Phishing to atak hakerski ukierunkowany na człowieka. Haker, wysyłając do ofiary odpowiednio spreparowany komunikat, próbuje podstępem nakłonić ją do wykonania konkretnej czynności. Najczęściej jest to kliknięcie w link, przekazanie danych lub uruchomienie pliku. Cyberprzestępca atakuje głównie poprzez wiadomość e-mail, ale wyróżniamy różne warianty phishingu wykorzystujące np. wiadomości SMS (tzw. SMSishing lub Smishing), rozmowy telefoniczne (tzw. Vishing) lub inną komunikację bezpośrednią jak wiadomości w social mediach lub spotkanie twarzą w twarz. 

Phishing to celowe wprowadzanie w błąd, podszywanie się pod kogoś, gra pozorów, aranżowanie fałszywych sytuacji. Haker często korzysta z autorytetu osoby lub instytucji – szefa, współpracownika, policjanta, pracownika banku. Ataki phishingowe wciąż są skuteczne, ponieważ pozwalają wykorzystać tzw. efekt skali – wiadomości są najczęściej wysyłane automatycznie nawet do kilku tysięcy odbiorców. Strony, na które haker chce przekierować swoją ofiarę lub wiadomości, które do niej wysyła, do złudzenia przypominają te prawdziwe – zawierają logotyp, mają identyczny wygląd czy identyfikują się pod bardzo podobnym do oryginalnego adresem. Istnieje więc duża szansa, że przynajmniej niewielka część odbiorców da się oszukać, np. z powodu zmęczenia, stresu, pośpiechu, poczucia okazji czy po prostu przez nieuwagę. Internetowy oszust oddziałuje bowiem na emocje swojej ofiary, by odwieść ją od racjonalnego przeanalizowania sytuacji.

Statystyki na temat ataków hakerskich są jednoznaczne – ponad 90 procent wszystkich przeprowadzonych ataków zaczyna się właśnie od ataku socjotechnicznego na pracownika. Najczęściej zapalnikiem jest odpowiednio spreparowany e-mail. Dlatego tak ważna jest edukacja i świadomość na temat zagrożeń. Co istotne, zdobyta wiedza pomoże Ci uchronić się przed atakiem phishingowym nie tylko w pracy, ale także w domu

PO CZYM ROZPOZNAĆ ATAK PHISHINGOWY? 

Nie sposób wymienić wszystkich scenariuszy, według których haker może zaatakować. Cyberprzestępcy nieustannie rozwijają sposoby ataków, zdobywają informacje o Tobie, Twojej firmie i atakują bardziej precyzyjnie, obserwują sytuację w kraju, śledzą aktualne trendy, wykorzystują czas zbliżających się świąt, uroczystości. Robią to po to, by jak najlepiej wpasować się w okoliczności, uśpić Twoją czujność i osiągnąć sukces. Bez względu na formę ataku, jest kilka rzeczy, które powinny zwrócić Twoją uwagę i powstrzymać Cię od pochopnego działania:

• Prośba o przesłanie, udostępnienie, pokazanie wrażliwych danych 
  Jeśli Twój rozmówca namawia Cię do udostępnienia hasła do logowania, wysłania zdjęcia dokumentu, albo udostępnienia innych poufnych informacji, możesz mieć pewność, że nie ma dobrych zamiarów. Pamiętaj, że nikt poza Tobą nie powinien mieć dostępu do wrażliwych danych.
• Próba wywołania presji 
  Kiedy ktoś Cię ponagla, przekonuje do szybkiego podjęcia decyzji, wykonania określonej czynności (np. kliknięcia w link, pobrania pliku), jest wielce prawdopodobne, że to atak. Hakerzy często próbują skłonić swoje ofiary do działania pod wpływem impulsu.
• Jeśli coś jest zbyt piękne, by było prawdziwe… 
  To możesz niemal ze stuprocentową pewnością założyć, że jest pretekstem do ataku, którego Ty jesteś celem. Dotyczy to wszelkich wiadomości, w których dowiadujesz się, że jesteś jedynym spadkobiercą majątku lub czeka na Ciebie nagroda, w pracy dostałeś podwyżkę lub firma przygotowała dodatkowe benefity z okazji świąt, wakacji… Rzadko kiedy ktoś informuje o takich sprawach wysyłając e-maila. Do takich wiadomości warto podchodzić na chłodno i zweryfikować ich źródło oraz potwierdzić ich autentyczność zaufanym kanałem.
• Informacja od instytucji publicznej 
  Wykorzystanie wizerunku instytucji publicznej również może posłużyć hakerom do zdobycia Twoich danych i pieniędzy. Wykorzystają do tego zaufanie, którym darzymy instytucje publiczne. Haker może więc podszywać się pod policję i informować o niezapłaconym mandacie, grzywnie, którą musisz zapłacić za zdjęcie blokady z Twojego urządzenia, założonej w związku z oglądaniem lub udostępnianiem np. treści pornograficznych. Może też udawać przedstawiciela urzędu i wysłać informację o błędach w złożonej przez Ciebie deklaracji podatkowej w okresie rozliczeniowym z wezwaniem do jej poprawy pod groźbą kary.

JAK SIĘ OBRONIĆ PRZED ATAKIEM PHISHINGOWYM? 

Byłoby wspaniale, gdyby istniał algorytm postępowania lub techniczne zabezpieczenia, które całkowicie powstrzymałyby ataki phishingowe. Niestety tak nie jest. Nie oznacza to jednak, że nie możesz nic zrobić, by nie stać się ofiarą cyberprzestępcy. Owszem, możesz i to wiele. Najważniejsza jest Twoja świadomość zagrożeń, pogłębianie wiedzy na temat cyberataków i wypracowanie nawyków, dzięki którym znacznie poprawisz swoje bezpieczeństwo w Internecie.  

Choć wiele z prób ataków wydaje się być łatwymi do rozpoznania, nawet najbardziej oczywiste elementy świadczące o próbie wyłudzenia informacji lub pieniędzy mogą Ci umknąć pod wpływem emocji, które wywoła u Ciebie cyberprzestępca. W Praktycznym Treningu Antyphishingowym symulacje, które są dziecinnie proste do rozpoznania, osiągają niespodziewanie wysoki procent skuteczności, gdy są osadzone we właściwym kontekście, w czasie, gdy ich pojawienie się jest prawdopodobne. 

1. Zachowaj uważność i czujność
   Ataki najczęściej zaczynają się od podrobionego e-maila, w którym haker nakłania Cię do kliknięcia w link, pobrania lub otwarcia załącznika. Cyberprzestępca będzie chciał przekonać Cię do działania w pośpiechu, zależy mu na tym, by Twoje decyzje były podejmowane szybko, bez zastanowienia, bez analizy. Bardzo ważne jest więc zwracanie szczególnej uwagi na adresy, z których przychodzą wiadomości e-mailowe oraz ich treść. Jeśli masz wątpliwości co do tego, czy nadawca jest tym za kogo się podaje – zweryfikuj to. Zadzwoń do niego (uwaga na fałszywe numery telefonów podane przez rzeczonego nadawcę – np. w stopce wiadomości), skontaktuj się z firmą lub instytucją, którą reprezentuje.
2. Uważnie czytaj wiadomości 
   Zwróć uwagę na poprawność gramatyczną i interpunkcyjną wiadomości, przyjrzyj się, czy nie ma literówek w adresie nadawcy lub w treści e-maila. Jeśli nie masz pewności, czy to jest prawidłowy adres, sprawdź na stronie internetowej nadawcy lub skorzystaj z wyszukiwarki. Ważne jest także to, czy nadawca użył polskich znaków – istnieje niewielkie prawdopodobieństwo, żeby znane Ci firmy, przedsiębiorstwa, czy instytucje popełniały błędy. Uważaj na skrócone linki. Możesz najechać kursorem na adres (bez klikania!), by zobaczyć rzeczywiste miejsce, do którego prowadzi link.  Zwracaj uwagę na wyrażenia typu “wyślij te dane w ciągu 24 godzin”, “prawdopodobnie padłeś ofiarą oszustwa, kliknij i sprawdź to natychmiast”. Wielce prawdopodobne jest, że nadawca, który Cię ponagla to cyberprzestępca.
3. Uważaj, co udostępniasz
   Nie dziel się całym swoim życiem w social mediach, zwróć uwagę na to, jakie dane publikujesz i bądź świadomy, że mogą one stanowić pretekst dla przestępcy. Informacje o tym, gdzie jedziesz na wakacje lub gdzie mieszkasz bezpieczniej zostawić dla siebie lub przynajmniej ograniczyć dostęp do nich nieznajomym. Podawanie informacji o Twoim pracodawcy może doprowadzić do spersonalizowanego ataku, czyli spear phishingu. Nie akceptuj zaproszeń do grona znajomych od wszystkich osób. Cyberprzestępcy również działają na social mediach, by zdobyć jak najwięcej informacji o swojej ofierze.
4. Korzystaj z menadżera haseł i włącz MFA
   To narzędzie nie tylko zwiększy Twoje bezpieczeństwo, ale też ułatwi życie. Dobry menadżer haseł umożliwi Ci wygenerowanie mocnych, składających się z kombinacji wielu znaków haseł, ale też będzie je przechowywał w bezpiecznym sejfie. Dzięki temu podczas logowania aplikacja będzie podstawiała hasło automatycznie oraz może Cię ostrzec, gdy trafisz na stronę phishingową. Jeśli wciąż korzystasz z jednego hasła w kilku serwisach, koniecznie zmień ten zwyczaj, bo to się wiąże dla Ciebie z bardzo dużym ryzykiem. Jeżeli potrzebujesz pomocy w wyborze narzędzi do ochrony prywatności, przechowywania haseł i innych sposobów zwiększania własnego bezpieczeństwa, rekomendujemy polecenia i analizy privacytools.io.
   Tam, gdzie to możliwe włącz MFA czyli uwierzytelnianie wieloskładnikowe, minimum dwuskładnikowe.
   Nie używaj jednego adresu e-mail w każdym miejscu. Najlepiej dedykować osobne do pracy, internetowych płatności i do celów prywatnych.
5. Aktualizuj oprogramowanie
   Często spotykamy się z opinią, że to zbędna czynność, która zabiera Twój czas, spowalnia działanie telefonu lub komputera. Zaniedbywanie i odkładanie aktualizacji stwarzają realne zagrożenie dla danych, które przechowujesz w urządzeniu i znacznie zwiększają ryzyko udanego ataku, bo hakerzy wykorzystują wykryte lub kupione informacje o dziurach w systemach i aplikacjach. Producenci oprogramowania starają się dostarczyć uaktualnienie, gdy tylko zostaną w nim wykryte jakiekolwiek luki bezpieczeństwa, dlatego warto instalować aktualizacje od razu po ich udostępnieniu.
6. Nie zwlekaj, gdy podejrzewasz, że doszło do incydentu bezpieczeństwa
   Nawet gdy nie masz pewności, lecz podejrzewasz, że coś jest nie tak – weryfikuj, działaj, naprawiaj! Oznakami, które powinny Cię zaniepokoić są np. spowolnienie pracy komputera po zainstalowaniu jakiegoś oprogramowania lub komunikat o błędzie po kliknięciu w link. Gdy zauważysz coś takiego, zachowaj spokój i odłącz komputer od sieci. Jeśli przydarzy Ci się to w pracy – niezwłocznie skontaktuj się z działem IT, jeśli w domu, to z serwisem komputerowym lub zaprzyjaźnioną osobą, która może Ci pomóc w przypadku, gdy Twój komputer został zaatakowany. Czas Twojej reakcji jest naprawdę ważny, dlatego nie zwlekaj z podjęciem tych czynności.
7. Postaw na edukację
   Mimo że piszemy o niej na końcu, uważamy, że to kluczowy i najważniejszy punkt. Edukacja to najpotężniejsze narzędzie Twojej ochrony. Każdy powinien wiedzieć jak rozpoznać atak phishingowy, jak się przed nimi obronić i mieć możliwość bezpiecznego sprawdzenia się w praktyce.
   Interesuj się tematem bezpieczeństwa, trenuj, pogłębiaj wiedzę, śledź aktualne ostrzeżenia, bądź świadomy sposobów działania przestępców cybernetycznych, zagrożeń z ich strony i ich celów. Zachowuj się tak, żeby znacząco zmniejszyć ryzyko, a w przypadku incydentu, zminimalizować swoje straty. Zadbaj również o bezpieczeństwo i właściwe zachowania swoich najbliższych – oni również mogą ponieść dotkliwe straty oraz okazać się skuteczną drogą hakerów na zaatakowanie Ciebie!