Phishing to forma oszustwa, w którym przestępca podszywa się pod kogoś innego – na przykład współpracownika, dawnego znajomego, prezesa firmy czy pracownika obsługi klienta banku. Cele oszustów mogą być różne, ale najczęściej chodzi po prostu o pieniądze lub poufne dane. Wiadomości phishingowe nakłaniają ofiary albo do przesyłania środków, albo przekazywania przestępcom informacji, których przekazywać nie powinny.
Odróżnienie prawdziwej wiadomości od próby oszustwa może być kłopotliwe, szczególnie że dziś przestępcy mają do dyspozycji wiele narzędzi zapewniających im wiarygodność (generatywna sztuczna inteligencja, media społecznościowe zawierające personalne informacje o ofiarach i tak dalej).
Z tego powodu zebraliśmy kilka wskazówek, które ułatwią Ci rozpoznanie, czy mail z banku jest prawdziwy, czy może ktoś próbuje Cię oszukać. Czytaj dalej, by dowiedzieć się, jak rozpoznać phishing, jak korzystać z VPN, by chronić się przed zagrożeniami online (nie tylko phishingiem!) i wiele innych.
Najczęściej spotykane oznaki oszustwa phishingowego
1. Granie autorytetem
Oszuści stosujący phishing czasem podszywają się pod kolegów czy współpracowników swoich ofiar, ale znacznie częściej posługują się nazwiskami i stanowiskami, które mają autorytet. Mogą na przykład wysyłać wiadomości w imieniu prezesów firm, znanych osób czy organizacji charytatywnych, prosząc o finansowe wsparcie albo udostępnienie ważnych danych.
Jednym z bardziej znanych protoplastów tego typu przestępstw jest legendarny już "nigeryjski przekręt", czyli oszustwo polegające na złożeniu ofierze niesamowitej obietnicy (np. otrzymanie wielkiego spadku) w zamian za podjęcie jakiegoś działania (np. przelanie niewielkiej sumy pieniędzy na konto oszusta). |
Nazwa przekrętu wzięła się stąd, że za czasów raczkującego Internetu oszuści często podawali się za nigeryjskich książąt i członków rodziny królewskiej, a w samej Nigerii kwitła przestępczość internetowa, jako że kraj był dotknięty kryzysem.
2. Oszustwo „na kuriera”
Kazano Ci dopłacić za paczkę, której nie zamawiałeś? Jest to stuprocentowe oszustwo. Przestępcy rozsyłają SMS-y z ponagleniem do zapłaty za „nadprogramową wagę przesyłki” w nadziei, że trafią na kogoś, kto rzeczywiście akurat oczekuje kuriera. We wiadomościach znajdują się odnośniki do – oczywiście fałszywych – bramek płatności. Jest to jeden z częściej spotykanych przykładów phishingu.
Pamiętaj, że nigdy nie musisz płacić dodatkowo za kuriera – koszty przesyłki są wliczane w cenę transakcji i nie istnieje coś takiego, jak „nadprogramowa waga paczki”.
3. Wzbudzanie paniki i potrzeby działania
Phishing wykorzystuje ludzką naturę, w tym skłonność do działania pod wpływem emocji. Nic więc dziwnego, że oszuści często starają się wzbudzić strach i panikę w ofiarach. „Zadziałaj teraz, aby uniknąć przykrych konsekwencji” – to powszechnie stosowany przez przestępców schemat wiadomości.
Jeśli otrzymałeś maila albo SMS-a, który ewidentnie próbuje nakłonić Cię do natychmiastowego działania, zastanów się dwa razy, czy nadawca jest tym, za kogo się podaje.
4. Liczne błędy
Otrzymałeś maila od banku, ale wygląda… dziwnie? Zawiera błędy i nienaturalną składnię? Wygląda na automatycznie przetłumaczony z innego języka? Cóż, to pewnie dlatego, że taki jest. Niektórzy przestępcy idą na skróty i nie przejmują się tym, czy ich wiadomości wyglądają na wiarygodne.
Pamiętaj, że szanująca się firma nie powinna komunikować się z Tobą dziwacznym, błędnym językiem. Przedsiębiorstwa zatrudniają profesjonalnych copywriterów do pisania przekazów marketingowych, a jeśli ich główne siedziby znajdują się za granicą – korzystają z usług tłumaczy (nie internetowych translatorów!).
Dziś oszuści mają więcej narzędzi niż dawniej. Jednym z nich jest generatywna sztuczna inteligencja (np. ChatGPT), która umożliwia kreowanie wiarygodnie brzmiących wiadomości. Teksty generowane przez AI zazwyczaj nie zawierają oczywistych błędów, dlatego zawsze miej się na baczności. Podejrzana gramatyka i ortografia nie są już głównymi znakami ostrzegawczymi przed próbą oszustwa. |
5. Loterie i konkursy z niesamowitymi nagrodami
Firma, z której usług regularnie korzystasz, oświadczyła, że masz szansę wziąć udział w loterii z nagrodami? Zanim zaczniesz się cieszyć, zastanów się, czy na pewno. Być może warunkiem przystąpienia do „konkursu” jest podanie poufnych informacji (np. danych logowania) albo wpłacenie niewielkiej kwoty na „wpisowe”. W takiej sytuacji jest niemalże pewne, że to oszustwo.
Nawet jeśli nadawca o nic Cię nie prosi, może wysłać Ci link do witryny, która w rzeczywistości jest tylko lustrzanym odbiciem tej prawdziwej, a jej cel to wykradanie danych logowania. Na wszelki wypadek zajrzyj na oficjalną stronę nadawcy (nie tę podaną we wiadomości!) i sprawdź, czy organizuje jakieś konkursy.
Jak nie nabrać się na phishing?
• Uważnie czytaj wiadomości. Nie skanuj wiadomości wzrokiem, ale czytaj je uważnie, jeśli w grę wchodzą Twoje pieniądze i bezpieczeństwo. Szukaj błędów i nienaturalnie brzmiących zdań.
• Nie reaguj natychmiast. Zastanów się dwa razy, czy na pewno „musisz” odpowiedzieć na wezwanie potencjalnego oszusta. Czy rzeczywiście zwlekasz z opłaceniem rachunków? Czy czekasz na paczkę? Czy już ją opłaciłeś? Daj sobie chwilę na ochłonięcie i obranie strategii działania.
• Korzystaj z sieci VPN. Usługi VPN „z wyższej półki” to nie tylko narzędzia do maskowania IP, ale wiele dodatkowych funkcji – w tym blokery podejrzanych i potencjalnie złośliwych linków. Taki bloker może uchronić Cię przed wejściem w link zawierający złośliwe oprogramowanie i nie tylko.
• Sprawdzaj adresy nadawców. Nawet jeśli wiadomość e-mail brzmi wiarygodnie, adres nadawcy nie musi taki być. Zwracaj uwagę na losowe ciągi znaków w adresach oraz małe, ledwo widoczne błędy (np. zmiana domeny z .com na inną).
• Nie podawaj nikomu osobistych informacji. Żaden pracownik obsługi klienta nigdy nie poprosi Cię o podanie kodu PIN, hasła, danych logowania czy innych poufnych informacji. Wyjątkiem mogą być specjalne dane uwierzytelniające, np. osobne kody weryfikacyjne dołączane do niektórych zawieranych umów, ale informacje te służą poświadczeniu tożsamości klienta i nie wystarczą, by zalogować się do konta.
Jeśli nadal masz wątpliwości: skontaktuj się z nadawcą. Jeśli wszystko wygląda dobrze, a jednak wciąż nie wiesz, czy powinieneś ufać wiadomości – skontaktuj się z firmą lub osobą, która ją wysłała. Pamiętaj tylko, by nie odpowiadać na mail czy SMS bezpośrednio, ale wykorzystać oficjalne dane kontaktowe, które znajdziesz choćby na witrynie internetowej firmy.
A jeśli to pewne, że ktoś próbuje Cię oszukać, podszywając się pod jakąś firmę – powiadom ją o tym, najlepiej dołączając kopię wiadomości, by mogła ostrzec innych klientów.
