gov.pl
Serwis informacyjno-usługowy dla przedsiębiorcy
Biznes.gov.pl

Phishing

Phishing to jedna z najczęściej spotykanych form cyberataku. Polega na podszywaniu się pod zaufane instytucje lub osoby, żeby wyłudzić dane, zainstalować złośliwe oprogramowanie lub przejąć dostęp do kont. Techniczne zabezpieczenia są ważne, ale w przypadku phishingu kluczowe znaczenie ma czujność użytkownika i umiejętność rozpoznawania podejrzanych wiadomości.

Czym jest phishing

Phishing to rodzaj ataku internetowego polegający na podszywaniu się pod inne osoby lub instytucje w celu wyłudzenia danych, informacji poufnych lub zainfekowania komputera.

Podobnie jak inne cyberataki może być kierowany do wielu odbiorców równocześnie, ale jego charakterystyczną cechą jest próba uzyskania poufnych danych wykorzystywanych do logowania – na przykład do mediów społecznościowych, bankowości elektronicznej czy konta pocztowego.

Jedną z najpopularniejszych form phishingu są wiadomości e-mail. Cyberprzestępcy wykorzystują zaufanie odbiorcy do znanych podmiotów i podszywają się pod bank, urząd skarbowy, policję, pracodawcę, a nawet znajomych. Posługują się nazwami i logotypami firm oraz instytucji, aby zwiększyć wiarygodność wiadomości. Dzięki temu ofiara chętniej wykonuje sugerowane działania, co może prowadzić do ujawnienia danych bankowych, numerów kart kredytowych, haseł i loginów.

Charakterystycznym elementem wiadomości phishingowych jest także umieszczony w nich link oraz ponaglenie do natychmiastowego działania. Link może prowadzić do fałszywej strony logowania lub służyć do pobrania złośliwego oprogramowania.

Co to jest spam

Spam to niechciane wiadomości wysyłane masowo przez firmy lub innych nadawców.

Większość spamu to reklamy, ale część wiadomości może być szkodliwa – zawierać phishing lub złośliwe oprogramowanie. Dlatego nigdy nie klikaj linków zamieszczonych w wiadomościach e-mail, w mediach społecznościowych ani w SMS-ach, jeśli nie masz całkowitej pewności, że są bezpieczne.

Kliknięcie złośliwego odnośnika może spowodować pobranie malware, w tym ransomware, nie tylko na twój komputer, ale także na całą sieć domową lub służbową.

Jak rozpoznać e-maile phishingowe

Odróżnienie wiadomości phishingowych od prawdziwych nie zawsze jest łatwe. Ataki są coraz bardziej wyrafinowane, ale istnieje kilka elementów, na które warto zwrócić uwagę.

Temat wiadomości e-mail

Temat wiadomości często ma wywołać niepokój lub poczucie pilności.

Przykładowe tytuły to „Twoje konto zostanie zablokowane” czy „GRATULACJE!!!”. Często cechują je przesadnie emocjonalne sformułowania, duże litery i niestandardowa interpunkcja. Zawsze czytaj tematy wiadomości przed ich otwarciem i zachowaj ostrożność, jeśli budzą niepokój lub wyglądają nienaturalnie.

Nadawca

Adres nadawcy może wyglądać wiarygodnie, ale zawierać subtelne różnice, na przykład: sam@microsoft.info.cc. Większość firm używa adresów z końcówką .com, a w Polsce – .pl lub .gov.pl. Jeżeli adres jest nietypowy lub zawiera dodatkowe człony, lepiej nie otwierać wiadomości ani nie klikać znajdujących się w niej odnośników.

Treść wiadomości

Treść wiadomości phishingowej zazwyczaj ma alarmujący charakter i nakłania do natychmiastowego działania. Często pojawiają się w niej błędy językowe i gramatyczne. Zdarza się też, że nadawca błędnie odmienia imię odbiorcy albo zamiast imienia używa ogólnych zwrotów, podkreślających rzekomą wyjątkową rolę odbiorcy.

Wiele programów pocztowych pozwala wyświetlić treść wiadomości w podglądzie bez pełnego otwierania. To dobry sposób, by spokojnie ją ocenić. Unikaj klikania hiperłączy we wiadomościach, chyba że spodziewasz się konkretnego e-maila i masz pewność co do tożsamości nadawcy.

Cechy charakterystyczne e-maili phishingowych

  • Temat wiadomości ma wywołać niepokój lub poczucie pilności (np. groźba blokady konta, przesadna ekscytacja).
  • Adres nadawcy wygląda podobnie do prawdziwego, ale zawiera nietypowe lub podejrzane elementy.
  • Treść wiadomości nakłania do natychmiastowego działania.
  • W tekście pojawiają się błędy językowe i gramatyczne.
  • W wiadomości mogą być błędnie zapisane dane odbiorcy (np. imię) lub zastąpione ogólnymi zwrotami.
  • Wiadomość zawiera link prowadzący do fałszywej strony logowania albo pobierający złośliwe oprogramowanie.

Rodzaje ataków phishingowych

Phishing jest jednym z najczęściej spotykanych zagrożeń w internecie. Większość osób zna ogólny schemat jego działania, ale wciąż wiele organizacji pada jego ofiarą. Codziennie miliony firm otrzymują wiadomości podszywające się pod legalne źródła, zawierające fałszywe linki lub złośliwe załączniki.

Phishing nie ogranicza się już tylko do e-maili. Obecnie takie ataki są przeprowadzane również za pośrednictwem SMS-ów, mediów społecznościowych i rozmów telefonicznych.

Spear phishing

Spear phishing to atak ukierunkowany na konkretną osobę, na przykład pracownika danej organizacji. Wiadomości są starannie przygotowane z uwzględnieniem informacji o życiu zawodowym i osobistym ofiary. Celem jest uzyskanie dostępu do systemów organizacji, często w celu zainstalowania ransomware lub innego złośliwego oprogramowania.

Takie wiadomości mogą wyglądać bardzo wiarygodnie. Jeśli w pracy otrzymasz nietypowy e-mail od współpracownika lub partnera biznesowego, warto skontaktować się z tą osobą telefonicznie lub osobiście, aby potwierdzić autentyczność wiadomości. Szczególnie narażeni na spear phishing są nowi pracownicy, dlatego szkolenia z cyberbezpieczeństwa warto przeprowadzać już pierwszego dnia pracy.

Whale phishing

Whale phishing jest odmianą spear phishingu, ale jego celem jest wyższa kadra kierownicza, w szczególności osoby odpowiedzialne za finanse lub zasoby ludzkie. Techniki stosowane w tych atakach są bardziej subtelne, a przestępcy często naśladują styl komunikacji pracowników wyższego szczebla.

Celem jest wyłudzenie poufnych dokumentów, na przykład list płac, zawierających dane osobowe, adresy oraz informacje o numerach kont bankowych.

Vishing i smishing

Vishing i smishing to odmiany phishingu wykorzystujące komunikację telefoniczną.

  • Smishing polega na wysyłaniu fałszywych SMS-ów, które zawierają link lub prośbę o pilną reakcję. Często dotyczą rzekomej dopłaty do przesyłki lub konieczności uregulowania zaległej opłaty.
  • Vishing to oszustwo telefoniczne. Przestępca może podszywać się pod pracownika banku, policjanta lub przedstawiciela firmy odszkodowawczej. Celem jest uzyskanie danych kart płatniczych, dostępów do bankowości elektronicznej albo zdalnego dostępu do telefonu ofiary.

Aby ograniczyć ryzyko, odbieraj połączenia tylko z rozpoznanych numerów. Jeśli nieznany rozmówca prosi o podanie poufnych danych, najlepiej się rozłączyć i zablokować numer. Przestępcy potrafią także podszyć się pod nazwę lub numer instytucji (na przykład „Mój Bank”), dlatego w razie wątpliwości przerwij rozmowę i samodzielnie zadzwoń na oficjalny numer infolinii podany na stronie internetowej banku.

W przypadku SMS-ów najbezpieczniej jest ignorować i usuwać wiadomości zawierające linki, szczególnie jeśli wzywają do natychmiastowego działania.

Angler phishing

Angler phishing wykorzystuje media społecznościowe. Przestępca może podszyć się pod konto obsługi klienta lub oficjalny profil firmy, aby skontaktować się z niezadowolonymi użytkownikami. Celem jest skłonienie ofiary do przekazania danych osobowych lub danych logowania.

Świadomość jako linia obrony

Jeśli otrzymasz e-mail, SMS lub telefon od osoby podającej się za pracownika banku lub innej instytucji, zachowaj ostrożność. Prawdziwe firmy nie proszą o podanie haseł czy pełnych danych bankowych w wiadomości ani podczas niespodziewanego połączenia.

W razie wątpliwości bezpieczniej jest usunąć wiadomość lub zakończyć rozmowę, a następnie samodzielnie skontaktować się z instytucją, korzystając z numeru podanego na jej oficjalnej stronie internetowej.

Nie istnieją techniczne środki, które całkowicie wyeliminują phishing. Atak dotyczy przede wszystkim ludzi, a nie systemów. Oszuści wykorzystują pośpiech i stres, tworząc poczucie pilnej sytuacji – straszą blokadą konta lub karą finansową, aby skłonić ofiarę do pochopnego działania. Takie metody należą do inżynierii społecznej (socjotechniki), czyli manipulowania ludźmi zamiast technologią.

Najskuteczniejszym sposobem ochrony przed phishingiem jest edukacja i budowanie świadomości użytkowników.

gov.pl /

Mapa Biznes.gov.pl

Portal nadzorowany jest przez Ministerstwo Rozwoju i Technologii. Partnerzy projektu: Sieć Badawcza Łukasiewicz - Poznański Instytut Technologiczny, Krajowa Izba Gospodarcza. Projekt jest współfinansowany z Programu Polska Cyfrowa ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego i jest kontynuacją projektu pt.: "Centralna Ewidencja i Informacja o Działalności Gospodarczej" finansowanego z Programu Innowacyjna Gospodarka oraz projektu "Uproszczenie i elektronizacja procedur" finansowanego z Programu Kapitał Ludzki.

Artykuły zamieszczone w serwisie GOV.PL, w których nie podajemy żadnych dodatkowych informacji na temat praw autorskich, należą do informacji publicznych i udostępniamy je bezpłatnie. Korzystanie z nich, niezależnie od celu i sposobu korzystania, nie wymaga zgody Ministerstwa. Dostępne są w ramach licencji Creative Commons Uznanie Autorstwa 3.0 Polska. Serwis Biznes.gov.pl używa plików cookies. Kontynuując przeglądanie naszej witryny bez zmiany ustawień przeglądarki, wyrażasz zgodę na użycie plików cookie. Zawsze możesz zmienić ustawienia przeglądarki i zablokować te pliki.

Fundusze Europejskie Flaga RP Unia Europejska