Jak chronić się przed phishingiem e-mailowym

E-maile phishingowe wykorzystują techniki fałszywych linków, aby oszukać i nakłonić potencjalną ofiarę do kliknięcia złośliwych linków. Oszuści mogą zwabić Cię ekscytującą ofertą, nastraszyć Cię fałszywą groźbą lub udawać kogoś, komu ufasz, np. członka rodziny lub znaną usługę. Ich celem jest nakłonienie Cię do kliknięcia łącza, które wydaje się bezpieczne, ale prowadzi do złośliwej witryny.

Termin phishing pochodzi od słowa „fishing” (pol. łowienie ryb), ponieważ przestępcy zarzucają fałszywą „przynętę” w postaci maila — licząc na to, że ofiara „chwyci haczyk” i kliknie złośliwe linki oraz poda poufne informacje, takie jak dane karty płatniczej, hasła lub numery kont.

Jak działają e-maile phishingowe?

E-maile phishingowe działają poprzez podszywanie się pod zaufane źródło, takie jak bank, pracodawca, strona w mediach społecznościowych, a nawet znajomy lub członek rodziny. Te e-maile często zawierają wiadomość mającą na celu przyciągnięcie Twojej uwagi — na przykład fałszywe ostrzeżenie, że Twoje konto zostało naruszone, ofertę zbyt dobrą, aby ją odrzucić lub prośbę o pilną pomoc. E-maile phishingowe mogą pochodzić z różnych źródeł i mogą różnić się pod względem złożoności. Doświadczeni oszuści zazwyczaj stosują dodatkowe taktyki, takie jak spear phishing, czyli targetowanie konkretnej ofiary.

W e-mailu zazwyczaj znajdziesz link prowadzący do fałszywej witryny. Na takiej stronie możesz zostać oszukany i nakłoniony do wprowadzenia swoich danych, takich jak hasło, numer karty kredytowej lub innych danych personalnych, które oszuści mogą następnie ukraść i wykorzystać dla własnej korzyści.

Przykład:
Otrzymujesz ostrzeżenie e-mailem, który wydaje się pochodzić z Twojego banku, z prośbą o kliknięcie linku w celu zweryfikowania swojej tożsamości. Martwiąc się o swoje pieniądze, klikasz link, który prowadzi do strony internetowej, która wygląda niemal identycznie jak strona zaufanego banku. Bez zastanowienia wpisujesz dane logowania. 

Zamiast zabezpieczyć swoje konto, kliknąłeś link phishingowy i przekazałeś swoje dane oszustom, którzy teraz mogą uzyskać dostęp do Twojego prawdziwego konta bankowego.

Przykłady wiadomości phishingowych

Oszustwa phishingowe mogą pojawić się w Twojej skrzynce odbiorczej, imitując wiadomości z zaufanych źródeł. Edukacja w zakresie wyglądu takich maili może pomóc Ci uniknąć stania się ich ofiarą.

Oszustwa kryptowalutowe

E-mail phishingowy dotyczący depozytu kryptowaluty zawiera informację, że duża ilość kryptowaluty została dodana do Twojego konta. Te e-maile zazwyczaj przedstawiają szczegóły, takie jak zdeponowana kwota, identyfikator klienta i hasło, aby wiadomość była bardziej przekonująca.

Oszustwa bankowe

Możesz otrzymać wiadomość e-mail z ostrzeżeniem o podejrzanej aktywności na Twoim koncie bankowym lub informacją, że założyłeś nowe konto. Te maile są często częścią oszustw bankowych, a ich celem jest nakłonienie Cię do kliknięcia linku w celu potwierdzenia lub weryfikacji danych. 

Zachowaj ostrożność, ponieważ linki w takich phishingowych mailach zazwyczaj prowadzą do fałszywych witryn internetowych, których celem jest kradzież danych. Choć ciekawość może zżerać Cię od środka, warto odpuścić sobie klikanie jakichkolwiek linków w mailach.

E-mail phishingowy z mediów społecznościowych

Wiadomość phishingowa z mediów społecznościowych może wyglądać jak alert bezpieczeństwa z Facebooka, Twittera lub Instagrama. Aby wywołać panikę, ostrzega, że ​​Twoje konto może zostać naruszone, jeśli nie podejmiesz natychmiastowych działań. Następnie namawia Cię do kliknięcia łącza w celu zmiany hasła. Jeśli podasz swoje hasło, oszuści mogą ukraść Twoje dane uwierzytelniające i przejąć kontrolę nad Twoim kontem.

E-mail phishingowy od szefa

Cyberprzestępca może skorzystać z portalu LinkedIn i zauważyć, że ​​szef firmy aktualnie przebywa za granicą. Następnie wysyła e-mail phishingowy do pracownika, podszywając się pod niego lub członka kadry kierowniczej, prosząc ofiarę o przekazanie środków partnerowi, aby pomógł szefowi załatwić sprawę. Pracownik, ufając prośbie, szybko przelewa pieniądze — bezpośrednio na konto hakera.

Nieudane doręczenie paczki

Wiadomość phishingowa na „nieudane doręczenie przesyłki” ma na celu nakłonienie Cię do kliknięcia złośliwych linków lub podania danych osobowych. Te maile często imitują InPost lub inne popularne firmy kurierskie, takie jak UPS czy DHL. Zachęcają do kliknięcia linku w celu zmiany terminu dostawy lub wyświetlenia szczegółów. 

Link zazwyczaj prowadzi do fałszywej witryny dostawcy, która wygląda niemal identycznie jak prawdziwa. Po wejściu na stronę możesz zostać poproszony o podanie danych osobowych, takich jak adres, numer telefonu, a nawet szczegółów płatności. Klikając oszukańczy link, możesz też przypadkowo zainstalować złośliwe oprogramowanie na swoim urządzeniu.

Fałszywe logowanie do Dokumentów Google

W oszustwie phishingowym Google Docs cyberprzestępca tworzy fałszywą stronę logowania do Dokumentów Google i wysyła wiadomość e-mail phishingową, aby nakłonić Cię do zalogowania. Wiadomość e-mail może wyglądać, jakby pochodziła od kogoś, kogo znasz, a jej temat może brzmieć:

[Twój znajomy] udostępnił Ci dokument w Dokumentach Google. 

Po wprowadzeniu danych na fałszywej stronie logowania cyberprzestępca może uzyskać dostęp do Twojego konta Google. A co za tym idzie, do wielu pozostałych platform, które połączone są z Twoim kontem.

Gratulacje! Wygrałeś…

Te i podobne wiadomości e-mail pod tytułem „Gratulacje, jesteś dzisiejszym szczęśliwym gościem” to próby phishingu. Choć są dobrze znane, oszuści nadal je wysyłają, mając nadzieję, że ekscytacja potencjalnej ofiary weźmie górę nad osądem co do ich autentyczności.

Otrzymałeś płatność w wysokości…

E-mail phishingowy z informacją, że otrzymałeś płatność (niespodziewaną), ma na celu nakłonienie Cię do kliknięcia złośliwych linków lub podania danych osobowych. Te e-maile zazwyczaj zawierają szczegóły, takie jak kwota i imię i nazwisko nadawcy, aby płatność wydawała się prawdziwa.

Link w e-mailu zazwyczaj prowadzi do fałszywej, dobrze znanej platformy płatniczej, takiej jak PayPal, która wygląda dokładnie tak samo jak prawdziwa. Po wejściu na nią możesz zostać poproszony o zalogowanie się lub potwierdzenie danych swojego konta. Jeśli to zrobisz, oszuści mogą ukraść Twoje dane uwierzytelniające i uzyskać dostęp do Twojego konta.

Jak rozpoznać e-mail phishingowy

E-maile phishingowe możesz zidentyfikować, analizując ich zawartość. Zwróć uwagę na następujące znaki ostrzegawcze:

1. 1.Adres e-mail nadawcy. Oszuści często wykorzystują podrobione adresy, aby nadawca wyglądał na zaufanego. Bliższe przyjrzenie się może ujawnić, że coś jest nie tak — e-mail może naśladować adres zaufanej firmy z niewielkimi różnicami, takimi jak błędnie napisana domena („paypall.com” zamiast „paypal.com”).
2. 2.Ogólnikowe zwroty. Oszuści często używają niesprecyzowanych zwrotów i powitań w e-mailach phishingowych, aby szybko dotrzeć do dużych grup. Zamiast personalizować e-mail Twoim imieniem, mogą użyć ogólnego powitania, takiego jak „Szanowny kliencie”, aby zaoszczędzić czas i poszerzyć grupę docelową.
3. 3.Pilne wiadomości. Żadna zaufana i legalnie działająca firma nigdy nie będzie Cię poganiać, abyś działał szybko, grożąc anulowaniem zamówień lub zawieszeniem konta. E-maile phishingowe często wywołują poczucie pilności i panikę, nakłaniając do szybkiego działania i podejmowania pochopnych decyzji.
4. 4.Błędy ortograficzne i gramatyczne. Oszuści zazwyczaj nie poświęcają czasu na sprawdzenie poprawności swojego języka i często korzystają z internetowych translatorów. Warto jednak pamiętać, że wraz z rozwojem sztucznej inteligencji, wiadomości phishingowe mogą niestety brzmieć coraz bardziej autentycznie.
5. 5.Podejrzane załączniki. Nie tylko podejrzane typy plików, takie jak .zip, .exe lub .scr, powinny wzbudzić czujność — nawet zaufane formaty, takie jak pliki PDF i Word, mogą być ryzykowne. Dlatego zastanów się dwa razy, zanim klikniesz jakikolwiek załącznik.
6. 6.Maile oferujące prezenty lub pieniądze. Wiadomości zbyt dobre, aby były prawdziwe, często kuszą obietnicami prezentów lub pieniędzy, jeśli klikniesz link lub otworzysz załącznik. Jeśli nadawca jest nieznany lub nie spodziewałeś się wiadomości, najprawdopodobniej jest to scam.

Co należy zrobić, jeśli otrzymasz e-mail phishingowy?

Otrzymanie e-maila phishingowego może być niepokojące, zwłaszcza jeśli nie wiesz, jak sobie z nim poradzić. Bez obaw – jeśli taki e-mail trafi do Twojej skrzynki odbiorczej, pamiętaj, aby:

• Unikać klikania jakichkolwiek linków lub otwierania załączników. Mogą być szkodliwe.
• Nie odpowiadać nadawcy ani nie wchodzić z nim w interakcję. Najlepiej go zignorować.
• Zgłosić e-mail, a następnie usunąć go, aby uniknąć przypadkowego wejścia z nim w interakcję.

Jak zgłosić e-mail phishingowy

Każde zgłoszenie się liczy. Dzieląc się swoimi doświadczeniami, pomagasz odpowiedzialnym organom namierzyć oszustów i uniemożliwić im atakowanie większej liczby osób. Możesz zgłaszać e-maile phishingowe od nieznanych nadawców na kilka sposobów.

• W Polsce: wszelkie próby phishingu dotyczące fałszywych domen można zgłaszać do CERT Polska, wypełniając formularz na stronie.
• Międzynarodowo: przekaż e-maile phishingowe do Anti-Phishing Working Group (APWG) na adres reportphishing@apwg.org.

Możesz również zgłaszać phishing bezpośrednio do swojego dostawcy poczty e-mail. Większość usług poczty e-mail oferuje opcje „Zgłoś phishing” lub „Zgłoś scam”.

Jak nie paść ofiarą oszustw phishingowych

Większość prób phishingu nie jest zbyt wyrafinowana i często można je wykryć za pomocą zdrowego rozsądku. Jednak w miarę rozwoju technologii i coraz większej trudności rozpoznania e-maili phishingowych kilka dodatkowych wskazówek, jak ich unikać, może okazać się niezwykle pomocnych.

Nie polegaj wyłącznie na filtrach antyspamowych

Większość dostawców poczty e-mail karze użytkowników, którzy wysyłają e-maile phishingowe, kierując ich wiadomości bezpośrednio do folderu ze spamem. Jednak przebiegli przestępcy często znajdują nowe sposoby na ominięcie tych filtrów. Rozważ użycie oprogramowania antyphishingowego do skanowania przychodzących wiadomości e-mail i wykrywania prób phishingu.

Sprawdź dokładnie reklamowany produkt

Jeśli otrzymasz e-mail z ofertą darmowych biletów na drogą podróż, sprawdź dokładnie, czy oferta jest prawdziwa, zanim klikniesz jakiekolwiek linki. Ciekawość jest naturalna, ale zanim udostępnisz jakiekolwiek poufne informacje, najpierw wyszukaj ofertę w Google. I pamiętaj — jeśli brzmi zbyt dobrze, aby mogła być prawdziwa, prawdopodobnie jest oszustwem.

Używaj karty kredytowej o niskim limicie

Rozważ użycie oddzielnej karty kredytowej do zakupów online, aby zapobiec opróżnieniu konta bankowego przez hakera. Możesz również użyć wirtualnej karty kredytowej do płatności jednorazowych lub cyklicznych, aby chronić swoje główne konto.

Używaj zapór sieciowych

Zapora sieciowa działa jak bufor między komputerem a zagrożeniami online, pomagając zmniejszyć ryzyko dotarcia ataków phishingowych do Twojego urządzenia. Blokując podejrzany ruch i uniemożliwiając dostęp do ryzykownych witryn, zapory sieciowe są przydatnym narzędziem do wykrywania phishingu.

Unikaj wyskakujących okienek

Okna wyskakujące często wyglądają jak część zaufanej witryny, ale większość z nich to próby phishingu. Rozważ użycie funkcji Threat Protection Pro™ firmy NordVPN, która blokuje wyskakujące okienka, reklamy banerowe i reklamy wideo.

Włącz uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę ochrony do Twoich kont. Nawet jeśli e-mail phishingowy nakłoni Cię do podania hasła, atakujący nadal będzie potrzebował drugiego kroku weryfikacji — takiego jak kod wysłany na Twój telefon lub wygenerowany przez aplikację — aby uzyskać dostęp do Twojego konta. Oznacza to, że bez fizycznego dostępu do Twojego urządzenia, oszust nie będzie w stanie zalogować się na Twoje konto.

Unikaj udostępniania danych osobowych

Im mniej danych osobowych udostępnisz, tym mniej szczegółów atakujący mogą ukraść i wykorzystać przeciwko Tobie. Zmniejszenie ilości udostępnianych informacji pomaga chronić Cię przed kradzieżą danych. Ułatwia to również rozpoznanie fałszywych wiadomości e-mail phishingowych, w których brakuje danych osobowych, co zmniejsza prawdopodobieństwo, że dasz się na nie nabrać.

Regularnie aktualizuj oprogramowanie

Aktualizacje oprogramowania usuwają luki w zabezpieczeniach, które hakerzy mogliby wykorzystać w atakach phishingowych lub naruszeniach danych. Aktualizowanie oprogramowania zmniejsza ryzyko wykorzystania tych luk przeciwko Tobie.