1. Phishing e-mailowy – wiadomości z linkiem do logowania
Najczęstszy scenariusz to e-mail z wezwaniem do pilnego działania: „Twoje konto zostanie zablokowane”, „Masz nową fakturę do opłacenia”, „Zmieniono ustawienia Twojego konta”. Tego typu wiadomości zawierają fałszywy link do strony logowania – łudząco podobny do oryginalnej. Po wpisaniu loginu i hasła dane trafiają bezpośrednio do przestępcy.
Najczęstsze błędy to:
- klikanie w link bez sprawdzenia adresu URL,
- niezwracanie uwagi na literówki w adresie (np. microsøft-login.pl).
Przykład: W kampanii analizowanej przez CERT Polska oszuści podszywali się pod Microsoft 365. Wiadomość nakłaniająca do „resetu hasła” prowadziła do spreparowanej strony, która zapisywała dane użytkownika.
2. Phishing SMS (smishing) – przesyłki i banki
Phishing nie ogranicza się do e-maili. W 2024 roku do CERT Polska zgłoszono ponad 355 tysięcy podejrzanych wiadomości SMS. Najczęściej były to:
- powiadomienia o przesyłkach i dopłatach,
- informacje o zablokowaniu konta bankowego,
- wiadomości "od dziecka z nowym numerem".
Przykład: „Mamo, to mój nowy numer. Potrzebuję pieniędzy na telefon” – wiadomość z linkiem do przelewu lub prośbą o dane karty. Oszust podszywał się pod dziecko i prowadził rozmowę aż do uzyskania danych.
3. Phishing z użyciem dokumentów i plików
Przestępcy często przesyłają pliki np. PDF, ZIP, EXE, Word lub Excel z makrami. Pretekstem może być:
- wezwanie z policji (fałszywe zarzuty),
- naruszenie praw autorskich,
- faktura do opłacenia.
Przykład: Wiadomość o naruszeniu praw autorskich zawierała plik z malware, który po otwarciu infekował komputer ofiary. To była jedna z głównych kampanii z końca 2024 roku (źródło: CERT Polska).
4. Kody QR i CAPTCHA jako wektory ataku
Oszuści działają już nie tylko w sieci. W jednej z kampanii zostawiali za wycieraczkami samochodów fałszywe „mandaty” z kodem QR prowadzącym do strony płatności.
Inna metoda to fałszywe strony z CAPTCHA, które instruowały użytkownika, by wykonać skróty klawiszowe (np. Win+R, Ctrl+V, Enter) — co uruchamiało złośliwy kod.
5. Phishing zaawansowany – AiTM i spoofing
Nowoczesne kampanie phishingowe wykorzystują tzw. AiTM (Adversary in The Middle) – metodę, która pozwala przechwycić całą sesję logowania, nawet przy aktywnym MFA. Użytkownik loguje się na fałszywej stronie, podaje login, hasło i kod SMS. System automatycznie przekazuje dane do prawdziwego serwisu, a przestępca uzyskuje dostęp do aktywnej sesji.
Spoofing to z kolei podszywanie się pod zaufane marki (np. przez nazwę nadawcy SMS lub adres e-mail), co dodatkowo utrudnia identyfikację zagrożenia.
Jak się chronić przed phishingiem?
- Sprawdzaj dokładnie adresy URL,
- Nie ufaj wiadomościom z pilnymi komunikatami,
- Nie klikaj w linki w SMS-ach, jeśli nie spodziewasz się przesyłki,
- Nie uruchamiaj makr w plikach Office,
- Edukuj swój zespół.
Chcesz uodpornić firmę na phishing?
Phishing zaczyna się od błędu człowieka. Dlatego najlepsza ochrona to świadomy zespół.
W ODO 24 oferujemy:
- szkolenie e-learningowe z cyberbezpieczeństwa, które możesz wdrożyć zdalnie w całej organizacji:
Sprawdź e-learning dla cyberbezpieczeństwa pracowników » - szkolenie zamknięte prowadzone przez ekspertów, z możliwością dopasowania treści do specyfiki Twojej firmy:
Zobacz szkolenie dla swojej firmy »
Zadbaj o kompetencje pracowników, zanim pojawi się incydent.