Co to jest Phishing, Vishing, Smishing?

Czym jest Phishing?

Phishing to metoda polegająca na wysyłaniu przez złodzieja e-maili oraz innych form powiadomień, które rzekomo pochodzą od instytucji lub osób upoważnionych do administrowania wrażliwymi danymi bankowymi.

• Fałszywe e-maile jakoby pochodzące z banków,
• Komunikaty od dostawców usług e-płatności,
• Zawiadomienia od sieci przesyłowych.

Możliwości jest tyle, ile sprytu posiada cyberprzestępca.

Istota tego działania najczęściej sprowadza się do masowej rozsyłki oszukańczych wiadomości z nadzieją, że z tysięcy osób ktoś się w końcu nabierze.

Wiadomości tego rodzaju pisane są oczywiście profesjonalnym, urzędowym językiem, przybierając postać trybu pilności “na wczoraj” i przekazując poważnie brzmiące informacje.

W innych przypadkach są to treści bardziej luźne, oferujące dodatkowe bonusy, promocje, nagrody.

Dosyć łatwym kąskiem są osoby w trudnej sytuacji finansowej, które w dodatku same ogłaszają się na różnych portalach informując, że są gotowe pożyczyć pieniądze na już i tylko czekają na kontakt. Wypatrzone przez naciągacza, otrzymują od  niego wiadomość z kuszącą obietnicą udzielenia im chwilówki za darmo pod warunkiem, że ofiara szybko się zdecyduje i potwierdzi gotowość klikając na link aktywacyjny.

Czasami wystarczy właśnie to jedno kliknięcie, aby doprowadzić do zainfekowania systemu komputerowego złośliwymi programami służącymi do śledzenia działań w internecie oraz przesyłania oszustowi wszystkiego co zostanie wpisane na klawiaturze.

Oszuści są kreatywni

Inna strategia oszustów to tworzenie stron internetowych wyglądających identycznie jak te,  z których na co dzień korzystamy.

Idealnym przykładem była sytuacja w świecie kryptowalut, gdzie jakiś “spryciarz” zbudował lustrzane odbicie witryny, która działała jako wirtualny portfel kryptowalutowy, wykorzystywany przez setki tysięcy osób.

Następnie za pośrednictwem  różnorakich kanałów rozsyłał wiadomości z informacją o konieczności natychmiastowego zalogowania się, aby uniknąć utraty zebranych kryptowalut.

Wiele osób obawiając się, że straci wszystko, bez namysłu logowała się na fałszywej stronie, w tym samym czasie udostępniając swój login i hasło złodziejowi, który później oczyszczał konta do zera.

Tym samym, wchodząc na stronę, za pośrednictwem której korzystasz z usług finansowych pamiętaj, aby zawsze upewnić się, że witryna ta jest odpowiednio zabezpieczona i oznaczona.

Przykład prawidłowego oznaczenia znajdziesz na poniższym obrazku:

Uważaj co instalujesz

Kolejne podejście w strategii phishingu to zachęcenie ofiary do zainstalowania aplikacji lub programów rzekomo będących antywirusowymi.

W praktyce okazuje się, że obiecany program antywirusowy jest właśnie wirusem.

Taka wtyczka potrafi dać cyberprzestępcy możliwość śledzenia treści wysyłanych i otrzymywanych wiadomości esemesowych, by w ten sposób dotrzeć do wartościowych informacji.

Decydując się na zainstalowanie oprogramowania  antywirusowego, najlepiej jest korzystać jedynie z programów od sprawdzonych firm, takich jak AVG lub Avast.

Czym jest Vishing?

Druga metoda nadal chętnie stosowana i ciesząca się dużym powodzeniem to vishing.

Dokonywana jest ona w taki sposób, że oszust dzwoni do ofiary, podszywając się pod instytucje zaufane, przedstawicieli usług bankowych, a nawet kancelarię prawną.

W telefonicznej rozmowie usiłuje on wzbudzić zaufanie rozmówcy, a następnie – pod dowolnym pretekstem – prosi o jego szczegółowe dane, od loginów i haseł, poprzez numery kont, kart kredytowych, kody weryfikacyjne do kart (CVV).

Często uzasadniając taką potrzebę weryfikacją danych, modernizacją systemu komputerowego, a nawet audytem zewnętrznym obsługujących ofiarę instytucji bankowych.

Argumentem bywa także rzekomy atak hakerski na system bankowy i potrzeba sprawdzenia wiarygodności każdego, czynnego klienta.

Chwila nieuwagi może sporo kosztować

Tak wyłudzone dane wystarczą zwykle do dokonania przelewów, użycia kart kredytowych lub realizacji innych usług bankowych w imieniu ofiary, w tym także wzięcia chwilówki na dowód.

Policja uczula nas ciągle, abyśmy w żadnym razie nie podawali swoich danych poufnych w rozmowach telefonicznych.

Jeżeli faktycznie bank będzie potrzebował kontaktu z nami w sprawie zmian regulaminów, weryfikacji systemów lub innych, podobnych potrzeb, to z pewnością konsultant nigdy nie będzie pytał o hasło do konta.

Czym jest Smishing?

Ta metoda cyberprzestępstw traci nieco na sile w ostatnim czasie, ale mimo wszystko ciągle znajdują się poszkodowani.

Smishing polega na rozsyłaniu fałszywych esemesów zachęcających do zadzwonienia pod podany w esemesie numer telefonu.

Pod numerem tym najczęściej odzywa się automatyczna sekretarka prosząc o podanie zestawu danych poufnych takich jak: login, hasło do logowania na koncie bankowym, niekiedy nawet numer kart płatniczych lub kody PIN.

Znacznie częściej zamiast prośby o oddzwonienie, jest prośba o wysłanie smsa, który jak się później okazuje, kosztuje ofiarę 30-100 zł.

Jak zwykle, przynętą na naiwnych są różne obietnice otrzymania wartościowej nagrody lub wzięcia udziału w losowaniu.

Na szczęście sztuczność tej metody sprawia, że stosunkowo łatwo zorientować się o oszustwie, co nie zmienia faktu, że warto jest mieć się na baczności.

Jak wyjść z takiej sytuacji obronną ręką?

Policja i specjaliści w dziedzinie bezpieczeństwa w sieci apelują o zdrowy rozsądek i rozwagę w dokonywaniu przez nas operacji finansowych.

Cyberataki na nasze konta udają się wtedy, kiedy działamy nawykowo, bez refleksji, najczęściej w chwilach przemęczenia.

Przede wszystkim warto raz jeszcze uświadomić sobie banał, iż żaden bank nie rozsyła do klientów e-maili ani esemesów z prośbą o poufne dane osobowe i bankowe.

Żadna instytucja finansowa nie uprawia też telemarketingu wymagającego podawania takich danych telefonicznie, a tym bardziej nagrywania ich na automatyczną sekretarkę.

Nigdy nie ma też powodu do natychmiastowego logowania się na koncie bankowym albo zmian systemów i stron do logowania bez uprzedzenia klientów z wyprzedzeniem czasowym i zachowaniem pełnych środków bezpieczeństwa administracyjnego takich jak pismo urzędowe, czy komunikaty bezpośrednio na koncie po zalogowaniu.

Trzymaj rękę na pulsie

W każdym zatem przypadku, kiedy mamy cień wątpliwości, czy dana wiadomość jest bezpieczna, należy niezwłocznie skontaktować się z przedstawicielstwem banku lub innej instytucji, z której usług korzystamy pod oficjalnymi, zawsze podawanymi na stronach głównych numerami telefonów.

Ostrożności nigdy nie jest zbyt wiele, a jej brak może nas kosztować nie tylko utratę środków finansowych, ale i czasu koniecznego do zgłoszenia przestępstwa, blokady konta lub karty kredytowej i wielu innych nieprzyjemności po cyberataku.

W razie gdyby okazało się, że np. na Twoje dane została wzięta pożyczka, to pamiętaj aby od razu zgłosić się do firmy pożyczkowej i odstąpić od zawartej umowy pożyczkowej, a sprawę zgłosić na policję. Za długi można trafić do więzienia, jeżeli powstały w skutek wyłudzenia, więc podejmuj kroki od razu, aby zrzucić z siebie ewentualne oskarżenia o dokonanie malwersacji.

W tym, jak i podobnych przypadkach, obowiązują nas podstawowe zasady bezpieczeństwa. Nie podawajmy więc haseł, loginów i numerów kart kredytowych absolutnie nikomu, nie wysyłajmy ich sobie samym na konto (co, jak pokazują raporty policyjne, bywa stosowane jako strategia “pamiętania” takich danych), nie nagrywajmy się na automatyczne sekretarki podając dane poufne.

Słowem: nie bądźmy naiwni w codziennych działaniach, a cyberprzestępny nie znajdą łatwych łupów w postaci naszych pieniędzy.