Jak rozpoznać phishing? Przykłady phishingu w Polsce

Phishing to jedna z najczęstszych metod cyberprzestępstw, polegająca na podszywaniu się pod wiarygodne instytucje lub osoby w celu wyłudzenia poufnych informacji, takich jak loginy, hasła, numery kart kredytowych czy dane osobowe. Aż 77% incydentów zaczyna się od tego typu oszustwa. W niniejszym artykule przybliżymy definicję phishingu, wyjaśnimy mechanizmy działania cyberprzestępców oraz podamy przykłady ataków phishingowych, które miały miejsce w Polsce.

Spis treści:

Czym jest phishing?

Phishing można zdefiniować jako metodę oszustwa, w której cyberprzestępcy podszywają się pod znane i zaufane instytucje lub osoby, aby skłonić swoje ofiary do ujawnienia poufnych informacji. Termin ten pochodzi od angielskiego słowa „fishing” (łowienie ryb), co odnosi się do stosowania przynęty przez oszustów w celu zdobycia cennych danych.

Przestępcy najczęściej próbują wyłudzić:

  • Loginy i hasła do kont internetowych,
  • Dane osobowe, takie jak numer PESEL czy adres zamieszkania,
  • Dane kart kredytowych i kodów uwierzytelniających,
  • Dostępy do kont firmowych lub systemów biznesowych.

Phishing jest niezwykle skuteczny, ponieważ bazuje na emocjach, takich jak strach, pośpiech czy zaufanie. Cyberprzestępcy wykorzystują różnorodne techniki, aby zwiększyć prawdopodobieństwo sukcesu ataku.

 

Mechanizmy działania phishingu

Phishing opiera się na wykorzystaniu socjotechniki, czyli manipulacji ludzkimi emocjami i zachowaniami. Cyberprzestępcy stosują różne strategie, aby wzbudzić zaufanie i skłonić swoje ofiary do podjęcia działania. Do najczęściej wykorzystywanych mechanizmów należą:

  • Fałszywe wiadomości e-mail i SMS: Zawierają prośby o natychmiastowe podjęcie działań, np. kliknięcie w link, podanie danych logowania czy pobranie załącznika.
  • Podszywanie się pod zaufane instytucje: Atakujący imitują banki, firmy kurierskie, platformy sprzedażowe czy urzędy, tworząc wiarygodnie wyglądające komunikaty.
  • Wykorzystanie presji czasu: Ofiara jest informowana o pilnym problemie, np. zablokowaniu konta bankowego, co zmusza ją do działania bez zastanowienia.
  • Tworzenie fałszywych stron internetowych: Strony te do złudzenia przypominają oryginalne witryny instytucji, a ich celem jest wyłudzenie danych logowania lub informacji finansowych.

Przykładem zaawansowanego phishingu jest wykorzystanie technologii deepfake, która umożliwia stworzenie realistycznych nagrań audio lub wideo, przekonujących ofiarę o autentyczności ataku. Inną formą jest quishing, czyli wykorzystanie spreparowanych kodów QR, które przekierowują użytkownika na fałszywe strony.

Cyberprzestępcy stale modyfikują swoje metody, dlatego kluczowe jest zachowanie czujności i stosowanie podstawowych zasad bezpieczeństwa.

 

Rodzaje phishingu

Phishing przybiera różne formy, które różnią się metodami działania i zakresem ataku. Oto najczęściej spotykane rodzaje phishingu:

  • E-mail phishing: Klasyczna forma ataku, w której ofiary otrzymują wiadomości e-mail podszywające się pod znane instytucje. Często zawierają linki prowadzące do fałszywych stron lub załączniki złośliwego oprogramowania.
  • Smishing: Ataki phishingowe za pośrednictwem wiadomości SMS. Przykładem mogą być fałszywe powiadomienia o przesyłkach z prośbą o dopłatę.
  • Vishing: Phishing głosowy, gdzie oszuści dzwonią do ofiar, podszywając się np. pod pracowników banku, próbując wyłudzić dane osobowe lub finansowe.
  • Spear-phishing: Ukierunkowane ataki na konkretne osoby lub firmy. Wiadomości są spersonalizowane, co zwiększa ich skuteczność.
  • Whaling: Ataki na osoby zajmujące wysokie stanowiska, takie jak dyrektorzy czy menedżerowie, w celu uzyskania dostępu do wrażliwych informacji firmowych.
  • Quishing: Podszywanie się za pomocą kodów QR, które po zeskanowaniu przekierowują użytkownika na zainfekowane strony.
  • Angler phishing: Ataki w mediach społecznościowych, gdzie oszuści podszywają się pod znane marki, oferując fałszywe promocje lub nagrody.
  • Pharming: Manipulowanie ustawieniami DNS w celu przekierowania użytkowników na fałszywe strony internetowe, nawet jeśli wpisują poprawny adres URL.
  • Deepfake phishing: Wykorzystanie technologii deepfake do tworzenia realistycznych nagrań audio lub wideo, które przekonują ofiary do podjęcia określonych działań.

Każdy z tych rodzajów phishingu stanowi poważne zagrożenie, wymagające stosowania odpowiednich środków ochrony i zachowania szczególnej ostrożności.

Przykłady phishingu w Polsce

Ataki phishingowe są coraz częściej zgłaszane także w Polsce. Oto kilka przykładów, które pokazują różnorodność metod stosowanych przez cyberprzestępców:

  • Ataki na klientów banków: W 2023 roku cyberprzestępcy podszywali się pod bank PKO BP, wysyłając SMS-y z informacją o rzekomej blokadzie konta. Wiadomość zawierała link do fałszywej strony, na której użytkownicy mieli podać swoje dane logowania.
  • Podszywanie się pod operatorów telekomunikacyjnych: Klienci Plus i Play otrzymywali e-maile dotyczące przeniesienia karty eSIM. Oszuści wykorzystali wiarygodnie wyglądające wiadomości, aby wyłudzić dane logowania do kont użytkowników: „Drogi kliencie, Dziękujemy za przeniesienie Sima do eSim, jeśli nie pytałeś o to przeniesienie, kliknij poniższy link, aby anulować zamówienie”.
  • Fałszywe powiadomienia z Allegro: Przestępcy wysyłali wiadomości e-mail, w których podszywali się pod serwis Allegro Lokalnie, informując o rzekomym zadłużeniu na koncie użytkownika. Link prowadził do fałszywej strony płatności.
  • Ataki z użyciem kodów QR: Cyberprzestępcy tworzą spreparowane kody QR, które po zeskanowaniu przekierowują ofiary na fałszywe strony internetowe, często podszywające się pod zaufane instytucje, takie jak banki czy urzędy. Na tych stronach użytkownicy są proszeni o podanie danych osobowych lub finansowych, które następnie trafiają w ręce oszustów. 
  • Phishing w mediach społecznościowych: Oszuści zakładali fałszywe profile popularnych marek, takich jak x-kom.pl, oferując fikcyjne promocje i konkursy w celu wyłudzenia danych lub pieniędzy od użytkowników.

Te przypadki pokazują, jak różnorodne mogą być ataki phishingowe i jak ważna jest czujność oraz stosowanie zasad bezpieczeństwa.

Przeprowadź testy phishingowe!
Przeprowadź sam testy phishingowe lub pozwól nam przeprowadzić dedykowaną kampanię phishingową w Twojej firmie!

Jak się chronić przed phishingiem?

Rozpoznałeś fałszywą wiadomość? Natychmiast ją usuń! Prewencja to najlepsza metoda na phishing. 

Jak rozpoznać próbę phishingu? 

Wiadomości pochodzące od cyberprzestępców często pisane łamaną polszczyzną, bez użycia polskich znaków. Adresy e-mail są przesyłane z dziwnych lub błędnych domen (np. nBank zamiast mBank). Zazwyczaj treść wiadomości nakłania do pobrania załącznika (który zawiera złośliwe oprogramowanie i szyfruje pliki), kliknięcia w link czy wpisania na podstawionej stronie internetowej swojego loginu i hasła np. do bankowości internetowej.

Zasady ochrony przed phishingiem:

Świadomość zagrożeń

  1. Edukacja i szkolenia – Zrozumienie mechanizmów działania cyberprzestępców jest kluczowe. Regularne szkolenia z cyberbezpieczeństwa dla pracowników mogą pomóc w identyfikacji prób phishingu.
  2. Rozpoznawanie podejrzanych wiadomości – Należy zwracać uwagę na błędy językowe, nietypowe adresy e-mail nadawcy, skrócone linki i dziwne załączniki.

Bezpieczne praktyki online

  1. Nie klikaj w linki z nieznanych źródeł – Unikaj otwierania linków i załączników w wiadomościach od nieznanych nadawców.
  2. Nie podawaj danych osobowych przez e-mail – Banki, urzędy i inne instytucje nigdy nie proszą o dane wrażliwe za pomocą e-maila czy SMS-a.
  3. Korzystaj z zabezpieczeń stron internetowych – Zawsze sprawdzaj, czy adres strony zaczyna się od „https://” i zawiera symbol kłódki.

Wykorzystanie technologii do ochrony przed phishingiem

  1. Uwierzytelnianie dwuskładnikowe (2FA) – Dodatkowa warstwa ochrony w postaci kodów SMS, aplikacji autoryzacyjnych lub biometrii.
  2. Oprogramowanie antywirusowe i zapory ogniowe – Regularnie aktualizowane programy antywirusowe i firewalle mogą blokować podejrzane witryny i załączniki.
  3. Filtrowanie wiadomości e-mail – Korzystanie z rozwiązań antyspamowych, które wychwytują podejrzane wiadomości.

Testy phishingowe i kampanie edukacyjne dla firm

  1. Testy phishingowe– Wiele firm decyduje się na przeprowadzenie testów phishingowych w swoich organizacjach. Polegają one na wysyłaniu specjalnie zaprojektowanych, fałszywych e-maili phishingowych do pracowników, aby ocenić ich reakcję i wykryć potencjalne słabe punkty.
  2. Przeprowadzanie symulowanych kampanii phishingowych – Można zamówić specjalnie zaprojektowane kampanie szkoleniowe, które uwzględniają wysyłkę spersonalizowanych testów phishingowych i późniejsze analizy wyników. Tego rodzaju działania pomagają zwiększyć świadomość zagrożeń i poprawić procedury bezpieczeństwa.
  3. Indywidualne raporty dla pracowników – Po zakończeniu testu pracownicy mogą otrzymać informacje zwrotne na temat swojej reakcji, co pozwala im lepiej rozpoznać przyszłe próby oszustwa.
  4. Monitorowanie gotowości organizacji – Testy mogą być regularnie powtarzane, aby mierzyć postępy w zakresie cyberbezpieczeństwa i adaptować strategie ochrony.

Weryfikacja autentyczności

  1. Sprawdzanie nadawców – W razie wątpliwości skontaktuj się bezpośrednio z instytucją lub osobą, która rzekomo wysłała wiadomość.
  2. Weryfikacja przez telefon – Zadzwoń na oficjalny numer instytucji, aby upewnić się, że prośba o podanie danych jest autentyczna.

Zgłaszanie podejrzanych incydentów

  1. CERT Polska – Podejrzane wiadomości e-mail i SMS można zgłaszać do zespołu CERT Polska za pomocą formularza online (incydent.cert.pl).
  2. Zgłoszenia na policję – Jeśli padniesz ofiarą phishingu, złóż zawiadomienie na policji i przedstaw dostępne dowody.
 

Przeprowadzanie testów phishingowych i kampanii edukacyjnych to efektywna metoda, aby zwiększyć świadomość zagrożeń wśród pracowników, a tym samym zmniejszyć ryzyko udanych ataków. Tego typu działania są szczególnie zalecane w firmach i instytucjach, które przechowują dane wrażliwe lub zarządzają dużymi zasobami finansowymi.

Podsumowanie

Phishing to jedno z najczęstszych zagrożeń cybernetycznych, które bazuje na manipulacji użytkowników w celu wyłudzenia danych lub pieniędzy. Aby skutecznie chronić się przed tym zagrożeniem, kluczowe są świadomość, edukacja i stosowanie zaawansowanych zabezpieczeń, takich jak uwierzytelnianie dwuskładnikowe i filtry antyspamowe. Regularne testy phishingowe w organizacjach oraz zgłaszanie podejrzanych incydentów do odpowiednich organów, takich jak CERT Polska, mogą znacząco zwiększyć bezpieczeństwo.

Jakie rozwiązanie do ochrony przed phishingiem wybrać?

FAQ

To metoda oszustwa polegająca na podszywaniu się pod znane instytucje w celu wyłudzenia danych.

E-mail phishing, smishing (phishing SMS-owy), vishing (głosowy), quishing (z użyciem kodów QR), spear-phishing (ukierunkowany) i deepfake phishing.

Zwracaj uwagę na błędy językowe, nietypowe adresy nadawcy, linki prowadzące do podejrzanych stron i nacisk na szybkie działanie.

Korzystaj z uwierzytelniania dwuskładnikowego, nie klikaj w linki z nieznanych źródeł, edukuj się i regularnie aktualizuj oprogramowanie zabezpieczające.

Niezwłocznie zmień hasła, poinformuj instytucje, których dane zostały ujawnione, zgłoś sprawę na policję oraz do CERT Polska.

Wydarzenia:

Current Month

Zadaj pytanie naszemu specjaliście
ds. bezpieczeństwa!

Wypełnij Formularz: