Przeskocz do treści

Czy dasz się złowić cyberprzestępcom?

Wśród użytkowników internetu panuje powszechne przekonanie, że posiadanie programu antywirusowego wystarczy do zabezpieczenia naszych komputerów i znajdujących się na nich danych. Nic bardziej mylnego. Nawet najbardziej zaawansowane techniczne zabezpieczenia nie ochronią nas przed błędami ludzkimi. Jeżeli nie będziesz sobie zdawać sprawy z metod wykorzystywanych przez przestępców i nie będziesz rozsądnym/odpowiedzialnym użytkownikiem internetu, to możesz paść ofiarą ataku, który "hakuje" Twoją podświadomość!

Atakując Ciebie i wpływając na Twoje zachowanie, przestępcy wykorzystują tzw. socjotechniki - w internecie takie metody znane są jako phishing.

Co to jest phishing?

Phishing jest to określenie ataku polegającego na przesłaniu ofierze wiadomości, w której przestępca podszywa się pod osoby, firmy lub instytucje w celu wyłudzenia danych, pieniędzy lub nakłonienia ofiary na wykonanie określonych czynności. Nazwa phishing jest hakerską konotacją angielskiego słowa „fishing”, oznaczającego łowienie ryb. Jest to całkiem trafne nazewnictwo, ponieważ przestępcy, zamiast bezpośrednio atakować konkretne ofiary, zarzucają przynętę i czekają, aż ktoś ją łyknie i da się złowić 😉 Skoro już internet podsunął nam tą analogię, postaramy się wyjaśnić phishing na przykładzie.

komputerJak to działa?

Wyobraź sobie, że jako ofiara jesteś rybą, a atakujący jest wędkarzem. Rybak może chcieć Cię „złowić”, a wraz z Tobą również Twoje dane i pieniądze. Najpopularniejszym wykorzystywanym przez przestępców sposobem “łowienia” jest użycie wiadomości e-mail jako wędki i linku lub załącznika, jako przynęty. Klasyczny scenariusz „łowienia”, czyli phishingu, najczęściej zawiera kilka kluczowych elementów, na które należy zwrócić uwagę:

Użycie narzędzia do łowienia
Najczęściej atakujący decydują się na wykorzystanie wiadomości e-mail wysyłanej do ofiary, w której podszywają się pod instytucję lub firmę posiadającą autorytet - przykładowo pod Urząd Skarbowy lub pod osobę, której ufasz. Może to także być np. wiadomość na portalu społecznościowym wysłana z przejętego przez przestępców konta Twojego znajomego.

Wybranie odpowiedniego haczyka i założenie przynęty
Dobrą przynętą jest treść, która zadziała w odpowiedni sposób na nasze emocje, np. czymś nas zaniepokoi. Przykładem takiej wiadomości może być informacja o niezapłaconym podatku.

Celem przestępców przeprowadzających phishing jest nakłonienie ofiary do kliknięcia w wysyłany przez nich link prowadzący np. do strony podszywającej się pod serwis banku i w konsekwencji przejęcie Twojego loginu oraz hasła. Innym scenariuszem może być wysłanie złośliwego załącznika zamiast linku. Załącznik może być dokumentem tekstowym typu Word, arkuszem kalkulacyjnym Excel lub tzw. archiwum plików (służącym do pakowania wielu plików w jeden, tak aby miały mniejszy rozmiar). Kliknięcie w załączony do maila plik, może spowodować uruchomienie wirusa, który w konsekwencji pozwoli przestępcy kontrolować Twój komputer, podsłuchiwać komunikację czy też przejmować Twoje loginy i hasła.  

Zwracam uwagę, że programy antywirusowe bardzo często nie będą w stanie wykryć obecności takich wirusów na Twoim komputerze, ponieważ hakerzy doskonale wiedzą, jak je oszukać. 

Czy dasz się złapać?

Jak pewnie możesz się domyślać w swoim arsenale przestępcy posiadają różne techniki manipulacji, które sprawiają, że obniżamy naszą internetową gardę. Należą do nich:

  1. Tworzenie otoczki zaufania i kuszenie odbiorców otrzymaniem korzyści po wykonaniu określonych czynności - wygraniem/zarobieniem pieniędzy/otrzymaniem nagrody po wprowadzeniu danych, kliknięciu w link lub w dołączony do wiadmości e-mail plik.
  2. Wystąpienie pozornej sytuacji zagrożenia - problem z komputerem, płatnością, kontem w banku.
  3. Wzbudzenie w odbiorcy litości lub wykorzystanie chęci niesienia pomocy - “mam problem z dostępem do swoich pieniędzy, więc przelej mi drobną sumę, a oddam Ci z nadwyżką”.
  4. Wykorzystanie ludzkiej ciekawości - “lekarze go nienawidzą, bo znalazł nowy sposób na odchudzanie”.

Kto i dlaczego chciałby mnie zhakować?

Przestępcy najczęściej nie wybierają bezpośrednio swoich ofiar. Nie jest tak, że haker nagle pomyśli „dobra, to dzisiaj zaatakuję Jana Kowalskiego” (choć niewykluczone, że tak się może zdażyć, szczególnie gdy jesteś osobą publiczną lub wiadomo, że możesz mieć dużo na koncie). Zazwyczaj wysyłają oni wiadomości na  adresy e-mail użytkowników wykradzione wcześniej z różnych serwisów internetowych. Jeden z nich może należeć akurat do Ciebie. Opisane podejście można porównać do zarzucenia sieci na ryby – dużo się wywinie, a i tak kilka sztuk się złowi 😉

Jak się bronić przed phishingiem?

Niestety nie ma jednej uniwersalnej metody. Przede wszystkim zachowaj czujność, a następnie:

  • Zastanów się czy oczekiwałeś maila, którego otrzymałeś? 
  • Czy pochodzi on ze strony lub aplikacji firmy lub instytucji, z której usług korzystasz? 
  • Jeżeli dostałeś wiadomość od bliskiej Ci osoby, w której nakłania Cię ona np. do przelania środków na podany numer konta, skontaktuj się z nią innym kanałem komunikacji (np. telefonicznie) i potwierdź, że wszystko się zgadza.
  • Nie działaj pod wpływem emocji. Jeżeli zrobiło Ci się gorąco z nerwów poprzez przeczytanie e-maila o niezapłaconym podatku w kwocie 5000 zł i naliczonych odsetkach, weź kilka głębokich wdechów i na spokojnie przeanalizuj i zweryfikuj sytuację. Zadzwoń do Urzędu Skarbowego, bądź innej instytucji, od której otrzymałeś e-mail i zweryfikuj czy jest on prawdziwy. Pamiętaj, by przed sprawdzeniem, nie otwierać załączonych plików oraz nie klikać w przesłane linki.
  • Zwracaj uwagę na wizualne aspekty otrzymanej wiadomości e-mail. Każda poważna instytucja lub firma przed wysłaniem maila przygotowuje go ze starannością, dbając o poprawną składnię języka, używanie polskich znaków, wykorzystanie estetycznych obrazków z poprawnym rozmiarem i oficjalną stopką.

Jeżeli którykolwiek z powyższych punktów wzbudza Twoją wątpliwość, powstrzymaj się od klikania w linki i otwierania załączników z otrzymanej wiadomości. Możesz w ten sposób oszczędzić sobie niepotrzebnych nieprzyjemności.

Jest nam niezwykle miło, że dotarłeś aż tutaj! Jeżeli uważasz, że powyższy tekst jest wartościowy, będziemy wdzięczni za udostępnienie go dalej, bo być może dzięki temu trafi do innej osoby, która również potrzebuje go przeczytać.

Zuzanna

Zuzanna

Bezpiecznik - buduje, psuje i hakuje. Retromaniaczka i wielbicielka pixel artu. Na co dzień opiekunka kochanego szkodnika rasy seter irlandzki.

2 myśli na “Czy dasz się złowić cyberprzestępcom?

  1. Pingback: Zadanie na weekend #3: Przejdź kurs samoobrony przed phishingiem [video] | bezpieczny.blog

  2. Pingback: Nie daj nabić się w butelkę. Uważaj na SMS-y premium. | bezpieczny.blog

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *