Czym jest phising?

21.11.2022
Baza Wiedzy

Czym jest phising?

Phising to stary, prosty, ale o dziwo skuteczny sposób, aby wykraść Twoje dane – możesz stracić część swoich oszczędności lub co gorsze – ponieść straty wizerunkowe. Na czym polega phising? W jaki sposób działają oszuści Internetowi? Czy istnieje sposób, aby uniknąć zagrożenia?

  • Jak działa phising?
  • Jak zdemaskować oszusta Internetowego?
  • Jak uchronić się przed pseudohackerem?
  • Podsumowanie

Phising – sposób działania oszusta internetowego

Osoby korzystające z tej metody to zwykle amatorzy, którzy nie mają zbyt wiele wspólnego z hackerami – z tego powodu będziemy nazywać ich po prostu oszustami Internetowymi, albo pseudohackerami. Phising polega na kopiowaniu domeny, aby wyglądała identycznie, jak witryna, którą zamierzamy odwiedzić.

Na samym początku oszust zakłada konto hostingowe, powiela zawartość wybranej przez siebie strony Internetowej (zazwyczaj wyłącznie stronę logowania) i zakłada fałszywą witrynę, która ma podobną nazwę, aby nie budziła podejrzeń swojej ofiary. Kolejny krok to znalezienie potencjalnej ofiary – zazwyczaj odbywa się to poprzez komunikatory internetowe, portale randkowe lub drogą e-mail’ową (takie wiadomości zazwyczaj lądują w spamie), a najbardziej zuchwali oszuści umieszczają swój link w grupach Facebookowych.

Kliknięcie w link nie oznacza, że zostałeś okradziony – musisz jeszcze podać swoje dane. Jeśli nie zwróciłeś uwagi na kilka szczegółów i wpisałeś login oraz hasło mogą zacząć się problemy.

Phising – czy jest się czego obawiać?

Czy powyższy scenariusz zdarzeń brzmi dla Ciebie przerażająco? Jeśli tak, to przedstawię Ci kilka sposobów na zdemaskowanie oszusta:

  1. Brak certyfikatu SSL – strona phisingowa w znakomitej większości przypadków nie posiada certyfikatu bezpieczeństwa. Jak to sprawdzić? W pasku przeglądarki znajduje się mała kłódka, która informuje, czy strona jest bezpieczna – jej brak oznacza brak SSL. Ponadto adres takiej strony zaczyna się od http://, podczas gdy zabezpieczona strona zaczyna się od https://. UWAGA: zdarza się również, że skończył się termin usługi SSL, a właściciel domeny zapomniał lub nie zdążył jeszcze opłacić certyfikatu.
  2. Dziwny adres witryny – weźmy pod lupę najbardziej popularny serwis społecznościowy – Facebook. Zwróć uwagę, że jego adres internetowy poprzedzony jest kłódką i nie zawiera dziwnych znaków. Jeśli trafisz na niezabezpieczoną stronę, która jest zwyczajną imitacją tego portalu społecznościowego, będzie miała dziwny, nienaturalny adres domeny: np. bit.ly/fac3b00k.
  3. Jeśli posiadasz dobrego antywirusa, w większości przypadków poinformuje Cię on, że strona była phisingowa i automatycznie zablokuje Ci do niej dostęp. Nie nabierz się na zapewnienia oszusta, który twierdzi, że powinieneś wyłączyć zabezpieczenia i spróbować jeszcze raz.

Pseudo-hacker na wszelkie sposoby będzie próbował zdobyć Twoje wrażliwe dane. Początkowo oszust będzie podszywać się pod inną osobę, następnie spróbuje zdobyć Twoje zaufanie, aby pozbawić Cię tego, na czym najbardziej Ci zależy – Twoich oszczędności lub prywatności.

Jak uniknąć zagrożenia?

Jeśli w jakiś sposób oszust zdobył Twoje dane, na adres e-mail zostaną wysłane do Ciebie wiadomości o podejrzanych próbach logowania – nie ignoruj tego! Zmień swoje hasła i wyloguj się ze wszystkich urządzeń.

Najlepszy sposób ochrony przed tego typu oszustwem to dobry antywirus, Twoja czujność i zabezpieczenie logowania do Twojego konta metodą wieloetapową. Oszust nie będzie w stanie zdziałać niczego, jeśli nie ma dostępu do Twojego telefonu komórkowego – musiałby przecież potwierdzić logowanie kodem SMS lub uzyskać dostęp do powiadomień.

WARTO ZAPAMIĘTAĆ: Phising nie zapewnia dostępu do Twojego telefonu komórkowego!

Jako doświadczony użytkownik Internetu zdajesz sobie sprawę, że nie warto wierzyć we wszystkie informacje. Możesz łatwo uniknąć przykrych sytuacji, weryfikując fakty. Na przykład, jeśli na platformie społecznościowej znajdziesz informacje, że jakiś znany celebryta nie żyje, klikniesz w felerny link i wyświetli Ci się panel logowania, to zweryfikuj najpierw tę informację – po prostu użyj wyszukiwarki.

Korzystasz z portali randkowych i oszust, podający się za piękną kobietę (lub przystojnego mężczyznę) wydaje Ci się podejrzany? Użyj wyszukiwarki obrazów i zweryfikuj zdjęcie – pseudohackerzy używają fikcyjnych kont i VPN (rzadziej przeglądarki TOR), myśląc, że w ten sposób zachowują swoją anonimowość. Gwarantuję Ci, że korzystając z rad zawartych w tym artykule, zweryfikujesz oszusta w kilka chwil. Zgłoszenie sprawy na policję, najlepiej poprzez udanie się bezpośrednio do wydziału do spraw cyberprzestępczości zazwyczaj ma ekspresowy skutek – komputer pseudohackera zostanie zabezpieczony, a sprawą zajmie się prokurator.

W ITH w ramach usługi ITH NaaS proponujemy dedykowane routery dostępowe Fortigate – które zapewniają filtrację i inwigilację ruchu. Fortigate jest w stanie wykrywać fałszywe strony internetowe i je blokować. 

Phising – podsumowanie

Metoda oszustwa zwana phising’iem jest tak stara, jak sam Internet. Oszust podaje się za kogoś innego lub tworzy witrynę, która jest łudząco podobna do oryginału – taka strona posiada jednak łatwe do rozpoznania niedoskonałości. W rzeczywistości, jeśli używasz dobrego antywirusa, jesteś uważny i posiadasz zabezpieczenia, w postaci wieloetapowego logowania nie musisz obawiać się niczego.