W sieci można natrafić na naprawdę wiele niebezpieczeństw, które w mniejszym bądź większym stopniu zagrażają naszym danym. Jednym z największych zagrożeń jest phishing. Czyli atak, który polega na podszywaniu się pod zaufane instytucje w celu wyłudzenia poufnych informacji. W tym artykule postaramy się przybliżyć Wam to pojęcie (a nawet pokazać je na prawdziwym przykładzie!), opowiedzieć o jego skutkach i podpowiedzieć, jak rozpoznać cyberatak, a także — jak go uniknąć.
Spis treści:
- Czym jest “phishing”?
- Rodzaje phishingu
- Cel i metody działania ataków phishingowych
- Jakie są skutki takich ataków?
- O niedawnym ataku phishingowym w naszej agencji!
- Wskazówki, dzięki którym zadbasz o swoje bezpieczeństwo w sieci

Czym jest “phishing”?
Zacznijmy od tego, że phishing to — w uproszczony sposób — atak internetowy, który polega na podszywaniu się pod zaufane instytucje i firmy (na przykład banki, sklepy internetowe) w celu wyłudzenia poufnych informacji od użytkownika. Atakujący zazwyczaj wysyłają nieświadomemu użytkownikowi fałszywe wiadomości e-mail lub wiadomości tekstowe, które mają wzbudzić jego zaufanie. Zaprojektowane i napisane tak, aby wyglądały jak pisane przez oficjalnych przedstawicieli danych placówek.
Jeden cel — wiele rodzajów ataku
Ataki phishingowe to bardzo rozpowszechniony sposób na wyłudzenie poufnych informacji i danych w internecie.
Wśród nich wyróżnić można kilka rodzajów, m.in. spear-phishing, whaling, pharming i smishing.
“Spear-phishing” to taki, który skierowany jest na konkretną osobę lub organizację. W tym przypadku oszuści udają np. szefa i wysyłają e-maile do swoich pracowników z prośbą o przekazanie poufnych informacji.
“Whaling” z kolei to atak, którego celem są osoby na wysokich stanowiskach w firmach, np. dyrektorzy czy prezesi.
“Pharming” to atak, który polega na przekierowaniu użytkownika na fałszywą stronę internetową poprzez manipulacje ustawień DNS.
Bardzo podobnie działa “smishing”. Atakujący — aby wyłudzić informacje od swoich ofiar — używają wiadomości SMS zamiast e-maili.
Cele i metody działania oszustów phishingowych
Strzeżcie się! Celem ataków phishingowych jest uzyskanie waszych poufnych informacji, takich jak loginy i hasła — ale nie tylko. W grę wchodzą również numery kart kredytowych oraz dane osobowe.
Atakujący stosują rozmaite metody, aby wyłudzić te dane, np. proponują użytkownikom rzekome promocje lub nagrody, informują o fałszywych problemach z kontem czy żądają pilnej zmiany hasła. Atakujący często wykorzystują także socjotechnikę, czyli manipulowanie ludzkim zachowaniem, aby nakłonić użytkowników do podania swoich danych.

Jakie są skutki takich ataków?
Ataki phishingowe mogą mieć poważne skutki dla prywatności i bezpieczeństwa naszych danych. Serio! Możemy stracić pieniądze, poufne informacje lub cenne dane. Ponadto, te ataki mogą wpłynąć na reputację naszej firmy lub zaszkodzić innym. Bo przecież jeśli firma nie potrafi zadbać o swoje, własne wrażliwe dane, to w jaki sposób może zapewnić bezpieczeństwo swoim klientom?
Podsumowując: za atakami phishingowymi idą straty pieniędzy, zaufania oraz innych — ważnych dla biznesu — środków.
Sprawdź, jak próbowano nas oszukać!
Otóż niedawno otrzymaliśmy telefon od “specjalisty z firmy zajmującej się giełdą Bitcoinów”, który poinformował nas o naszej wcześniejszej rejestracji na ich platformie.
Powiedział nam, że nasza “inwestycja” zarobiła 0,24 BTC (skrót od Bitcoin), co w przeliczeniu wynosi 27 000 złotych. Jedyne, co mielibyśmy zrobić, to uruchomić specjalne zlecenie przez ich kantor.
Mężczyzna cały czas nas zapewniał: “Polskie banki nie obsługują kryptowalut. Dlatego potrzebujemy uruchomionego zlecenia, bo musimy zapłacić od tego podatek. Państwo oczywiście otrzymają PIT do rozliczenia”.
Super! Czy to nie kusząca propozycja? W głowie nagle pojawia się 1000 pomysłów, w co by można zainwestować taką “niespodziewaną” kwotę.
Poprosiliśmy ów mężczyznę, by przesłał nam e-maila, w którym przekaże nam wszystkie informacje, byśmy mogli się z nimi zapoznać i przemyśleć decyzję: “wypłacamy czy dalej inwestujemy” (pamiętajcie, że przez cały czas byliśmy świadomi, że mamy do czynienia z cyberprzestępcami, ale postanowiliśmy pociągnąć to dalej, by poznać ich sposób myślenia).
Jak rozpoznać phishing w mailu? Oto przykład
Otrzymaliśmy maila z konta, które w ogóle nie wzbudzało zaufania. Dlaczego? Bo pracownik tak poważnej instytucji wysłał nam wiadomość… z Gmaila. Znajdowały się w tam informacje, o które poprosiliśmy. Były też linki do pobrania “koniecznego oprogramowania”, które mieliśmy pobrać w celu przeprowadzenia dalszych działań wypłaty.
Oszuści poszli nawet o krok dalej — załączyli link do weryfikacji firmy w KNF (Komisja Nadzoru Finansowego), by uśpić naszą czujność.

Oczywiście sprawdziliśmy tę firmę i znaleźliśmy informacje na jej temat. W skrócie: wujek Google ostrzegał przed możliwością oszustwa.
A co z programami, które mieliśmy pobrać? Cóż — to zwykłe oprogramowanie pozwalające zdalnie kontrolować komputer.
Nazajutrz ów mężczyzna zadzwonił do nas z pytaniem, czy podjęliśmy już decyzję. Wypytaliśmy go więc o program, który nam podsunął w poprzednim mailu. Oszust stwierdził, że to ich autorski program, który jest niezbędny do przeprowadzenia transakcji.
Co zrobiliśmy? Spokojnym tonem oznajmiliśmy, że dowiedzieliśmy się, iż jest to ogólnodostępny program do zdalnej kontroli komputera. Mężczyzna nadal upierał się, że to ich autorskie narzędzie.
Chcąc zakończyć całą tę sprawę oznajmiliśmy, że rezygnujemy z możliwości otrzymania pieniędzy.
Zdenerwowany mężczyzna poinformował, że rozmowa jest nagrywana i musimy “zrezygnować słownie”. Zagroził nam też, że zgłosi nas do Komisji Nadzoru Finansów (KNF) i opowie im, że ukrywamy kryptowaluty chcąc uniknąć płacenia podatków.
W tym momencie nie mieliśmy już ochoty prowadzić rozmowy dalej i rozłączyliśmy się.

Ten mail mógł spowodować bardzo duże straty. Jednak czujność i opanowanie wygrało.
Jak zatem zadbać o swoje bezpieczeństwo w sieci?
W dzisiejszych czasach, gdy rozwój technologiczny pędzi jak szalony, a oszuści i cyberprzestępcy zyskują coraz większe możliwości, by wykorzystywać naiwność, musimy być naprawdę czujni.
Nasz rozmówca okazał się być typowym oszustem phishingowym, który próbował wyłudzić nasze dane i pieniądze. Nie udało mu się, co nie znaczy, że odpuści.
Dlatego bardzo ważne jest, aby zachować czujność i nigdy nie ufać nieznajomym w sieci. Tym bardzij tym, którzy proponują nam łatwe zyski lub wysyłają podejrzane linki i pliki.
Pamiętajmy, że jedno nieostrożne kliknięcie może skutkować poważnymi konsekwencjami, takimi jak utrata prywatności lub nawet pieniędzy.