodatkowej aplikacji.
Zdrowy rozsądek jest najlepszym sposobem, by nie stać się ofiarą oszustw internetowych. Jeśli email lub wiadomość SMS, którą otrzymasz budzi u Ciebie jakiekolwiek wątpliwości, informacje w nich zawarte wydają Ci się podejrzane, lub ich treści wskazują na coś nieprawdopodobnego - może to wskazywać na atak phishingowy.
Warto wiedzieć
Do kogo i jak zgłaszać podejrzenie phishingu?
Jeśli natrafisz w sieci na oszustwa lub padłeś ich ofiarą, zgłoś sprawę do swojego banku i na policję. Warto też zgłosić taką sytuację do CERT Polska. Możesz to zrobić na dwa sposoby:
oszustwa komputerowe - wypełniając formularz na stronie https://incydent.cert.pl
szkodliwe smsy - przesłać smsowe oszustwo na numer 799 448 084
Więcej na temat oszustw internetowych dowiesz się z naszej strony internetowej w zakładce Baza wiedzy.
Kampania #CyberScams realizowana we współpracyc z Europejskim Centrum ds. Walki z Cyberprzestępczością (EC3) Europolu, Europejską Federacją Bankową