Phishing to popularna metoda wirtualnego oszustwa. Polega na podszywaniu się pod zaufaną instytucję lub popularną firmę, np. kurierską czy operatora telekomunikacyjnego, w celu wyłudzenia poufnych informacji. Cyberprzestępcom zależy szczególnie na naszych danych do logowania, hasłach, kodach PIN, numerach kart płatniczych i innych ważnych informacjach. To dzięki nim zyskują dostęp np. do naszego konta bankowego, e-maila czy profilu w mediach społecznościowych. Działania oszustów często zmierzają też do zainfekowania komputera ofiary szkodliwym oprogramowaniem i przejęcia kontroli nad jej cyfrowymi zasobami.

Gdzie tkwi haczyk?

Nazwa phishing budzi słuszne dźwiękowe skojarzenia z angielskim słowem „fishing”, czyli łowieniem ryb. Przestępcy, podobnie jak wędkarze, posługują się odpowiednio przygotowaną przynętą. Za pomocą sfałszowanych e-maili, SMS-ów, a także wiadomości na komunikatorach i portalach społecznościowych chcą wprowadzić ofiarę w błąd i skłonić ją do określonego działania. Jeśli podążymy za instrukcją intruzów, na pewno stracimy środki na koncie lub poufne informacje, które mogą później posłużyć do szantażu. Jak zatem nie połknąć haczyka?

Przede wszystkim należy pamiętać, że otwarcie i odczytanie podejrzanej wiadomości nie oznacza jeszcze, że daliśmy się złapać w sieci cyberprzestępców. Problem zaczyna się dopiero w momencie, gdy wykonaliśmy czynność, do której nakłania nas oszust – kliknęliśmy w zarażony link czy zalogowaliśmy się w oknie fałszywej strony.

Niestety na nasze nieprzemyślane decyzje często mają wpływ psychologiczne sztuczki stosowane przez sprawców phishingu. Pilne komunikaty w stylu: „Proszę o natychmiastową dopłatę”, „Dostęp do konta zostanie zablokowany, jeśli…”, „Wystąpiła konieczność zmiany hasła”, sprawiają, że pod presją podejmujemy wiele złych w skutkach decyzji. Jak więc zapobiec cyberatakowi? Wystarczy włączyć myślenie i trzymać się kilku sprawdzonych rad.

Uważność przede wszystkim

Aby uchronić się przed phishingiem, potrzebujemy dużej dawki podejrzliwości, uważności i zdroworozsądkowego myślenia. Warto też wyzbyć się przekonania, że musimy coś zrobić szybko. Gdy otrzymamy podejrzaną wiadomość, pośpiech nie będzie dobrym doradcą. Pamiętajmy również, że podejrzane e-maile czy SMS-y łatwo można zdemaskować. Wystarczy dokładnie się im przyjrzeć.

W poradniku „Bezpieczeństwo online w szkołach Ogólnopolskiej Sieci Edukacyjnej – cz. 1” wskazano na przesłanki, które pomagają we wczesnym wykryciu ataku. Podpowiadamy więc, na co zwrócić uwagę w przypadku otrzymania fałszywej wiadomości.

• Akcja phishingowa kierowana jest do jak największej liczby odbiorców. Zwróć uwagę na adresata wiadomości. Zazwyczaj jest to odbiorca ogólny, np. „Szanowny Kliencie”, lub wiadomość zwiera zwrot typu „Witaj!”.
• Nadawca wiadomości ostrzega Cię, że wydarzy się coś złego, jeśli natychmiast czegoś nie zrobisz.
• Nadawca pyta o informacje, które powinien już znać, lub prosi o podanie danych wrażliwych, np. numeru karty płatniczej czy hasła.
• Oszust twierdzi, że jest z dużej organizacji, ale jego e-mail zawiera błędy językowe lub jest wysłany z ogólnodostępnych adresów, np.: @gmail.com, @wp.pl lub @hotmail.com.
• Wydaje Ci się, że otrzymana wiadomość pochodzi od znajomego, ale ton wypowiedzi i zastosowane zwroty nie pasują do tej osoby. Zadzwoń do niego i zweryfikuj, czy rzeczywiście kontaktował się z Tobą.

Jeśli masz podejrzenia, że otrzymana wiadomość jest próbą phishingu – zignoruj ją i usuń! Podejrzaną domenę internetową, na którą przekierowują Cię przestępcy, możesz zgłosić do działającego w strukturach NASK Zespołu CERT Polska.

Dowiedz się, jak zgłosić incydent

Phishing: reakcja szkół…

Phishing może dotknąć każdego, również szkoły. Stąd tak ważne jest wypracowanie w placówce modeli reagowania w sytuacjach kryzysowych. Dobrze skoordynowane działania mogą ochronić cenne dane i znaczenie ograniczyć szkodliwe skutki zdarzenia związanego z atakiem cyberprzestępców.

Warto pamiętać, że szkoły podłączone do internetu Ogólnopolskiej Sieci Edukacyjnej (OSE) mają zagwarantowane usługi bezpieczeństwa, które obejmują ochronę przed szkodliwym oprogramowaniem, monitorowanie zagrożeń i bezpieczeństwa sieciowego. Jeśli jednak szkoła padnie ofiarą cyberprzestępców, powinna podjąć procedurę reagowania na cyberzagrożenia, takie jak phishing czy incydenty związane ze szkodliwym oprogramowaniem oraz atakami kierowanymi na szkolne sieci komputerowe. Na końcu ścieżki reagowania zawsze należy skierować swoje kroki do operatora OSE i zgłosić całe zdarzenie.

Dokładny opis procedur postępowania szkół w przypadku cyberataku znajduje się w poradniku „Bezpieczeństwo online w szkołach Ogólnopolskiej Sieci Edukacyjnej – cz. 1”.

…i edukacja

Wiemy, jak ważna jest edukacja dzieci i młodzieży na temat cyberzagrożeń. Wiedzy na temat phishingu z pewnością dostarczą materiały edukacyjne dostępne na platformie OSE IT Szkoła.

Najmłodsi uczniowie szkoły podstawowej mogą skorzystać z edukacyjnych animacji. Kurs „Krasnoludki 2.0 – Phishing, czyli kłopoty to nasza specjalność” w zabawny i pouczający sposób przekazuje dzieciom wiedzę na temat tego, jak zabezpieczać swoje poufne dane (np. hasła i loginy do poczty). Uczniowie dowiedzą się również, co zrobić, gdy staną się ofiarami wyłudzenia danych, albo ich urządzenie zostanie zainfekowane. Inna kreskówka – „Owce w sieci – Papla” – również opowiada o phishingu. Uczy najmłodszych, że zawsze należy uważać na to, co umieszczamy w internecie. Nawet fotografia może zdradzić miejsce zamieszkania i być wskazówką dla potencjalnego złodzieja.

Uczniowie szkół ponadpodstawowych mogą natomiast skorzystać z kursu „Miękkie aspekty bezpieczeństwa w internecie”. Szczegółowo omawia on sposoby zabezpieczania przed zagrożeniami związanymi z wykradzeniem hasła. Porusza też zagadnienia dotyczące tematyki wyłudzeń poprzez tzw. spam nigeryjski, aukcje i ogłoszenia oraz phishing. Z kolei kurs „Mobilne bezpieczeństwo” przybliża formy kontroli przejmowanej nad urządzeniem oraz uczy, jak chronić się przed wyłudzaniom poufnych informacji i skutecznie zabezpieczać się przed spamem.

Więcej praktycznych informacji o phisingu znajdziemy też w poradniku KPRM „Jak chronić się przed cyberatakami?”.