Cyber Piątki - phishing na wodach internetu
Korzystanie z poczty elektronicznej jest obecnie dość oczywistą sferą życia w internecie. Często stanowi nawet konieczność, nie tylko w pracy, ale i przy zakupach online i korzystaniu z różnego rodzaju usług. Niestety, jak to w życiu bywa, w internecie mogą pojawić się osoby chcące nas oszukać. Po czym rozpoznać, że wiadomość na skrzynce pocztowej pochodzi właśnie od oszusta?
Phishing - łapanie na przynętę
Bardzo groźnym rodzajem podejrzanych wiadomości mailowych są takie, które określamy jako phishing. Na czym polega ta metoda? W skrócie: oszust podejmując z nami próbę kontaktu "zarzuca wędkę", licząc na to, że złapiemy się na jego przynętę. Phishing zakłada podszywanie się pod faktycznie istniejącą osobę, firmę czy instytucję, dla przyniesienia oszustowi określonych korzyści. Choć mogą to być pieniądze, czasem zdobyczą mogą stać się po prostu dane osobowe lub hasła i loginy do określonych kont. Dzięki temu, osoba stojąca za fałszywymi wiadomościami może, na przykład, przelać środki zgromadzone na naszym koncie bankowym, albo wziąć chwilówkę na dane osobowe, które sami mu dostarczyliśmy.
Sposób na złowienie grubej ryby
Metody phishingu są różne i często zakładają stosowanie tzw. socjotechniki. Polega ona na wykorzystaniu różnych trików, mających za zadanie zmylić nas co do prawdziwej tożsamości albo intencji osoby, która ją stosuje. Przykładową techniką jest presja czasu - gdy ktoś cały czas sugeruje, że musimy się pospieszyć, możemy nie pomyśleć - czemu właściwie mamy to robić? Inną formą socjotechniki jest stosowanie prawdziwych danych i symboli, którymi posługuje się dana firma. Przykładowo: adres mailowy, który przypomina prawdziwy.
Zamiast otrzymać e-mail z adresu urzędnika: jan_kowalski@um.poznan.pl
Adres e-mail oszusta może wyglądać tak: jan_kowalski@ump.poznann.pl
Jak widać, różnica jest subtelna, ale nadal - tylko jeden z powyższych adresów jest prawdziwy. Najlepsza socjotechnika zakłada właśnie wykorzystanie jak największej ilości danych, które są prawdziwe lub sprawiają takie wrażenie. Oszuści pozyskują je najczęściej z internetu - portali społecznościowych, stron internetowych firm i wielu, wielu innych.
Obrona przed wędką
Czy możemy bronić się przed phishingiem? Do pewnego stopnia - tak. Sposoby są różne, jednak przede wszystkim, należy zachować spokój i opanowanie. Przykład? Dostajemy e-mail od banku, który twierdzi, że natychmiast musimy przelać pieniądze za karne odsetki na wskazany numer konta - inaczej komornik za 20 minut zajmie nasze konto! Na szczęście, jest to tylko 21,37 zł. Czy powinniśmy zapłacić?
Oczywiście, że nie! Przede wszystkim pomyślmy - czy faktycznie mamy do zapłaty jakieś odsetki? A czy bank skontaktowałby się z nami w ten sposób? Raczej nie. Jeżeli mamy wątpliwości, zadzwońmy na infolinię, której numer znajduje się na stronie internetowej banku. Pracownik wyjaśni nam, że ta wiadomość nie została wysłana przez bank, a przez oszusta. Być może nawet pogratuluje nam czujności. Możemy również przejść się do oddziału banku, jeżeli wolimy kontakt osobisty, zamiast telefonicznego.
Inną formą oszustwa jest takie, które chce zagrać na naszej dobroci. Przykładowo - otrzymujemy wiadomość mailową od osoby podającej się za bogatego biznesmena z Bliskiego Wschodu. Potrzebuje pomocy, ponieważ musi uciekać ze swojego państwa, gdzie grozi mu niebezpieczeństwo. Co prawda chce, żebyśmy przelali mu tylko 500 zł na bilet lotniczy, ale - odwdzięczy się nam, przelewając potem 100 000 euro!
Oczywiście, taki przypadek nietrudno rozpoznać jako próbę oszustwa. Co jednak, jeżeli zamiast biznesmena, pisze do nas osoba z bliskiej rodziny, z którą jakiś czas nie mieliśmy kontaktu? Czy powinniśmy uwierzyć w każde słowo tylko dlatego, że prośbę o przelanie drobnej kwoty wysłał ukochany wujek Staszek?
Ponownie - ważny jest rozsądek. Zastanówmy się, czy wiadomość na pewno wysłała osoba, która podaje się za jej nadawcę. Czy zgadza się adres e-mail? Czy znajdują się w niej sygnały świadczące o próbie oszustwa, na przykład zwroty pochodzące z języka obcego lub nie pasujące do sposobu pisania nadawcy? Zawsze warto weryfikować informacje, więc zadzwońmy - tutaj do wujka Staszka - i spytajmy, czy faktycznie to on wysłał tą wiadomość. Nawet jeśli pochodzi ona z jego adresu e-mail - konto zawsze mogło zostać przejęte przez oszusta, lub ktoś może się pod ten adres podszywać.
Podsumowanie
Phishing to wyjątkowa forma oszustwa - wykorzystuje to, że sami przekazujemy sprawcy to, co chce otrzymać. Zakłada ona zarówno mało wyrafinowane wiadomości, które dość łatwo określić jako próbę oszustwa, jak i treści do złudzenia przypominające prawdziwy e-mail. Aby ustrzec się przed problemami, musimy przede wszystkim zachować spokój, rozsądek i pamiętać o sprawdzaniu informacji. Skoro w codziennym życiu nie wierzymy każdemu na słowo - to samo róbmy w internecie!
Cykl porad o bezpieczeństwie w internecie powstał z inicjatywy Biura Cyfryzacji i Cyberbezpieczeństwa Urzędu Miasta Poznania. Zachęcamy do obserwowania Infoteki (poznan.pl/smartcity/infoteka), żeby nie przegapić kolejnych porad i wielu innych, ciekawych informacji z Poznania.
KS