Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

Phishing

Oszustwa phishingowe, jak je rozpoznawać i jak ich unikać?

Piotr R

15 lipca 2024

Krajobraz cyberbezpieczeństwa jest bardziej skomplikowany niż kiedykolwiek, a oszuści wykorzystują zaawansowane narzędzia, aby wyłudzać poufne informacje firm i osób fizycznych. Nowe wyzwania pojawiają się, gdy przechodzimy do świata online i przyjmujemy cuda innowacji, takie jak technologia AI. Należą do nich zaawansowane oszustwa phishingowe, których celem jest opróżnienie ofiar z pieniędzy i poufnych informacji. Wierzymy, że technologia pożyteczna, dlatego jesteśmy tutaj, aby pomóc Ci przechytrzyć internetowych oszustów i zabezpieczyć się przed wszelkimi próbami phishingu. Z tego powodu przygotowaliśmy ten kompleksowy przewodnik po wykrywaniu i unikaniu oszustw phishingowych.

Czym są oszustwa phishingowe?

Oszustwa phishingowe to nielegalne, zwodnicze i oszukańcze próby cyberprzestępców mające na celu uzyskanie i wykorzystanie poufnych informacji, w tym danych osobowych i finansowych. Oszustwo phishingowe odbywa się za pośrednictwem wiadomości e-mail lub SMS, podejrzanej witryny, wiadomości głosowej lub innych środków.

Na przykład możesz otrzymać wiadomość e-mail, która wydaje się pochodzić od renomowanej firmy, takiej jak Twój bank lub agencja rządowa. Jednak pamiętaj, że jest ona zaprojektowana w celu kradzieży Twoich danych osobowych.

Ataki phishingowe są popularne wśród cyberoszustów, którzy wykorzystają każdą okazję, aby zaskoczyć swoje ofiary i ukraść ich dane. W rzeczywistości raporty pokazują, że w 2023 r. phishing jest zdecydowanie najczęstszą formą cyberprzestępstwa, która dotyczy ponad 298 000 osób na całym świecie.

Jakiego rodzaju oszustwa są próbą wyłudzenia informacji?

Oszustwa phishingowe polegają na nakłonieniu Cię do ujawnienia poufnych informacji. Oszuści stosują różne metody, aby wydawać się przekonującymi, takie jak fałszowanie adresów e-mail i tworzenie fałszywych witryn internetowych, które odzwierciedlają legalne strony.

Na przykład możesz otrzymać wiadomość e-mail, która rzekomo pochodzi od Twojej instytucji finansowej, namawiając Cię do kliknięcia łącza w celu weryfikacji informacji o koncie. Łącze prowadzi do witryny phishingowej, która wygląda niemal identycznie jak rzeczywista witryna, ale dane wejściowe są tutaj wysyłane bezpośrednio do oszusta.

Następnie oszuści wykorzystają Twoje poufne informacje do wykonania złośliwych działań, takich jak:

  • Kradzież tożsamości – ma miejsce poprzez uzyskanie Twoich danych osobowych i finansowych, takich jak numer ubezpieczenia społecznego, numer dowodu osobistego lub dane konta, które mogą zostać wykorzystane do kradzieży Twojej tożsamości.
  • Oszustwa finansowe – gdy oszuści uzyskują dostęp do numerów Twojego konta bankowego lub danych karty kredytowej, aby wyłudzić środki lub dokonać nieautoryzowanych zakupów.
  • Kradzież danych uwierzytelniających – przechwytując nazwy użytkowników i hasła w celu włamania się na konta, oszuści torują sobie drogę do poważniejszych i bardziej szkodliwych naruszeń danych.

Jak identyfikować wiadomości e-mail typu phishing?

Ataki phishingowe mają na celu nakłonienie Cię do podania poufnych informacji. Oto kilka typowych elementów, na które należy uważać:

  • Pilne prośby o podanie danych osobowych – e-maile phishingowe często wywołują poczucie pilności, aby wywołać natychmiastowe działanie. Szukaj wiadomości, które wymagają szybkich odpowiedzi lub grożą konsekwencjami, jeśli nie zastosujesz się od razu.
  • Podejrzane domeny e-mail – zawsze sprawdzaj adres e-mail nadawcy. Podczas gdy wyświetlana nazwa może wydawać się prawidłowa, domena może różnić się od tej prawdziwej.
  • Słaba gramatyka i pisownia – legalne organizacje mają wdrożone procedury korekty. E-maile pełne błędów gramatycznych, niezręcznych sformułowań lub błędów ortograficznych wskazują na próbę phishingu.
  • Linki do fałszywych stron internetowych – e-maile phishingowe często zawierają linki, które kierują do fałszywych stron internetowych. Te strony mogą wyglądać niemal identycznie jak te legalne. Najedź kursorem na linki, aby zobaczyć rzeczywisty adres URL przed kliknięciem. Jeśli wygląda podejrzanie, unikaj go.
  • Niechciane załączniki – zachowaj ostrożność podczas obsługi nieoczekiwanych załączników od nieznanych lub podejrzanych nadawców. Te załączniki mogą zawierać złośliwe oprogramowanie zaprojektowane w celu kradzieży danych lub uszkodzenia urządzenia.
  • Oferty zbyt dobre, aby były prawdziwe – e-maile phishingowe mogą obiecywać niezwykłe nagrody lub znaczne zyski finansowe za minimalny wysiłek. Jeśli oferta brzmi zbyt dobrze, aby była prawdziwa, prawdopodobnie taka nie jest.
  • Niespójny branding – szukaj niespójnych logotypów, kolorów lub elementów projektu, które nie pasują do zwykłego brandingu firmy. Próby phishingu nie mają brandingu prawdziwej komunikacji korporacyjnej.
  •  Prośby o poufne informacje – legalne organizacje nie proszą o poufne informacje (takie jak hasła lub numery identyfikacyjne) za pośrednictwem poczty e-mail. Zachowaj ostrożność, jeśli otrzymasz taką prośbę.
  • Ogólne powitania – e-maile phishingowe mają tendencję do używania ogólnych powitań, takich jak „Szanowny Kliencie” zamiast Twojego prawdziwego imienia. Prawdziwe e-maile od firm, z którymi prowadzisz interesy, najczęściej zawierają spersonalizowane powitania.

Rodzaje oszustw phishingowych

1. Phishing e-mailowy

Phishing e-mailowy jest najczęstszą formą phishingu, mającą na celu kradzież danych uwierzytelniających, nakłonienie do działania, takiego jak kliknięcie łącza lub dostarczenie złośliwego oprogramowania. Oszuści wysyłają fałszywe e-maile zaprojektowane tak, aby wyglądały, jakby pochodziły od renomowanej firmy, legalnej witryny lub profesjonalnego urzędnika.

Do typowych cech tego typu pishingu należą:

  • Wiadomości e-mail mogą zawierać informacje o naruszeniu Twojego konta lub wymagać natychmiastowego działania, co może zniechęcić Cię do sprawdzenia wiarygodności informacji lub źródła.
  • Adres e-mail nadawcy może przypominać domenę, do której należy, ale może zawierać drobne różnice, takie jak dodana lub brakująca litera, znak lub symbol.

2. Ataki typu spear phishing

Spear phishing to ukierunkowany atak phishingowy skierowany na konkretne osoby w organizacji lub samą firmę. Oszust wykorzystuje szczegółowe informacje zebrane przez siebie w celu uczynienia wiadomości e-mail bardziej przekonującej.

Te e-maile często zawierają szczegóły na Twój temat, takie jak Twoje imię i nazwisko lub stanowisko, a wiadomość phishingowa wygląda na dobrze ustrukturyzowaną. Takie ataki phishingowe są trudne do wykrycia, ponieważ przypominają wewnętrzne e-maile, takie jak z działu HR, lub imitują legalne źródła (prawie) idealnie.

Zwróć uwagę na podejrzane adresy e-mail, nieuzasadnioną pilność w tonie głosu, błędy językowe i inne sposoby wykrywania prób wyłudzenia informacji.

3. Smishing (SMS-owe phishing)

Smishing to rodzaj oszustwa phishingowego, w którym cyberprzestępcy wykorzystują wiadomości SMS, aby oszukać Cię i nakłonić do ujawnienia danych osobowych i finansowych. Wiadomości te często wydają się pochodzić od firm kurierskich, przedstawiają oferty promocyjne lub wygrane w rozdaniach, proszą o darowiznę lub sprawdzają, czy nie wydarzył się jakiś nagły wypadek.

Jako regułę przyjmuje się, że jeśli otrzymasz wiadomość tekstową z nieznanego numeru, powinno to natychmiast wzbudzić podejrzenia. Wiadomości phishingowe często zawierają linki, które przekierowują do fałszywych witryn internetowych, których celem jest kradzież danych, więc nigdy nie klikaj niebezpiecznego linku przed sprawdzeniem jego autentyczności.

Aby dokładnie wykryć każde oszustwo phishingowe, użyj Bitdefender Scamio – bezpłatnego asystenta Bitdefender opartego na sztucznej inteligencji, który pomaga wykrywać i unikać ataków phishingowych, po prostu kopiując i wklejając potencjalne zagrożenie w języky angielskim do detektora.

4. Vishing (phishing głosowy)

Vishing, czyli phishing głosowy, występuje, gdy oszuści wykonują połączenia telefoniczne, aby nakłonić Cię do ujawnienia danych osobowych lub finansowych. Typowe oznaki obejmują pilne prośby o poufne dane i groźby kłopotów prawnych, jeśli nie zastosujesz się do nich. Zawsze weryfikuj tożsamość dzwoniącego przed ujawnieniem jakichkolwiek informacji przez telefon komórkowy lub prośbą o połączenie z jego centralą lub innym numerem telefonu, aby się z nim skontaktować.

W przypadku vishingu oszuści podszywają się pod legalne podmioty, takie jak bank lub agencja rządowa, i proszą o weryfikację danych.

Wraz z rozwojem deepfake’ów wykorzystujących sztuczną inteligencję, ten rodzaj ataków phishingowych osiągnął niespotykane dotąd rozmiary. Oszuści imitują głosy bliskich przyjaciół, członków rodziny lub znanych osób, aby nakłonić ludzi do szybkiego wysłania pieniędzy na wskazane konto lub ujawnienia numerów kont.

5. Phishing związany z klonowaniem

Phishing związany z klonowaniem polega na duplikowaniu prawdziwego e-maila i zastępowaniu linków lub załączników złośliwymi. Uważaj na drobne zmiany w adresie e-mail nadawcy i nieoczekiwane e-maile z nowymi załącznikami lub linkami, aby nie paść ofiarą tego typu próby phishingu.

Jeśli otrzymasz wiadomość e-mail, która wydaje się być kontynuacją legalnej konwersacji, ale zawiera nowe, złośliwe załączniki, sprawdź dokładnie łącze URL i adres e-mail nadawcy, a następnie przeskanuj załącznik.

6. Wielorybnictwo

Whaling jest skierowany przeciwko osobom o wysokiej renomie, takim jak kadra kierownicza, poprzez wysoce spersonalizowane ataki. Typowe taktyki obejmują podszywanie się pod CEO w celu żądania pilnych przelewów pieniężnych lub jako doradcy prawni grożący poważnymi konsekwencjami.

  • Do najbardziej znanych przypadków whalingu doszło w 2016 r., kiedy oszust podszywał się pod dyrektora generalnego firmy FACC i zlecił pracownikowi działu finansowego przelanie 42 milionów dolarów na konto atakującego.
  • Niedawno oszuści wyłudzili od specjalisty ds. finansów z Hongkongu pracującego w międzynarodowej firmie 25 milionów dolarów, wykorzystując podczas rozmowy wideo deepfake z wizerunkiem jego dyrektora finansowego z Londynu.

Ataki typu whaling są niebezpieczne – zawsze weryfikuj podejrzane prośby za pomocą wielu kanałów, aby nie paść ofiarą tego typu ataków mających na celu kradzież tożsamości.

7. Pharming

Pharming przekierowuje użytkowników z legalnych witryn do złośliwych bez ich wiedzy. Aby wykryć oszustów i witryny phishingowe, zawsze sprawdzaj poprawność adresu URL i upewnij się, że zaczyna się od „https://”. Drobne błędy ortograficzne mogą również wskazywać na podejrzaną witrynę.

W przypadku ataku typu pharming atakujący zmieniają plik hosta, który mapuje nazwy domen na adresy IP lub system nazw domen, przekierowując użytkowników z legalnych firm do złośliwych witryn.

Pharming polega na zainfekowaniu komputera złośliwym oprogramowaniem lub uzyskaniu nieautoryzowanego dostępu, na przykład za pośrednictwem klikniętej złośliwej wiadomości e-mail.

7 przykładów oszustw phishingowych, na które należy uważać

Każda forma phishingu niesie ze sobą własne zagrożenia i sygnały ostrzegawcze. Jednak niektóre wiadomości e-mail phishing, połączenia z urządzeń mobilnych lub wiadomości SMS są bardziej powszechne niż inne. Przyjrzyjmy się kilku typowym przykładom oszustw phishingowych, o których powinieneś wiedzieć.

1. Fałszywe powiadomienia instytucji finansowych

Otrzymujesz wiadomość e-mail, która wygląda, jakby pochodziła od Wells Fargo, z tematem: „Pilne: Zweryfikuj swoje konto teraz”. Wiadomość e-mail brzmi: „Szanowny Kliencie, zauważyliśmy nietypową aktywność na Twoim koncie. Kliknij poniższy link, aby potwierdzić swoje dane”. Link kieruje Cię do fałszywej strony logowania Wells Fargo, gdzie wpisujesz swoje dane uwierzytelniające, które zostają skradzione.

2. Alert o fałszywym koncie od renomowanej firmy

Otrzymujesz wiadomość e-mail od nadawcy, który pojawia się jako „support@apple.io” z tematem: „Apple ID zablokowane”. Wiadomość e-mail brzmi: „Twoje Apple ID zostało zablokowane ze względów bezpieczeństwa. Kliknij tutaj, aby zweryfikować swoją tożsamość”. Ten link przeniesie Cię do fałszywej strony logowania Apple. Nie wiesz, że adres e-mail został sfałszowany.

3. Podszywanie się pod agencję rządową

Pojawia się e-mail np. od „IRSgov@taxrefund.com” o treści: „Dostępny natychmiastowy zwrot podatku. Zweryfikuj swoją tożsamość, aby ubiegać się o zwrot teraz”. Prosi o podanie numeru ubezpieczenia społecznego i danych bankowych za pośrednictwem podanego łącza, które kradnie Twoje informacje.

Pamiętaj, że Urząd Skarbowy i instytucje finansowe ogólnie rzecz biorąc nie nawiązują kontaktu za pośrednictwem poczty elektronicznej, ani nie proszą o podanie takich danych.

4. Fałszywe powiadomienia o nagrodach

Otrzymujesz SMS-a o treści: „Gratulacje! Wygrałeś 1 000 000 $ w loterii Mega Millions. Kliknij tutaj, aby odebrać nagrodę”, kierującego Cię na stronę z prośbą o podanie danych bankowych w celu przekazania wygranej.

Pamiętaj, że jeśli nie brałeś udziału w żadnym konkursie, jest bardzo mało prawdopodobne, że wygrasz.

5. Fałszywe prośby o pomoc techniczną

Oszustwa związane z pocztą elektroniczną lub połączeniami z pomocą techniczną są popularne, więc uważaj na połączenia od osób podszywających się, powiedzmy, od pomocy technicznej firmy Microsoft, mówiących: „Wykryliśmy wirusa na Twoim komputerze. Zezwól nam na zdalny dostęp, aby rozwiązać problem”. Następnie ci złośliwi aktorzy instalują złośliwe oprogramowanie na Twoim komputerze. Firmy technologiczne zazwyczaj nie dzwonią do klientów jako pierwsze. Co więcej – nie proszą o zdalny dostęp do Twojego komputera.

6. Złośliwe linki w wiadomościach w mediach społecznościowych

Konto Twojego znajomego na Facebooku wydaje się wysyłać Ci wiadomość z napisem „Spójrz na te zabawne zdjęcia!” z linkiem. Link instaluje złośliwe oprogramowanie na Twoim urządzeniu.

Pamiętaj, aby sprawdzić ton głosu lub język. Czy pasuje do zwykłego wyboru słów twojego przyjaciela? Potwierdź chęć kontaktu z daną osobą za pomocą innej metody.

7. Inwestycje pozorowane lub możliwości zatrudnienia

E-mail od „investment@newtech.com” lub „hr@whatsapp-hr.com” głosi „Zainwestuj w naszą nową technologię i podwój swoje pieniądze w ciągu miesiąca! Przelej swoje środki na nasze bezpieczne konto, aby zacząć.” lub „Uwielbiamy Twój profil na LinkedIn. Skontaktuj się z nami, aby skorzystać z tej oferty pracy, którą dla Ciebie mamy.” Pamiętaj, że oferty zbyt piękne, aby mogły być prawdziwe, z reguły są oszustwami.

Jak unikać oszustw phishingowych?

Istnieje kilka sposobów na powstrzymanie ataków phishingowych, w tym traktowanie każdej wiadomości tekstowej, e-maila lub dziwnego połączenia z dużą dawką sceptycyzmu. Co najważniejsze, rozważ użycie oprogramowania antywirusowego, np. Bitdefender Total Security, aby chronić się przed oszustami phishingowymi.

Bądź na bieżąco z najnowszymi technikami phishingu

Regularnie sprawdzaj stronę internetową CERT Polska. Ta organizacja non-profit zapewnia aktualizacje dotyczące pojawiających się zagrożeń phishingowych i oferuje zasoby, które pomogą Ci wyprzedzić oszustów o krok.

Użyj uwierzytelniania wieloskładnikowego

Uwierzytelnianie wieloskładnikowe (MFA) daje dodatkową warstwę zabezpieczeń, wymagając dwóch lub więcej metod weryfikacji w celu uzyskania dostępu do kont. Włącz MFA na swoich kontach e-mail, bankowych i w mediach społecznościowych.

Zainstaluj i zaktualizuj oprogramowanie antyphishingowe

Używaj najlepszego oprogramowania antyphishingowego, takiego jak Bitdefender, które może ostrzegać Cię o złośliwych witrynach i wiadomościach e-mail. Regularnie aktualizuj nasze oprogramowanie, aby mieć pewność, że jesteś chroniony przed najnowszymi zagrożeniami.

Czy wiesz, że Bitdefender Total Security automatycznie wykrywa i blokuje fałszywe oraz podejrzane strony internetowe, których celem jest kradzież danych finansowych, takich jak hasła lub numery kart kredytowych?

Regularnie monitoruj swoje sprawozdania finansowe

Sprawdzaj często wyciągi z konta pod kątem nieautoryzowanych transakcji lub podejrzanych działań, takich jak duże transakcje, nietypowe płatności online lub płatności fizyczne dokonywane poza Twoją obecną lokalizacją. Wczesne wykrywanie umożliwia lepsze raportowanie i łagodzenie. Skonfiguruj alerty w swoim banku, aby powiadomić Cię o wszelkich nietypowych transakcjach.

Chroń swoją skrzynkę odbiorczą i numer telefonu

Odfiltruj spam i wiadomości phishingowe. Użytkownicy systemu Windows z programami Microsoft Outlook i Mozilla Thunderbird powinni aktywować Bitdefender Antispam. Użytkownicy Apple powinni zgłaszać podejrzane wiadomości e-mail, przesyłając je na adres reportphishing@apple.com w celu zbadania przez Apple. Upewnij się, że zawierasz pełne informacje nagłówka.

Co zrobić, jeśli padniesz ofiarą ataku phishingowego?

Zgłoś oszustwa phishingowe do CERT Polska. Jeśli Twój służbowy adres e-mail został naruszony, skontaktuj się z działem IT lub cyberbezpieczeństwa jak najszybciej.

Odłącz się od Internetu i zabezpiecz urządzenie, skanując je oprogramowaniem antywirusowym, a następnie skontaktuj się z instytucją finansową, aby zgłosić incydent i zamrozić swoje konta. Zaktualizuj zagrożone dane uwierzytelniające i ustaw silniejsze hasła, aby uniknąć powtórzenia tego incydentu.

Nie daj się nabrać oszustom – chroń się przed oszustwami phishingowymi dzięki niezawodnemu systemowi

Biorąc pod uwagę, że średni koszt naruszenia bezpieczeństwa danych na świecie wynosi około 4,45 miliona dolarów, nadszedł czas, aby organizacje i osoby prywatne potraktowały ten rozwijający się problem poważnie.

Aby zwiększyć swoją obronę przed oszustwami phishingowymi, rozważ integrację Bitdefender ze swoim stosem zabezpieczeń. Oferujemy zaawansowaną ochronę poprzez identyfikację i blokowanie prób phishingu w czasie rzeczywistym, zapewniając bezpieczeństwo Twoich poufnych danych.

Wypróbuj Bitdefender – niezawodny system chroniący przed cyberzagrożeniami, który dba o bezpieczeństwo Twoich danych cyfrowych.


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy