2013.09.23

Co to jest phishing i jak się go ustrzec

Mówiąc o transakcjach elektronicznych, coraz częściej słyszymy o phishingu. To jedno z najbardziej podstępnych przestępstw, z jakimi możemy spotkać się w sieci. Skąd się wzięło? Na czym dokładnie polega i co robić, aby się przed nim ustrzec?

Phishing to oszustwo polegające na podszywaniu się pod firmę lub instytucję, którą znamy, po to, by pozyskać od nas prywatne dane. Jest to szczególnie niebezpieczne w przypadku korzystania z usług bankowych, gdyż wyłudzenie haseł do kont czy numerów kart kredytowych może narazić nas na kradzież.

  • Informacje te wyłudzane są poprzez strony internetowe, smsy i e-maile stworzone przez cyberprzestępców w taki sposób, że szatą graficzną, formą i treścią przypominają wiadomości przesyłane przez bank.

Jak rozpoznać phishing?

Co roku oszustwa internetowe nazywane phishingiem przynoszą coraz większe straty. W samych Stanach Zjednoczonych wynoszą około dwóch miliardów dolarów rocznie. A dochodzi do nich również w Europie, z czego dość często w Polsce. Nie oznacza to jednak, że od razu należy rezygnować z transakcji internetowych.

  • Wystarczy pamiętać o kilku podstawowych zasadach bezpieczeństwa, aby nie musieć się przekonać, jak wygląda phishing w praktyce:

    • Przede wszystkim, zawsze upewnijmy się, czy adres internetowy banku w przeglądarce jest poprawny. Przy okazji sprawdźmy również, czy połączenie jest szyfrowane (adres powinien zaczynać się od https://) oraz czy na pasku przy adresie lub u dołu ekranu pojawia się ikona z zamkniętą kłódką. Po kliknięciu w nią powinien wyświetlić się certyfikat potwierdzający autentyczność odwiedzanej przez nas strony www.

    • Po zalogowaniu pamiętajmy, że podawanie jednorazowych kodów jest konieczne tylko wtedy, gdy wykonujemy takie operacje jak zlecenie przelewu – system banku nigdy nie poprosi o podanie żadnego kodu podczas logowania, zaraz po zalogowaniu, przy wykonywaniu płatności ani przy przeglądaniu historii rachunku.

    • System banku nigdy nie poprosi o podanie kilku kodów czy haseł jednocześnie.

    • Pamiętajmy o dobrym programie antywirusowym i jego regularnych aktualizacjach. To pozwoli wyeliminować zagrożenia z sieci. Często aktualizujmy też system operacyjny i przeglądarkę internetową.

    • Nigdy nie odpowiadajmy na e-maile, których autorzy proszą o ujawnienie czy zweryfikowanie danych osobowych, informacji dotyczących numeru konta, karty kredytowej czy haseł i kodów jednorazowych. Warto też pamiętać, że banki nigdy nie proszą o tego typu informacje (ze swojej strony wysyłają jedynie różnego rodzaju materiały informacyjne). Jeśli więc otrzymamy e-mail z prośbą o ww. dane od autora, podającego się za przedstawiciela banku, pod żadnym pozorem ich nie udostępniajmy! To z pewnością próba oszustwa.

Jak chronić się przed oszustami?

Aby zabezpieczyć się przed próbą wyłudzenia danych, sami dopilnujmy, żeby poufne informacje były dobrze przechowywane i nie mogły wpaść w niepowołane ręce.

  • W tym celu:

    • Nigdy nie udostępniajmy nikomu numeru swojej karty, haseł ani narzędzi autoryzacyjnych (mogą to być: kod PIN, numer telefonu, na który przychodzą kody SMS czy specjalny token, który generuje jednorazowe kody dostępu do konta). Nie podawajmy ich także na nieszyfrowanych stronach.

    • Nie zapisujmy nigdzie haseł ani PIN-u. Hasło i PIN otrzymane z banku należy zapamiętać, a następnie zniszczyć, lub zmienić na takie, które zapamiętamy.

    • Jeżeli nie chcemy polegać wyłącznie na swojej pamięci i musimy zapisać hasło, nie przechowujmy go w miejscu, gdzie łatwo może zostać znalezione przez inne osoby.

    • Nie używajmy tego samego hasła, którego używamy do logowania się w banku, na innych stronach internetowych.

    • Wymyślając hasło, starajmy się stworzyć trudną kombinację liter i cyfr, a nie coś prostego do odgadnięcia.

    • Regularnie sprawdzajmy wyciągi bankowe, dotyczące transakcji dokonywanych kartą, aby kontrolować, czy nikt z niej nie korzysta bez naszej wiedzy.

    • Przy korzystaniu z bankowości elektronicznej używajmy własnego komputera, a nie dostępnego w kawiarence internetowej czy innym miejscu publicznym.

    • Gdy jesteś zalogowany na swoim rachunku bankowym, nigdy nie odchodź od komputera.

    • Po realizacji wszystkich działań wyloguj się z konta poprzez opcję „Wyloguj”.

Gdzie zgłosić phishing?

Każdą próbę phishingu należy jak najszybciej zgłosić. Wystarczy zadzwonić do banku, za który podawał się cyberprzestępca, i wyjaśnić, co miało miejsce. W ten sposób pomożemy sobie, ale i innym jego klientom.

Nawet jeśli tylko podejrzewamy, że próbowano od nas wyciągnąć dane, niezwłocznie należy o tym poinformować instytucję, pod którą się podszywano. Im szybciej powiadomimy bank o tym, że otrzymaliśmy od niego fałszywą wiadomość, tym szybciej złodziej zostanie zidentyfikowany, a jego oszustwo ukrócone.

  • Pamiętajmy, że bank nigdy nie poprosi nas o podanie:

    • Kodu jednorazowego podczas logowania do serwisu transakcyjnego,

    • Kilku kodów lub haseł jednocześnie,

    • Danych karty płatniczej podczas korzystania z serwisu transakcyjnego takich jak: numer konta, data ważności i kod CVV (ostatni trzycyfrowy numer wydrukowany na pasku podpisu na odwrocie karty kredytowej lub debetowej).