Phishing to rodzaj oszustwa internetowego. Jest próbą wyłudzenia haseł, numerów kart kredytowych, danych dostępowych do kont bankowych i innych poufnych informacji. Oszuści, w celu ich pozyskania, często podszywają się pod znane i godne zaufania firmy, duże organizacje charytatywne, banki, agencje rządowe itp. Wykorzystują do tego celu sfałszowane wiadomości mailowe, wyglądające bardzo podobnie do tych oryginalnych. Maile zawierają prośbę np. o zalogowanie się w jakimś celu do konta lub przeprowadzenie aktualizacji swoich poufnych danych, czy ich niezwłoczne potwierdzenie, albo o wsparcie jakiejś akcji charytatywnej. Każdy sposób jest dobry, jeśli tylko doprowadzi do udostępnienia informacji osobom trzecim. Te zaś z kolei, korzystając z nadarzającej się okazji, kradną pieniądze, wewnętrzną dokumentację czy tożsamość w social mediach. Strony posiadające certyfikat SSL, cieszące się większym zaufaniem wśród użytkowników, również są wykorzystywane przez cyberprzestępców. Przez komunikatory internetowe i portale społecznościowe rozsyłane są szybko rozprzestrzeniające się wiadomości (odpowiednik niegdysiejszych łańcuszków), które zachęcają odbiorców do wzięcia udziału np. w loterii i rozesłania treści dalej.

Kradzież poufnych informacji, pieniędzy czy tożsamości to nie jedyne zagrożenia, jakie niesie za sobą phishing. Oszuści mogą również w ten sposób rozsyłać oprogramowanie szpiegowskie, keyloggera (rodzaj oprogramowania lub urządzenia, które rejestruje klawisze naciskane przez użytkownika ) czy konia trojańskiego (złośliwe oprogramowanie). Dlatego fakt, że nie posiadamy konta mailowego wcale nie chroni nas przez zagrożeniem, jeśli korzystamy z Internetu.

Ataki phishingowe są tak bardzo popularne, ponieważ przynoszą efekty i są niezwykle tanie w realizacji.


Co zrobić, aby zmniejszyć ryzyko znalezienia się w grupie osób oszukanych?

  • nie klikać w linki w niechcianych/podejrzanych e-mailach lub na Facebooku. W razie wątpliwości, zawsze warto zweryfikować otrzymanie wiadomości u nadawcy. Można zalogować się również przez przeglądarkę, zamiast korzystać z podanego linku,
  • koniecznie chronić swoje hasła i nie ujawniać ich nikomu,
  • nie przekazywać przez telefon czy e-mail poufnych danych,
  • sprawdzać adresy stron (URL). Bardzo często wyglądają one na poprawne i wiarygodne, czasem jednak można wychwycić różnice, np.: .com zamiast .gov, www.nazwainstytucji.pl-login zamiast www.nazwainstytucja.pl/login itp.,
  • dbać o częste aktualizacje przeglądarki i korzystać z poprawek zabezpieczeń,
  • w miarę możliwości na bieżąco zmieniać kluczowe pliki na swojej stronie internetowej,
  • rozważyć zainstalowanie dodatkowych narzędzi do ochrony przed phishingiem.

Co zrobić, jeśli jednak zdarzy nam się paść ofiarą ataku?

Skontaktować się z instytucją, której atak dotyczy, pozmieniać hasła, zablokować karty, zablokować lub pozamykać konta, zareagować jak najszybciej, aby zminimalizować straty.