Określenie phishing odnosi się do wszelkich prób nakłaniania do przekazywania poufnych informacji, które mogą zostać wykorzystane do popełnienia oszustwa. Obecnie termin ten jest często używany w odniesieniu do phishingu e-mailowego. Nazwa to połączenie słów „fishing” (dosłownie „wędkowanie” w tym przypadku chodzi o „łowienie informacji”)
i „phreak” (dawne określenie hakerów).
Z kolei smishing i vishing to rodzaje phishingu. Smishing to działanie poprzez smsy,
a vishing przez telefon (przy pomocy rozmowy). Jednak we wszystkich trzech przypadkach, celem oszustów jest wpłynięcie na użytkownika w taki sposób, aby dobrowolnie podał swoje dane personalne.
Internetowe wyłudzanie informacji
Internetowy phisher chce uzyskać od nas informacje za pośrednictwem formularza on-line zamieszczonego na fałszywej stronie internetowej lub odpowiedzi na wiadomość e-mail.
W większości przypadków wiadomości wyglądają tak jakby nadawcą była prawdziwa firma np. bank. W e-mailu podany jest także powód dla którego internauta powinien ujawnić swoje dane np. „aktualnie występujący problem z kontem”. Trzeba pamiętać, że banki nigdy nie proszą o podanie poufnych danych np. hasła czy numeru konta za pośrednictwem poczty e-mail lub formularza online. Większość banków na swoich stronach internetowych także przestrzega o powyższym zagrożeniu.
Elementy na które należy zwrócić uwagę:
Znajomość firmy i jej wiarygodność: Jeśli wcześniej nie mieliśmy kontaktów
z daną firmą i nie byliśmy jej klientem, nie ma powodu dla którego miałaby nas prosić o poufne dane. Należy także sprawdzić adres e-mail (czy rzeczywiście to nazwa np. banku, czy dzięki sprytnie zamienionej kolejności liter jest to nazwa tylko zbliżona do banku) i wszystkie adresy URL, które przesłano nam w e-mailu z instrukcją, że należy w nie kliknąć.
Pisownia, gramatyka: Zwracajmy uwagę na pisownię, gramatykę, składnię zdania, a nawet na wygląd takiej wiadomości – różnice językowe co prawda bywają subtelne, ale jeśli tylko coś się wyda podejrzanie w tej kwestii (odbiega od dotychczasowej komunikacji do jakiej jesteśmy przyzwyczajeni z daną firmą), jest szansa, że wiadomość nie jest prawdziwa.
Obietnica szybkiego wzbogacenia się lub wygranej: Jeszcze nigdy się nie zdarzyło, aby ktoś oferował przypadkowej i nieznajomej osobie wygranej (zwłaszcza w konkursie/loterii w której nie braliśmy udziału) lub po prostu pieniędzy, w zamian za przekazanie swoich danych…czasami obietnica wydaje się atrakcyjna, ale nie warto poddawać się pokusie, bo to niemal na pewno jest oszustwo, a konsekwencje mogą być dla nas przykre.
Budowanie poczucia strachu: Przestępcy lubią używać taktyki strachu. Jeśli więc e-mail zasugeruje, że wydarzy się coś złego (np. z naszym kontem bankowym) – również nie warto dawać się ponieść emocjom. Wszystkie informacje weryfikujmy, nie działajmy pochopnie.
Smishing i vishing
Smishing wykorzystuje to co jest charakterystyczne dla komunikacji z użyciem smartfona, czyli działanie: tu i teraz. Poprzez stosowanie technik które mają zastraszyć smishing oddziałuje na nas – zmuszając do natychmiastowego kliknięcia w link lub wykonania połączenia, które prowadzi do wyłudzenia danych osobowych. Nie róbmy tego. Weryfikujmy – czytajmy tekst, czy nic nie budzi naszej wątpliwości i przede wszystkim zadajmy sobie proste pytanie: dlaczego mam na nie odpowiadać?
Również często wykorzystywaną metodą jest vishing, która polega na wyłudzaniu danych osobowych poprzez rozmowę telefoniczną. Osoba wyłudzająca dane tzw. visher, dopasowuje swoje podejście i argumenty do swojego rozmówcy np. bada w jakim jesteśmy wieku, czy I na ile jesteśmy podatni na jego argumenty, jakie towarzszą nam emocje.
Aby nie wpaść w pułapkę warto pamiętać o trzech zasadach:
Rozmowa telefoniczna: Nie wdawać się w rozmowy telefoniczne
z nieznajomymi – stosują różne techniki, aby manipulować swoim rozmówcą. Jeśli czujemy się nieswojo w takiej rozmowie – nie do końca jest zrozumiały jej cel, a druga strona stara się ją uporczywie podtrzymać – po prostu rozłączmy się.
Autentyczność dzwoniącego: Wiarygodność osoby dzwoniącej można próbować zweryfikować np. informując dzwoniącego, że sprawdzimy autentyczność jego numeru z którego dzwoni (i ewentualnie oddzwonimy), albo jego zatrudnienie w danej firmie.
Bez haseł: Nie podajemy przez telefon żadnych informacji, chyba że mamy pewność, że numer pod który dzwonimy jest prawdziwy lub osoba która do nas dzwoni jest wiarygodna. Nie ujawniamy również nikomu pełnego hasła – prawdziwy przedstawiciel firmy nigdy nie poprosi o jego podanie.
Złota zasada
Niezależnie od tego czy chodzi o vishing, smishing czy phising, bez względu na to jak sprytnych technik wykorzystują przestępcy, aby przekonać ofiary o swojej autentyczności
i tak przede wszystkim chodzi o to, abyśmy dobrowolnie ujawnili swoje dane. Aby uniknąć wpadki istnieje jedna złota zasada, aby nigdy nie ujawniać swoich poufnych danych – chyba że w 100% jesteśmy przekonani, że nie mamy do czynienia z oszustami.
Badanie Cyber Barometr:
—–