Przestępca stosujący phishing bazuje na emocjach oraz wykorzystuje tzw. efekt skali. Podobna i automatycznie wysłana wiadomość trafia do setek odbiorców. Oszust zakłada, że choć część z nich ulegnie manipulacji, np. poprzez pośpiech lub brak skupienia.
Cyberprzestępca może zachęcać do kliknięcia w przesłany link, który prowadzi do fałszywej, ale łudząco podobnej do oryginalnej strony internetowej, np. strony Twojego banku.
W rzeczywistości podstawiona strona jest stworzona przez oszustów, których celem jest uzyskanie od Ciebie danych do logowania.
Oszuści mogą wykorzystywać wiadomości SMS, podszywając się pod podmioty publiczne celem uregulowania spraw formalnych, np. związanych z uregulowaniem należności podatkowych. Jeżeli klikniesz w przesłany link i dokonasz przelewu, jego prawdziwym adresatem będzie cyberprzestępca.
Phishing może polegać także na przesłaniu specjalnie spreparowanego załącznika, który wedle zapewnień oszusta jest fakturą, podczas gdy w rzeczywistości stanowi złośliwe oprogramowanie, którego celem jest przejęcie kontroli nad urządzeniem.
Jak się ustrzec?
Zwróć uwagę na domenę nadawcy, która może różnić się drobnym szczegółem, choćby literówką, jak kontakt@bank.ppl. Sygnałem ostrzegawczym jest niepoprawna gramatyka, interpunkcja lub brak polskich znaków. Podejrzenie powinny wzbudzić nagłówki wiadomości – jeśli nie są adresowane do konkretnego odbiorcy z imienia i nazwiska, ale odnoszą się do „cenionego współpracownika” lub „wieloletniego klienta”. Może to oznaczać, że nadawca nie zna adresata, a wiadomość została wygenerowana masowo do wielu odbiorców.
Warte uwagi są logotypy oraz stopki we wiadomości – które mogą być łudząco podobne do autentycznego nadawcy, ale różnią się szczegółami. Zawsze zastanów się nad zasadnością postępowania, do którego jesteś nakłaniany. Każda wiadomość wymaga chłodnej weryfikacji. Coraz częściej próbują podszywać się pod znajomych lub rodzinę ofiary.
Pamiętaj, że banki lub instytucje publiczne nigdy nie wysyłają e-maili zawierających link z prośbą o zalogowanie się na stronie, bądź żądania ujawnienia danych poufnych (takich jak PIN, hasło czy numer karty). Taka wiadomość powinna wzbudzić szczególną czujność - warto wówczas potwierdzić jej autentyczność poprzez kontakt z nadawcą - poprzez inne, oficjalne kanały komunikacji.
Każde podejrzenie ataku phishingowego warto zgłosić do przełożonego, Inspektora Ochrony Danych oraz specjalisty ds. bezpieczeństwa IT. Nasza czujność i szybka reakcja mogą pokrzyżować plany oszustów.