Phishing – co to za oszustwo?

Phishing to wyłudzing haseł i kradzieżing pieniędzy. Ataker stosuje podszywing połączony z manipulejtingiem.

Można też napisać tak

Phishing to oszustwo internetowe. Oszust podszywa się pod jakąś instytucję i tak manipuluje ofiarę, że sama podaje mu hasło do bankowości internetowej. Dodatkowo ofiara – przez swoją nieuwagę – podaje jednorazowe hasła i udostępnia oszustowi wszystkie swoje pieniądze.

Definicja może być prostsza, ale słowo „phishing” dalej straszy.

Jest to największe zagrożenie, jakie ostatnio może spotkać internautów. Szkoda, że dostało nazwę, która utrudnia zdobywanie wiedzy i skuteczną obronę.

Co to jest phishing? To wyłudzenie. Przestępca atakuje Twoją głowę, a nie Twój komputer.

Gdyby phishing był wyłudzeniem

Kiedy dochodzi do phishingu, to napastnik próbuje na różne sposoby wyciągnąć od ofiary informacje, potrzebne do zarządzania jej pieniędzmi. Jak już będzie miał te informacje, to zabiera pieniądze. Czyli wyłudza informacje i pieniądze.

To dlaczego nie nazwać tego wyłudzeniem?

Chyba wyłudzenie jest bardziej zrozumiałe dla ogółu. Z kolei phishing kojarzą tylko te osoby, które bardzo interesują się bezpieczeństwem swoich pieniędzy.

A co to jest wyłudzenie?

Przed użyciem słowa wyłudzenie, chciałem sprawdzić, co ono oznacza – zwłaszcza w prawie. W Internetowym Systemie Aktów Prawnych (ISAP) znalazłem tylko wyłudzenia skarbowe. Z kolei na Wikipedii wyłudzenie jest synonimem oszustwa. Czyli termin dość ogólny i jednocześnie zrozumiały.

Wyłudzenie – internetowe i tradycyjne – jest sztuką podstępu i manipulacji.

Ważne jest, żebyś wiedział, jak się przed tym bronić.

Nie daj się podejść

Obrona przed wyłudzeniami nie jest prosta, bo wymaga ciągłej koncentracji. A korzystając z internetu tracimy koncentrację i działamy automatycznie – bez zastanowienia. Jeśli wydaje Ci się, że jakiś program ochroni Cię przed wyłudzeniem w internecie, to się mylisz – ale o tym za chwilę.

Żeby osiągnąć swój cel, napastnik musi sprawić, że przestaniesz normalnie myśleć. I wcale nie musi się wysilać. Zazwyczaj osiąga to przy pomocy super okazji cenowych albo pilnych wezwań do zapłaty. Czasem też informuje Cię, że coś wygrałeś w jakiejś loterii. Albo obiecuje, że dostaniesz za darmo coś, ale musisz kliknąć w jakiś link.

Przestępców ogranicza tylko wyobraźnia, a to oznacza, że nic ich nie ogranicza (może trochę ich ogranicza prawo).

Dlatego musisz być czujny. Bez przerwy.

Super okazja!

Wyobraź sobie, że chcesz coś kupić i akurat znalazłeś w internecie tą rzecz za 30% jej wartości. Jeśli myślisz, że masz farta, to musisz się uspokoić i dokładnie wszystko sprawdzić. Nie czytaj informacji o tym, że ktoś to dostał na ślub i nie potrzebuje, albo że wyjeżdża za granicę i musi się szybko pozbyć dobytku, bo takie rzeczy każdy może wymyślić. Sprawdź jakie są możliwości odbioru i zapłaty za tą rzecz. I zwróć uwagę na kolejność – najpierw odbiór a potem zapłata – musisz zobaczyć to coś, za co masz płacić. Jeśli sprzedający nalega na jedną formę płatności, na przykład kody blik, to podziękuj i poszukaj normalnej oferty. Jeśli sprzedający nalega na przedpłatę i wysyła Ci link do płatności, to też powinieneś zrezygnować z zakupu.

Dla jasności dodam, że w tym przykładzie chodzi mi o oferty od osób prywatnych, zamieszczane na różnych stronach. Okazje w legalnych sklepach też się zdarzają, ale nie są tak spektakularne jak u oszustów.

Może się zdarzyć, że jakaś super oferta jest prawdziwa, a sprzedający nie chce nikogo oszukać. Ale przed dokonaniem zakupu musisz spokojnie wszystko sprawdzić.

Musisz dopłacić 1zł. Już!

Bardzo często oszustom udaje się wyłudzić pieniądze metodą na dopłatę małej kwoty. Przestępcy rozsyłają tysiące wiadomości z informacją, że z jakiegoś powodu musisz dopłacić niewielką kwotę, bo nie dostaniesz przesyłki albo Twoje konto zostanie zablokowane. Każda taka wiadomość zawiera link do fałszywego panelu płatności, który służy właśnie do wyłudzania pieniędzy (zazwyczaj wszystkich pieniędzy, jakie ofiara ma w banku).

Złośliwe wiadomości często nie mają związku z rzeczywistością i wydają się być jakąś abstrakcją. Bo skoro niczego nie zamawiałeś, to dlaczego miałbyś się obawiać, że nie otrzymasz przesyłki, której nie chcesz? Informacja o tym, że nie opłaciłeś jakiejś sprawy też nie powinna Cię zainteresować, bo co to niby za sprawa, za którą masz płacić? Niestety, na kilka tysięcy osób, które dostają takie wiadomości, ciągle trafiają się ludzie, którzy klikają w linki przesłane w dziwnych wiadomościach i nawet podają swoje hasła do kont bankowych.

Jeśli dostaniesz wiadomość z pilnym wezwaniem do zapłaty małej kwoty, to nie myśl sobie, że „to przecież tylko 1,20zł”! Zanim cokolwiek zrobisz, musisz ochłonąć i zastanowić się, co tu się właściwie zdarzyło.

Czy Ty coś zamówiłeś i czekasz na przesyłkę? Jeśli tak, to już zapłaciłeś za przesyłkę. Albo zapłacisz przy odbiorze. Nie dopłacaj, bo możesz stracić wszystkie pieniądze z konta. Zadzwoń do sprzedawcy i wyjaśnij tę sprawę.

Kurier napisał, że trzeba dopłacić? Ale Ty nic kurierowi nie zlecałeś – to sprzedawca zamawia kuriera. Gdyby wzrosły koszty przesyłki, to sprzedawca do Ciebie zadzwoni. Tylko czy kiedykolwiek słyszałeś, żeby sklep zmienił koszt wysyłki po opłaceniu zamówienia?

Dostałeś informację o wystawionej fakturze i link do płatności? To zastanów się, czy to jest ten dzień, w którym powinna być wystawiona faktura. A najlepiej zastanów się, czy Ty w ogóle korzystasz z usług tej firmy! Skoro ktoś może Ci wystawić fakturę, to prawdopodobnie możesz zobaczyć tę fakturę na jego stronie internetowej – skorzystaj z tej możliwości przed zapłatą.

Nadawca chcę żebyś zapłacił natychmiast? To musisz to zrobić spokojnie. Jeśli masz teraz dużo na głowie, to oznacz wiadomość jako nieprzeczytaną i zajmij się nią, jak będziesz mieć chwilę spokoju – faktura nie zając, nie ucieknie.

I pamiętaj, żeby nie kontaktować się z nadawcą wiadomości przez wskazany przez niego kanał, na przykład przesłany w tej samej wiadomości numer telefonu, bo tam Ci tylko potwierdzą to, co napisali. Informacji kontaktowych szukaj zawsze na stronach internetowych swojego dostawcy usług (fakturę powinien wystawić ktoś, z kim masz umowę).

Nie grałeś, ale wygrałeś!

Fajnie jest coś wygrać. Ale żeby coś wygrać, to trzeba dać coś od siebie – pieniądze, czas albo wiedzę. Nie możesz wierzyć w to, że wygrałeś 5000 złotych, bo byłeś 346543 osobą, która coś zobaczyła. Przecież nikt obcy nie daje pieniędzy, za to, że się jest. Szansa na zgarnięcie dużej kasy może być kusząca dla zmęczonego użytkownika internetu, ale trzeba się otrząsnąć i pomyśleć logicznie. Nie grałeś, to nie mogłeś wygrać! Koniec. Rób dalej to co robiłeś do tej pory i nie myśl o żadnej wygranej.

Ktoś Ci coś odda, ale opłać kuriera

Ogłoszenie: „Oddam za darmo, musisz tylko zapłacić za kuriera (ja wszystko wypełnię za Ciebie, a Ty tylko klikniesz w link i zapłacisz 15zł)”.

Takie ogłoszenie może się wydawać niewinne. Problemem jest jednak link do płatności. Jeśli ktoś będzie chciał Cię oszukać w ten sposób, to prześle Ci link do fałszywego panelu płatności i spróbuje zabrać Twoje pieniądze. Nigdy nie ufaj linkom do płatności, które prześle Ci ktokolwiek (nawet znajomi z fejsa).

Gdzie w tym wszystkim jest wyłudzenie?

Możliwe, że podane do tej pory sytuacje nie napawają Ci strachem i nie czujesz potrzeby zachowania ostrożności. I to jest na rękę oszustom.

Podczas próby wyłudzenia w internecie, przestępcy atakują Twoją głowę, a nie Twój komputer. Działają w taki sposób, żeby zmusić Cie do działania, nie wzbudzając przy tym żadnych podejrzeń.

Wstęp

W pierwszej fazie ataku przestępcy wywołują silne emocje: radość, a nawet euforię (bo kupisz sobie coś bardzo tanio i oszczędzisz tysiąc złotych) albo niepokój (bo zablokują Ci konto jak nie zapłacisz).

Przestępca podstępem wciąga Cię w pułapkę

Ty dajesz się nabrać i wierzysz we wszystko, co napisze przestępca

Przestępca wysyła Ci link do bankowości internetowej albo do panelu płatności

Ty bez zastanowienia wchodzisz na stronę przygotowaną przez przestępcę

Żeby nie wpaść w pułapkę, musisz zawsze studzić emocje i spokojnie wytłumaczyć samemu sobie, co się właśnie wydarzyło. Nie dotyczy to tylko zachowania w internecie.

Nigdy nie szukaj usprawiedliwienia dla sytuacji, które nie powinny się wydarzyć, a jednak się wydarzyły. Nie możesz sam siebie przekonywać, że zaistniała sytuacja w jakiś sposób jest normalna. Bądź czujny i zamiast wytłumaczeń, szukaj podstępu. To może się wydawać nieco paranoiczne podejście, ale chwila zastanowienia to nie jest coś wielkiego. Ja niedawno miałem nietypową sytuację i nawet myślałem, że ktoś mnie właśnie atakuje, ale na szczęście wszystko było w porządku.

Rozwinięcie

Żeby Cię okraść, ktoś musi mieć Twoje dane służące do zalogowania do banku. Przestępca nie ma tych danych, dlatego poprosi, żebyś mu je dał.

Druga faza ataku polega na podstawieniu Ci fałszywej strony, na której masz wpisać login i hasło do bankowości internetowej. Ciągle jeszcze masz szansę na obronę, ale znowu musisz się zastanowić, co Ty właściwie robisz.

Wpisując swoje hasło – nie tylko do bankowości – musisz mieć pewność, że jesteś na tej stronie, na której chciałeś być!

  • to, że strona wygląda identycznie jak prawdziwa, nie znaczy, że jest prawdziwa
  • to, że na stronie jest ostrzeżenie przed oszustami, nie oznacza, że strona jest prawdziwa
  • nazwa firmy, logo i regulamin też nie oznaczają, że jesteś na właściwej stronie

To, czy jesteś na właściwej stronie, poznasz po jej domenie, czyli adresie internetowym.

Jeśli nie wiesz, jaki jest poprawny adres strony Twojej bankowości internetowej, to możesz to teraz sprawdzić – otwórz stronę logowania do Twojego banku i zobacz jak wygląda jej adres internetowy.

To jest adres strony logowania do mBanku
To jest fałszywa strona

Powyższe dwa adresy internetowe nie są do siebie podobne. A jednak adres pk999[kropka]pl został użyty podczas ataku metodą na dopłatę do przesyłki. Pod tym adresem był fałszywy panel dotpay oraz fałszywe strony logowania do banków. Internauci, którzy dają się nabrać na takie sztuczki zazwyczaj oceniają stronę po wyglądzie, nie zwracając uwagi na jej adres – i przez to tracą swoje pieniądze.

I zakończenie ataku

Samo pokazanie ofierze fałszywej strony logowania jeszcze nic nie daje napastnikowi. Ale jak się udało kogoś zaciągnąć tak daleko, to jest szansa dociągnąć go do końca operacji. Jeśli to Ty zostaniesz zaatakowany w ten sposób, to ciągle możesz się jeszcze uratować – ale musisz zacząć myśleć! Musisz się skupić! I nie robić przelewów w pośpiechu!

Teraz spróbuję pokazać Ci, jak może przebiegać końcówka ataku. Do tego momentu napastnik zajmował się Twoją głową. Na tym etapie też będzie się nią zajmował, ale dodatkowo zacznie operacje na Twoim koncie bankowym. Poniższy schemat nie jest kompletny i powinien być traktowany tylko jako przykład.

Ty podajesz login i całe hasło na fałszywej stronie

Przestępca otrzymuje Twoje dane i loguje się na prawdziwej stronie banku

Ty widzisz fałszywą stronę logowania z kręcącym się kółeczkiem i napis „czekaj”

Przestępca jest już zalogowany do banku jako Ty

Przestępca zapisuje nowego odbiorcę zaufanego

Ty dostajesz sms z banku, ale nie czytasz go dokładnie

Przestępca wyświetla na fałszywej stronie informację, że musisz podać kod z smsa

Ty widzisz na stronie prośbę o podanie kodu i podajesz kod bez sprawdzenia czego ten sms dotyczy

Przestępca dostał od Ciebie kod do autoryzacji nowego zaufanego odbiorcy

Przestępca wpisuje na prawdziwej stronie kod, który mu podałeś

Ty znowu widzisz ekran z napisem „czekaj”

Jeśli przestępca potrzebuje wpisać następny kod z smsa, to znowu prosi Cię o podanie kodu, bo „wystąpił błąd”

Ty robisz to, co chce przestępca

Przestępca robi z Twoimi pieniędzmi to, co chce

Jeśli przestępca zaloguje się na Ciebie do banku, a Ty podasz mu wszystkie kody z smsów, to na Twoim koncie nic nie zostanie.

Po całej akcji nie możesz wiele zrobić. Ale w trakcie ataku masz wiele szans na zorientowanie się w sytuacji i przerwanie operacji. Wszystkie czerwone bloki powyżej, to Twoje szanse.

Nie ma znaczenia, jak Cię oszukają

Oszustwa internetowe są dzielone na wiele kategorii, które dostały różne, zazwyczaj angielskie nazwy. Ten cały podział jest dobry dla ekspertów, którzy będą dyskutować z innymi ekspertami. Ale Ty nie musisz znać tych wszystkich kategorii. Ty masz być gotowy na każde oszustwo. I nie dać się nabrać!

Możesz wiedzieć co to jest phishing czy ransomware, ale nie jest to niezbędne do życia. Ważniejsze jest to, żebyś wiedział, że oszuści internetowi atakują bez przerwy, robią to na masową skalę i są bardzo pomysłowi. Nie jesteś w stanie poznać wszystkich rodzajów ataków, bo nawet eksperci bywają zaskoczeni pomysłowością przestępców.

Tytułowy phishing podobno polega na wykradaniu haseł i innych danych, które pozwalają na zarządzanie Twoimi pieniędzmi. W takim razie jak sklasyfikować to oszustwo opisane na niebezpieczniku? Tam było przejęcie konta email, potem przejęcie konta na facebooku, na którym były fałszywe oferty sprzedaży i w końcu wyłudzenie pieniędzy przy pomocy kodów blik. Na prawdę, nie ma znaczenia, jak Cię oszukają. Ale dobrze jest wiedzieć, że takie rzeczy są w ogóle możliwe.

Żeby nie dać się złapać na jakiś przekręt, musisz być świadomy tego, co robisz.

Komputer Cię nie ochroni przed wyłudzeniem

I to chyba jest spory problem. Ktoś może pomyśleć, że jak ma aktualny system, antywirusa i ogólnie wszystko poprawnie skonfigurowane, to taki zestaw uchroni go przed wszystkimi zagrożeniami w internecie. Nie prawda! Komputer nie ma szans ochronić Cię przed wyłudzeniem.

Bo jeśli padniesz ofiarą skutecznego wyłudzenia (przez ekspertów zwanego phishingiem), to Ty podasz przestępcy swoje hasła. Komputer nie wie, co Ci siedzi w głowie i dlaczego właśnie wpisujesz coś na jakiejś stronie. Komputer nie może odgadnąć, że te kilka cyferek, które właśnie wpisałeś, to jest kod zabezpieczający, który Twój bank wysłał Ci smsem.

Producenci antywirusów piszą, że ich programy filtrują wiadomości, które do Ciebie przychodzą. Ale antywirusy szukają znanych form ataków – na nowe nie działają, bo ich nie znają. Ty sam musisz sobie przefiltrować wszystkie komunikaty, jakie do Ciebie trafiają!

Przeglądarki internetowe mogą blokować niebezpieczne strony i robią to. Ale te strony muszą być wcześniej „oznaczone” jako niebezpieczne, a zanim się to stanie, to Ty możesz już nie mieć swoich pieniędzy. Dlatego Ty jesteś swoją pierwszą deską ratunku (i ostatnią zarazem).

firefox blokuje podejrzaną stronę
Strona zablokowana przez Firefoxa

Twój dostawca internetu też może blokować strony, które wyłudzają informacje i pieniądze, ale – znowu – taka strona musi być rozpoznana jako złośliwa.

cybertacza orange blokuje fałszywą stronę
Cybertarcza Orange zablokowała fałszywą stronę

Zanim strona zostanie zablokowana (przez człowieka lub komputer), przestępca może okraść kilku klientów. A po zablokowaniu złośliwej strony, przestępca może próbować przekierować Cię na inną złośliwą stronę, która też zostanie zablokowana, ale dopiero za jakiś czas.

Ten czas, pomiędzy uruchomieniem złośliwej strony, a zablokowaniem jej przez kogoś, to czas dostępny dla przestępcy. Przestępca może w tym czasie próbować Cię okraść. A Ty musisz się przed nim bronić.

Nie ma złotej rady

Jeśli liczysz na jakąś złotą (albo zwykłą) radę, która pojawi się na końcu tego tekstu, to się nie doczekasz. Wszyscy musimy być czujni podczas korzystania z internetu. Ale to raczej nie jest złota rada.

Przestępcy są pomysłowi i dostosowują się do aktualnej sytuacji, a my musimy samodzielnie zadbać o swoje bezpieczeństwo. Najlepiej poprzez ciągłe zastanawianie się, czy wszystko jest ok i czy właśnie ktoś nas nie okrada. Jeśli nie będziemy przesadzać, to nie będzie to paranoja (chyba).

Zminimalizuj straty

Nie trzymaj wszystkich pieniędzy w jednym banku. Bo po ewentualnym ataku możesz zostać bez pieniędzy.

Załóż drugie konto, na którym będą większe pieniądze. Ale to drugie załóż w innym banku, bo konta w jednym banku są obsługiwane przez jedną bankowość internetową (do której atakujący będzie miał dostęp).

Szczegółowe opisy ataków

Jeśli nie spotkałeś się wcześniej z jakimś atakiem internetowym, to przeczytanie tego tekstu może Ci niewiele dać, bo tak naprawdę nie widzisz problemu, jakim może być wyłudzenie w internecie.

Wydaje mi się, że podobnie jest z dziećmi, którym się mówi, żeby nie brały słodyczy od obcych. Dzieci, które nie spotkały się z okropnymi rzeczami, jakie robią dorośli ludzie, nie są w stanie wyobrazić sobie konsekwencji swojego zachowania. Tak samo ktoś, kto nie widział „zniknięcia” pieniędzy z konta, nie może sobie wyobrazić jak to wygląda. Dlatego dodaję kilka linków do szczegółowych opisów ataku.

Atak z ogłoszenia

Próba ataku za pomocą ogłoszenia „oddam za darmo” z linkiem do opłacenia kuriera. Tym razem się nie udało, bo przestępca nie obsługiwał banku ofiary.

Kolejna próba z wykorzystaniem linku do płatności za kuriera. Na szczęście kupujący się zorientował i nie podał swoich danych. Dlatego ważne jest sprawdzanie adresu strony, na której jesteśmy.

Dopłata albo blokada

Krok po kroku opisany atak z dopłatą do faktury. Trzeba było dopłacić 1zł do jakiejś faktury, jakiemuś operatorowi. Dlatego powinno się sprawdzać stan konta i faktury na stronie swojego dostawcy usług. I nie korzystać z przesłanych linków do płatności. I sprawdzać, czy jest się na stronie swojego banku. I czytać dokładnie smsy z kodami autoryzacyjnymi.

I jeszcze jeden atak. Tym razem fałszywe emaile od Orange.

I jeszcze atak na klientów ING. Tym razem nie trzeba dopłacać. Ale przestępcy informują o blokadzie konta i proszą o zalogowanie, w celu odblokowania.

Nawet próbują „na Profil Zaufany”

Dowód na to, że oszuści są pomysłowi. Kto by się spodziewał takiego ataku? Przestępcy wykorzystali fakt, że do Profilu Zaufanego można się zalogować przez bankowość internetową.

Atak na 4 miliony

Opis kradzieży 4 milionów złotych. Przestępcy wysłali do firmy „nowe konto do przelewów”, a firma przelała tam pieniądze.

Dopłata do ogłoszenia i strata 3500zł

Informacja od osoby, którą ktoś okradł. Sekurak opisuje tą kradzież, ale warto też zobaczyć, co ofiara napisała na facebooku (i w komentarzach pod sowim postem). Sylwia, którą ktoś okradł, nie wyobrażała sobie, że coś takiego jest możliwe. Myślała, że skoro wystawiła ogłoszenie i dostała prośbę o dopłatę, to trzeba dopłacić. Sylwia naraziła się na wyśmianie przez „ekspertów od wszystkiego”, ale dobrze, że opublikowała ten post – dzięki temu inni ludzie zobaczą, że takie rzeczy są możliwe.

I jeszcze filmik od osoby, którą ktoś okradł

Dlaczego te ataki się udają?

Przecież większość opisanych ataków to skomplikowane operacje, podczas których ofiara musi kilka razy zrobić coś dokładnie tak, jak sobie to zaplanował napastnik. Dlaczego to się udaje?

Bo to są ataki na psychikę. A człowiek nie zawsze działa świadomie. Ten fakt jest wykorzystywany w reklamie, sprzedaży i w wielu obszarach naszego codziennego życia. Badania ludzkich zachowań pomagają nie tylko marketingowcom, ale też przestępcom.

Wiedziałeś, że tak wygląda phishing?

Znałeś wcześniej to słowo? A może spotkałeś się z takim oszustwem, ale nie wiedziałeś, że tak się nazywa? Czy nie lepiej byłoby nazywać to wyłudzeniem?

Dodaj komentarz

avatar
  Subscribe  
Powiadom o