Cyberprzestępcy stosują coraz bardziej przebiegłe techniki, a do najniebezpieczniejszych z nich zalicza się phishing. Co to jest, czym grozi i jak się przed nim ochronić? Poznaj odpowiedzi na te pytania i sprawdź rzeczywiste przykłady phishingu.

Co to jest phishing? Definicja pojęcia

Zacznijmy od wyjaśnienia, czym jest phishing. Można go zdefiniować jako metodę podszywania się pod instytucje lub osoby, np. policję, bank, kuriera, urząd skarbowy, operatora telefonicznego, zakład energetyczny czy towarzystwo ubezpieczeniowe.

Oszuści podczas akcji phishingowych oddziałują na emocje swoich ofiar – wywierają na nich presję czasu, wzbudzają w nich lęk czy niepewność, a także wykorzystują ich zaufanie i łatwowierność. Przyjmują fałszywą tożsamość, aby przejąć poufne informacje, w tym:

• loginy,
• hasła,
• numery PESEL,
• numery PIN,
• daty urodzenia,
• dane kart kredytowych,
• kody SMS,
• numery telefonów.

Nie bez przyczyny słowo „phishing” brzmi niemal tak samo jak „fishing”, które z angielskiego oznacza łowienie ryb. Przynętą może być np. informacja o wygranej w loterii – przestępcy nakłaniają ofiarę, aby podała dane swojego rachunku bankowego, na które rzekomo przeleją pieniądze. W rzeczywistości włamują się na jej konto.

Na czym polega SMS Phishing?

Inny przykład phishingu to ataki z użyciem telefonu, tzw. smishing. Internetowy oszust może np. podszyć się pod firmę kurierską, aby zażądać od odbiorcy symbolicznej kwoty dopłaty za dostawę. Oszuści wychodzą z założenia, że ich ofiara w momencie odczytania SMS-a oczekuje na paczkę. Jeśli kliknie w podany link do fałszywej strony banku czy systemu płatności online, a następnie poda swoje dane, może stracić oszczędności – oszuści będą w stanie włamać się na jej konto bankowe.

Phishing w mediach społecznościowych

Cyberprzestępcy w celu przeprowadzania ataków phishingu wykorzystują również media społecznościowe i komunikatory. Zakładają fałszywe profile i podszywają się pod inne osoby. Nawiązują kontakt ze swoją ofiarą oraz starają się zdobyć jej zaufanie. Po pewnym czasie proszą o podanie prywatnych danych lub dokonanie przelewu na określoną kwotę.

Phishing – przykłady z życia wzięte

Poznaj rzeczywiste sytuacje, w których cyberprzestępcy zastosowali phishing. Przykłady dotyczą m.in. podszywania się pod bank, dostawcę poczty czy portal aukcyjny. Zachowaliśmy oryginalną treść komunikatów – często zawierają one błędy językowe.

Blokada dostępu do kont użytkowników banku PKO BP

W marcu 2023 roku cyberprzestępcy podszyli się pod bank PKO BP. Przesłali do jego klientów automatyczną wiadomość SMS, w której poinformowali o ich rzekomo podejrzanej aktywności.

„IPKO: Zablokowalismy Twoj dostep online z powodu podejrzanej aktywnosci. Zaloguj sie tutaj: LINK, aby odblokowac”.

Jeśli użytkownik kliknął w link, ukazał mu się formularz z prośbą o podanie poufnych informacji, w tym hasła logowania do banku, numeru PESEL oraz danych karty płatniczej. Dzięki ich pozyskaniu internetowi oszuści mogli włamać się na konta swoich ofiar i ukraść ich pieniądze.

Przeniesienie kart eSIM klientów Plus i Play

Internetowi oszuści w czerwcu 2023 roku wysłali e-maile na skrzynki klientów dwóch operatorów telefonii komórkowej – Plus i Play. W treści wiadomości informowali o przeniesieniu karty eSIM użytkownika i zachęcali do kliknięcia w link, aby anulować taką operację.

„Drogi kliencie, Dziękujemy za przeniesienie Sima do eSim, jeśli nie pytałeś o to przeniesienie, kliknij poniższy link, aby anulować zamówienie”.

Link przekierowywał na fałszywą stronę, która przypominała serwis operatora i służyła przejęciu danych logowania. Pozwalały one przestępcom uzyskać dostęp do kont klientów, a następnie ukraść dane osobowe czy aktywować lub wyłączyć usługi u operatora.

Przykład phishingu z wykorzystaniem kodów QR

W kwietniu 2023 roku cyberprzestępcy podszyli się pod Służbę Celno-Skarbową. Przesłali do wielu Polaków wiadomości e-mail z zawiadomieniem o zwrocie podatku. Poinformowali swoje ofiary, że mogą otrzymać należne pieniądze, jeśli zeskanują kod QR.

„Temat: Potwierdzenie zatwierdzonego wniosku o zwrot podatku za okres od stycznia 2023 do marca 2023

Drogi Obywatelu,
Mamy zaszczyt poinformować, że Pański wniosek o automatyczny zwrot podatku za okres od stycznia 2023 do marca 2023 został pomyślnie zatwierdzony.
Aby odebrać zwrot podatku, proszę odwiedzić najbliższe biuro administracji podatkowej i przedstawić swoje dane identyfikacyjne lub zalogować się na nasz portal internetowy poprzez skanowanie poniższego kodu QR:

KOD QR

Prosimy o użycie tymczasowego hasła podczas logowania.

HASŁO

Zwracamy uwagę, że tymczasowe hasło wygaśnie 24 godziny po otrzymaniu tej wiadomości, jako środek ostrożności mający na celu zapewnienie bezpieczeństwa transakcji.
Jeśli mają Państwo jakieś dodatkowe pytania lub potrzebują pomocy, prosimy o kontakt z nami.

Z poważaniem,
PUESC Polska”

Użytkownicy, którzy zeskanowali podany kod QR, zostali automatycznie przekierowani na stronę podszywającą się pod Krajową Administrację Skarbową. Następnie cyberprzestępcy nakłaniali do podania hasła z wiadomości e-mail, numeru PESEL i nazwiska panieńskiego matki, a także wybrania swojego banku.

Fałszywe wiadomości od Allegro Lokalnie

W marcu 2023 roku internetowi przestępcy przeprowadzili akcję phishingową, w ramach której podszyli się pod serwis Allegro Lokalnie. Wysłali do swoich ofiar wiadomość mailową, wykorzystując logo i kolorystykę Allegro.

„Witaj, przyjazne przypomnienie, że Twoje konto nadal zalega z opłatami. Jesteś winien opłaty.

Od pewnego czasu stan Twojego Konta na Allegro pokazuje zaległą kwotę.

Twoje zadłużenie na dzień 07.03.2023 wynosi 1,40 zł. Proszę dokonać tej płatności.”

Oszuści pod mailem umieścili przycisk Zapłać teraz. Przenosił on użytkowników na fałszywe strony, które służyły wyłudzaniu loginu i hasła logowania do serwisu Allegro oraz danych kart płatniczych.

Zawiadomienie o zamknięciu skrzynki e-mail

W lutym 2023 roku do użytkowników poczty Onetu trafiła wiadomość od nadawcy, który podszył się pod administrację tej firmy.

„Onet Mail nie będzie już korzystać z aplikacji innych firm (takich jak poczta e-mail, kalendarz lub aplikacje innych firm) przy użyciu wygasłych metod logowania. Innymi słowy, niedawno zmieniliśmy nasze warunki korzystania z usługi i zamkniemy wszystkie adresy e-mail korzystające z naszych starych usług. Oznacza to po prostu, że Twoje konto e-mail zostanie wyłączone po 10.02.2023. Jeśli chcesz nadal korzystać z naszych usług e-mail, zaakceptuj nasze nowe warunki, aby uniknąć zamknięcia poczty.

Zalecamy rozpoczęcie procesu od przeczytania poniższej instrukcji:

Nowe warunki

Jeśli dokonałeś już niezbędnych zmian na swoim koncie, doceniamy szybkie działanie!

Z wyrazami szacunku,
Grupa Onet.pl S.A.”

Gdy użytkownik poczty kliknął w link „Nowe warunki”, został przekierowany na stronę z formularzem, który służył do przejęcia danych logowania na skrzynkę pocztową – nazwy użytkownika, hasła i adresu e-mail. Oszuści posłużyli się logo Onetu, aby uśpić czujność swoich ofiar.

Zawieszenie konta na Netflixie

W lipcu 2022 roku internetowi przestępcy podszyli się pod administracje Netflixa. Wysłali do swoich ofiar wiadomości e-mail, w których poinformowali o zawieszeniu kont z powodu błędu w autoryzacji płatności. Taką informację przesyłali do przypadkowych adresatów – bez względu na to, czy mieli oni konto na Netflixie.

„Drogi użytkowniku,

Nie byliśmy w stanie autoryzować Twojej płatności za kolejny cykl rozliczeniowy Twojej subskrypcji, dlatego zawiesiliśmy Twoje członkostwo. Ale Twoja obecna subskrypcja jest aktywna do momentu jej wygaśnięcia.

Oczywiście bardzo byśmy chcieli, abyś do nas wrócił, wystarczy kliknąć przycisk resetowania członkostwa, aby zaktualizować swoje dane i dalej cieszyć się najlepszymi programami telewizyjnymi i filmami bez przerwy.

Przywróć członkostwo
Zespół Netflix”

Jeśli ofiara kliknęła w link „Przywróć członkostwo”, znalazła się na fałszywej stronie Netflixa. Przestępcy nakłaniali ją do podania danych osobowych oraz informacji z karty płatniczej.

Ankieta od Ministerstwa Finansów

W czerwcu 2022 roku wielu Polaków otrzymało wiadomość SMS, której rzekomym nadawcą było Ministerstwo Finansów. Zostali oni poproszeni o wypełnienie ankiety.

„Akcja Ministerstwa Finansów
Zapraszamy do udziału w krótkiej ankiecie. Został stworzony wyłącznie w celu poprawy jakości obsługi klienta. Musimy poznaj Twoją opinię na temat prezentowanych produktów i usług bankowych. Za wypełnienie ankiety na konto lub kartę wpłacimy 250 zł.

Wypełnij ankietę”

Po kliknięciu w link „Wypełnij ankietę” użytkownicy znaleźli się na stronie, która podszywała się pod serwis Ministerstwa Finansów – oszuści zamieścili na fałszywej witrynie godło Polski i nazwę domeny gov.pl. Czujny użytkownik mógł dostrzec, że przycisk przechodzenia do kolejnej strony ankiety ma napis w języku angielskim („Large button”). Osoby, które wypełniły ankietę do końca, były następnie proszone o wybranie swojego banku i wprowadzenie danych, aby otrzymać należne wynagrodzenie. Przestępcy mogli w ten sposób przejąć dostęp do kont ofiar.

Phishing email – co to jest? Czym cechują się fałszywe maile?

Internetowi oszuści najczęściej wysyłają do potencjalnych ofiar wiadomości mailowe, aby pozyskać poufne dane. Phishing e-mail jest skuteczną techniką, ponieważ pozwala wykorzystywać tzw. efekt skali. Wiadomość trafia automatycznie nawet do wielu tysięcy odbiorców. Istnieje więc spora szansa, że przynajmniej niewielka część z nich da się oszukać – np. przez własną nieuwagę, pośpiech czy zmęczenie.

Cyberprzestępcy zachęcają swoje ofiary, aby kliknęły w przesłany w wiadomości link lub pobrały załącznik. W pierwszym przypadku zostają przekierowane na fałszywą stronę z formularzem do wypełnienia. Witryny tego rodzaju do złudzenia przypominają prawdziwe strony banku lub innej instytucji. Oszust może również poprosić o przesłanie poufnych informacji w treści maila zwrotnego.

Jeżeli użytkownik pobierze załącznik, może zainstalować szkodliwe oprogramowanie. Posłuży ono cyberprzestępcy do wyłudzenia poufnych danych lub przejęcia kontroli nad urządzeniem.

Phishing email można rozpoznać na podstawie typowych cech tej metody. Sprawdź, jak uchronić się przed takim phishingiem.

Niebezpieczne linki

W treści podejrzanych wiadomości często znajdują się odnośniki, które prowadzą do fałszywych stron. Przestępcy próbują za ich pomocą przejąć poufne dane lub skłonić do pobrania złośliwej aplikacji. Możesz podejrzewać phishing, jeśli adres linku jest przesadnie długi, zawiera literówki czy błędy.

Prośba o podanie poufnych danych

Pamiętaj, że bank, kurier ani żaden inny dostawca usług nie powinien prosić cię o podanie poufnych danych za pośrednictwem poczty elektronicznej. Nie wysyłaj więc w wiadomościach e-mail swojego loginu, hasła, numeru PESEL czy danych karty płatniczej.

Strony, które wyglądają prawie jak prawdziwe

Internetowi oszuści zakładają strony, które trudno odróżnić od prawdziwych serwisów. Aby podszyć się pod znane marki, posługują się m.in. ich logo, kolorystyką i symbolami oraz naśladują język komunikacji. Najczęściej jednak możesz dostrzec drobne szczegóły, które odróżniają fałszywe strony od oryginału. Przykładowo – w nazwie domeny zamiast Microsoft może widnieć Mlcrosoft.

Najważniejsze znaki ostrzegawcze

Fałszywe wiadomości i strony rozpoznasz m.in. na podstawie błędów językowych, fragmentów w obcym języku czy dziwnie wyglądającym adresie nadawcy. Dla pewności warto skontaktować się z daną firmą – przy użyciu jej oficjalnych kanałów komunikacji.

Wiadomości wysyłane masowo

Przestępcy zwykle przeprowadzają ataki phishingowe na masową skalę. Fałszywe wiadomości trafiają więc do wielu przypadkowych użytkowników. Możesz np. otrzymać powiadomienie od osoby podszywającej się pod operatora, u którego nie masz umowy.

Korzystaj z systemu antywirusowego

Sprawdź, czy oprogramowanie potrafi automatycznie blokować podejrzane strony i ostrzegać przed niebezpieczeństwem. Skuteczną ochronę zapewni ci nasz pakiet Bezpieczny Internet.

Padłeś ofiarą phishingu? Reaguj jak najszybciej

Jeśli zorientujesz się, że zostałeś ofiarą phishingu, jak najszybciej zmień swoje hasła i inne dane dostępowe, które podałeś internetowym oszustom. Poinformuj także o zdarzeniu policję oraz obsługę klienta, np. banku czy poczty. Możesz też zgłosić incydent w serwisie Cert.pl.

Phishing, czyli jedno z najpoważniejszych cyberzagrożeń dla firm

Phishing jest o tyle niebezpieczny, że jego ofiarami często zostają pracownicy wysokich szczebli w firmach, a preparowane, szkodliwe wiadomości bywają niemal identyczne z prawdziwymi – mowa tu m.in. o tzw. spear phishingu. O tym, jak phishing może wpłynąć na działanie firm, przeczytasz w naszym artykule o rodzajach ataków hakerskich na firmy (atak na BlackEnergy).

Nie można dopuścić do podobnej sytuacji, dlatego warto wdrożyć w firmie odpowiednie usługi chroniące przed phishingiem. Jakie to są rozwiązania?

Zadbaj o ochronę poczty wszystkich swoich pracowników. Filtry anty-malware, anty-SPAM czy anty-phishing to podstawa. Do tego warto mieć zaawansowaną ochronę przed wyciekami danych z poczty. Wszystko to znajdziesz w usłudze Netia Ochrony Poczty.

Choć zagrożenia przychodzą często z zewnątrz, w wielu przypadkach to od pracowników zależy, czy hakerom uda się przeprowadzić zamierzony atak. Chcesz sprawdzić, czy twoi pracownicy są świadomi niebezpieczeństw czyhających w sieci i nie odpowiadają na podejrzane maile? Przeprowadź w pełni kontrolowany i bezpieczny atak hakerski przy pomocy usługi Netia Phishing-on-Demand. Nie tylko sprawdzimy gotowość pracowników, ale też przekażemy odpowiednie wnioski i doradzimy, jak lepiej chronić dane twojej firmy.

Phishing jest niebezpiecznym zagrożeniem nie tylko dla użytkowników indywidualnych, ale również dla firm. Sprawdź też, co to jest spear phishing, vishing, whaling oraz czym jest smishing. W wykrywaniu tego typu zagrożeń pomocna może być usługa Netia Phishing-on-Demand dla firm.