Phishing. Jak oszuści kradną nasze dane?

Phishing jest bardzo poważnym niebezpieczeństwem. Polega on na podszywaniu się pod firmy, instytucje lub osoby reprezentujące je w celu zdobycia poufnych danych użytkowników. Zwykle celem phishingu jest uzyskanie dostępu do kont lub karty płatniczej ofiary, aby potem móc wykonywać nieautoryzowane płatności lub zażądać okupu.

Łatwo się pomylić przy wpisywaniu danych w fałszywych formularzach, ponieważ oszuści stosują odpowiednie techniki i zrobią wszystko, by zdobyć personalia ich ofiar.

Jak odróżnić phishing?

Po wyglądzie zwykle tego nie odgadniemy. „Dobry” phishing jest łudząco podobny do oryginalnej witryny, dlatego należy się dobrze orientować i znać inne cechy tych oszustw.

Sprawdź, czy połączenie jest bezpieczne. Jeśli nie widzisz kłódki i „https://” na pasku adresu, nie podawaj na takiej stronie swoich danych.

Uwaga: To, że połączenie jest bezpieczne nie jest koniecznie gwarancją, iż strona nie jest phishingiem. Taka sytuacja może wystąpić, gdy konkretny hosting serwuje wszystkie swoje podstrony przez SSL lub oszust korzysta z darmowego certyfikatu. Z reguły rzadko się to zdarza, jednak należy mieć tego świadomość, szczególnie w dzisiejszych czasach, gdy stosowanie szyfrowania staje się standardem.

Adres jest najlepszym sposobem na zidentyfikowanie przekrętu. Warto za każdym razem sprawdzać, czy poufne dane (loginy i hasła, numer karty kredytowej) są wpisywane na odpowiedniej stronie. Brzmi banalnie, jednak nie jest to takie oczywiste. Adres musi być dokładny – wszelkie dodatkowe cyferki, zamienniki typu „I” na „l”, „O” na „0” (często niezauważalne ze względu na ich podobieństwo), kropki lub myślniki w nieodpowiednich miejscach w adresie definitywnie wskazują, że nie jest to portal, za który się podaje.

Natrafiłem na próbę phishingu. Co zrobić?

Twoje dane nie zostaną wykradzione, jeśli ich nie wpiszesz. Wystarczy zamknąć fałszywy formularz. Dodatkowo, warto wyczyścić pliki tymczasowe i cookies w ustawieniach przeglądarki.

Uwaga: Jeśli witryna pobrała automatycznie jakiś plik, pod żadnym pozorem nie wolno go otwierać! Należy jak najszybciej usunąć go z dysku.

Jeśli masz czas, możesz dodatkowo zgłosić oszustwo tutaj.

Obawiam się, że wpisałem swoje hasło na podejrzanej witrynie. Jak zabezpieczyć się przed utratą danych?

Prędko zmień hasło do wszystkich usług, z których korzystasz. Zacznij od e-maila, gdyż jest on niezbędnym narzędziem do odzyskiwania haseł. Potem przejdź do twojego konta w banku oraz PayPala, a następnie do portali społecznościowych (Facebook, Twitter).

Pamiętaj, że stosując indentyczne hasło do wszystkich twoich kont, bardzo mocno narażasz się na utratę prywatności.

Gdziekolwiek to możliwe, włącz dwuskładnikową autoryzację – dodatkową warstwę ochronną konta, która poza hasłem pyta nas o kod wysłany SMS-em lub w aplikacji typu Authenticator.

Kliknij tutaj, aby zrobić to na swoim koncie Google (tj. YouTube, Gmail, Blogger, Dysk itd.)

Klknij tutaj, aby zrobić to na swoim koncie Facebook.

Phishing w innych formach

Czasami oszuści mogą zapytać o dane przez e-maila, chat lub nawet telefon. W tym przypadku nie trzeba się długo zastanawiać. Prawdziwi pracownicy portali takich jak Facebook, Twitter, Google, PayPal, twojego banku itd. nigdy nie zapytają się o twoje hasło. Każdy proces zmiany lub odzyskiwania hasła jest wykonywany automatycznie, bez ingerencji człowieka. Należy to sobie zakodować głęboko w pamięci.