Poradnik BIK Uważaj na phishing – jak rozpoznać oszustwo?

Uważaj na phishing – jak rozpoznać oszustwo?

W dobie rozpowszechnionej cyfrowej komunikacji phishing stał się jednym z największych zagrożeń. To rodzaj oszustwa, który żeruje na niewiedzy, zaufaniu i nieuwadze. Ofiarami są zwykli ludzie, a narzędziami głównie maile, telefony, SMS-y, wiadomości w komunikatorach i strony internetowe. Wystarczy chwila, aby oszust ukradł Twoje pieniądze albo dane. Jak się przed tym chronić? Dowiedz się, jak działają cyberprzestępcy i jak rozpoznać phishing.

Co warto wiedzieć?

•    Phishing to poważne zagrożenie – oszuści żerują na łatwowierności i poczuciu obowiązku lub strachu, aby wyłudzać dane osobowe, dane do logowania, dane kart płatniczych itp.
•    Oszuści mogą „łowić” ofiary przez fałszywe wiadomości, strony internetowe oraz telefony.
•    Fałszywe adresy e-mail i www zazwyczaj wyróżniają się kilkoma elementami – jeśli wie się, na co zwracać uwagę, można je rozpoznać.
•    Same wiadomości lub sposób prowadzenia rozmowy przez telefon również mogą zdradzać oszustów.
•    Nie da się w 100% zapobiec atakom na Twoje dane, ale zachowując czujność, możesz znacznie zredukować ryzyko. 

Czym jest phishing i dlaczego jest tak groźny?

Phishing to metoda oszustwa polegająca na podszywaniu się pod instytucje, firmy lub osoby, którym odbiorca ufa. Atakujący tworzy wiadomość lub stronę internetową albo przeprowadza rozmowę telefoniczną, które wydają się autentyczne. W rzeczywistości chodzi o wyłudzenie – czasami bezpośrednio pieniędzy (najczęściej poprzez płatności BLIK), a czasami danych logowania, numerów kart płatniczych, haseł do bankowości, a nawet skanów dokumentów. Nazwa „phishing” pochodzi od słowa „fishing”, które oznacza łowienie ryb. To dlatego, że fałszywe wiadomości i strony działają jak przynęty, które mają „złowić” ofiarę. 
Wydaje Ci się, że nie dasz się nabrać? Cyberprzestępcy umiejętnie korzystają z zasad psychologii – grają na emocjach, poczuciu obowiązku lub strachu. Gdy odbiorca przeczyta, że „natychmiast trzeba potwierdzić dane” albo „konto zostanie zablokowane”, często reaguje odruchowo. To właśnie ta presja czasu sprawia, że phishing jest jednym z najskuteczniejszych rodzajów oszustw.

Jak nie dać się oszukać?

Rozpoznanie fałszywej wiadomości lub strony internetowej wymaga czujności. Na szczęście nie brakuje sygnałów, po których w Twojej głowie powinna się zapalić lampka ostrzegawcza. Wbrew pozorom phishingowe „przynęty” często są niedopracowane. Wystarczy wiedzieć, na co uważać oraz wyrobić kilka dobrych nawyków, aby znacząco zmniejszyć ryzyko stania się ofiarą oszustwa.

Po czym poznać podejrzaną wiadomość e-mail lub SMS?

Przynętą phishingową bardzo często jest wiadomość (SMS, e-mail lub wysłana przez komunikator). Na pierwszy rzut oka może ona wyglądać realistycznie, ale oszustwo bardzo często zdradzają drobiazgi. Jeśli wiesz, czego szukać, łatwo odróżnisz fałszywą wiadomość od prawdziwej. Na co zwrócić uwagę?


•    Błędy językowe i dziwna składnia – oficjalne instytucje pilnują jakości komunikatów. Niepoprawna gramatyka lub interpunkcja to wyraźne sygnały ostrzegawcze, ale należy też uważać na wiadomości bez polskich znaków diakrytycznych (ą, ę, ś, ć itp.).
•    Podpis nadawcy – może np. różnić się jednym znakiem od nazwy prawdziwej instytucji.
•    Adres e-mail – oszuści często tworzą adresy, które wykorzystują znane nazwy, ale różnią się od oficjalnych. Zwracaj szczególną uwagę na nazwę domeny, czyli to, co znajduje się po tzw. małpie (@) – np. @paypall.pl zamiast @paypal.pl lub @bok-pkobp.pl zamiast @pkobp.pl lub bik@gmail.com zamiast adresu z domeną @bik.pl.
•    Presja czasu – oszuści zazwyczaj próbują wymusić szybką reakcję, często strasząc zagrożeniem. W wiadomościach pojawiają się słowa takie jak „natychmiast”, „pilnie”, „w ciągu 24 godzin” lub „ostatnia szansa”. Mogą też pojawić się komunikaty takie jak „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”.  
•    Linki – jeżeli w wiadomości widzisz zachętę do kliknięcia linku, zastanów się dwa razy. Jeżeli nie wiesz, dokąd prowadzi odnośnik, nie klikaj.
•    Prośby o podanie danych osobowych lub poufnych – żadna poważna instytucja ani firma nie poprosi o dane logowania przez SMS czy e-mail.
•    Prośby o dopłaty (np. zapłatę zaległości podatkowych, dopłatę do paczki) – firmy i instytucje nie wysyłają takich wiadomości. 
•    Adresata wiadomości – czy nadawca zwraca się do Ciebie imieniem i nazwiskiem, czy też wiadomość jest zaadresowana ogólnie, np. „Szanowny Kliencie”.
•    Nierealistyczne obietnice – jeśli coś brzmi za dobrze, aby było prawdziwe, najprawdopodobniej takie jest (np. wygrana w konkursie, w którym nie brałeś udziału).


Główna zasada jest prosta – jeśli nie masz pewności, nie klikaj, nie odpowiadaj, nie wpłacaj. Jeśli chcesz upewnić się, czy dana wiadomość jest prawdziwa, znajdź w Google stronę www danej instytucji (np. banku, firmy kurierskiej), skontaktuj się z nią przez formularz kontaktowy lub podany na stronie telefon albo e-mail i zapytaj.

Jak rozpoznać fałszywą stronę WWW?

Strony tworzone przez cyberprzestępców na pierwszy rzut oka mogą wyglądać bardzo realistycznie. Zanim jednak podasz na stronie jakiekolwiek dane, dokładnie sprawdź witrynę, zaczynając od adresu. Jak go zweryfikować?


•    Zidentyfikuj, co jest domeną – każdy adres internetowy zaczyna się od „http://” lub „https://”. wszystkie znaki znajdujące się między tym elementem a pierwszym ukośnikiem w adresie (/) to domena. Przykładowo w adresie „https://www.bik.pl/dla-ciebie/historia-kredytowa/raport-bik” domeną jest „www.bik.pl”, czyli prawdziwa domena BIK. Uważaj na adresy takie jak https://www.bik.pl-dla-ciebie.info/historia-kredytowa/raport-bik - tutaj domeną jest „www.bik.pl-dla-ciebie.info”.
•    Sprawdź rozszerzenie – czyli ostatnie znaki adresu przed ukośnikiem (np. .pl, .com, .gov.pl); mogą one być mylące. Przykładowo BIK posługuje się adresem bik.pl, a strona bik.gov.pl nie istnieje.


Niektóre przeglądarki (np. Firefox) mają narzędzia pomagające użytkownikom identyfikować fałszywe domeny. Na pasku adresu domena jest podświetlona, co ułatwia jej weryfikację. Przeglądarki na urządzeniach mobilnych automatycznie wyświetlają adres tak, aby widoczna była jego najważniejsza część. 

Jak nie dać się oszukać przez telefon?

Odbierasz telefon, a rozmówca przedstawia się jako przedstawiciel banku, policji, członek Twojej rodziny itp.? Uważaj! Czasami oszuści udają konsultantów, którzy „wykryli próbę logowania”, „muszą potwierdzić dane” lub „chcą zabezpieczyć Twoje konto”. Zazwyczaj takiej rozmowie towarzyszą:


•    presja czasu i potrzeba natychmiastowego działania, często także groźba poważnych konsekwencji;
•    wywoływanie silnych emocji – rozmówca może mówić np. że ktoś włamał Ci się na konto, wypłacił pieniądze, wyciekły Twoje dane, ktoś bliski miał wypadek itp.;
•    prośba o podanie loginów, haseł, danych osobowych, danych dokumentu tożsamości itp.;
•    prośba o przelanie lub przekazanie w inny sposób pieniędzy.
Jak się bronić? 
•    Nie podawaj żadnych haseł ani kodów – konsultanci nigdy o nie proszą.
•    Nie wykonuj przelewów „na bezpieczne konto” – takie konta nie istnieją.
•    Rozłącz się i oddzwoń – ale na numer danej instytucji znaleziony na jej oficjalnej stronie internetowej.


Niektóre firmy (np. banki) mają opracowane systemy weryfikacji pracowników, np. przez swoje aplikacje lub infolinie. Nigdy jednak nie instaluj oprogramowania na prośbę rzekomego konsultanta. 
Jeśli ktoś wywiera presję, podnosi głos lub próbuje wzbudzić panikę, to silny sygnał ostrzegawczy. Prawdziwy pracownik instytucji nie prowadzi rozmów w ten sposób.

Co możesz zrobić, by zmniejszyć ryzyko?

Phishing to rosnące zagrożenie, które wymaga rozsądku i czujności. Jak ograniczyć?


•    Unikaj impulsywnego działania, nie dawaj się ponieść emocjom.
•    Uważnie przyglądaj się wszystkim wiadomościom i nie ufaj niespodziewanym telefonom od instytucji.
•    Weryfikuj rozmówców, nadawców i adresy www.
•    Nie klikaj w linki z wiadomości, szczególnie jeśli wywołują presję lub emocje.
•    Reaguj, gdy coś wydaje Ci się podejrzane.


Warto również korzystać z narzędzi, które pomagają wychwycić przechwycenie Twoich danych. BIK oferuje usługę Alerty BIK, która informuje, gdy ktoś próbuje zaciągnąć zobowiązanie na Twoje dane lub gdy znajdą się one w tzw. darknecie. To dodatkowa tarcza bezpieczeństwa, która pomaga chronić się przed konsekwencjami phishingu, ale też np. ataków hakerskich na bazy danych firm. 


FAQ

Jakie są główne oznaki phishingu?

Oszuści wykorzystujący phishing najczęściej grają na emocjach i wprowadzają atmosferę pośpiechu. Oszukani często orientują się, że coś jest nie tak dopiero wtedy, gdy już jest za późno. Ponadto phishingowe oszustwa można rozpoznać przez nietypowych nadawców lub adresy www, prośby klikania w linki, dokonywania płatności lub podawania swoich danych oraz błędy językowe. Oszuści najczęściej podają się za zaufane firmy lub instytucje (bank, policja, urząd, kurier) lub bliskie Ci osoby.

Jakie dane chcą wyłudzić oszuści?

Celem phishingu najczęściej jest zdobycie danych logowania do banku, numerów kart płatniczych, kodów autoryzacyjnych, PESEL, serii i numeru dowodu, danych osobowych lub zdjęć dokumentów. Oszuści mogą dzięki temu np. zaciągać kredyty, kraść środki z konta albo przeprowadzać dalsze oszustwa. 

Czy samo otwarcie maila jest niebezpieczne?

Samo otwarcie wiadomości zazwyczaj nie wyrządza szkody, jeśli nie klikniesz linku ani nie pobierzesz załącznika. Może jednak skutkować przekazaniem cyberprzestępcy danych o Twoim adresie IP, systemie operacyjnym na komputerze czy jego lokalizacji, co z kolei może służyć do przeprowadzania groźniejszych ataków. Dlatego do wszystkich podejrzanych wiadomości należy podchodzić ze szczególną ostrożnością.

Czy sam numer konta wystarczy do oszustwa?

Sam numer konta nie umożliwia kradzieży środków. Problem pojawia się wtedy, gdy wraz z nim podasz inne dane, np. PESEL, skany dokumentów czy kody autoryzacyjne. To właśnie te informacje mogą prowadzić do poważniejszych nadużyć.

Jak sprawdzić, czy ktoś wziął pożyczkę na moje dane?

Jeśli podejrzewasz, że możesz mieć pożyczkę, o której nie wiesz, pobierz Raport BIK o sobie. Znajdziesz tam informacje o swoich zobowiązaniach. Warto też uruchomić Alerty BIK, które informują na bieżąco zawsze wtedy, gdy ktoś próbuje zaciągnąć kredyt na Twoją tożsamość.

Gdzie zgłaszać podejrzenie phishingu?

Podejrzenie phishingu najlepiej zgłaszać do CERT Polska. Podejrzane wiadomości można przesłać na adres incydent@cert.pl, gdzie eksperci analizują takie przypadki. Incydenty można też zgłaszać przez aplikację mObywatel lub SMS na 799 448 084. Jeśli chodzi o próbę wyłudzenia danych dotyczących usług finansowych, warto powiadomić bank. Gdy doszło już do nadużycia, zgłoś sprawę na policję.

Alerty BIK z monitorowaniem darknetu

Dowiesz się o próbach wyłudzenia na Twoje dane i wyciekach Twoich danych do darknetu

Więcej...

Przeczytaj również

Czym jest darknet i jak trafiają tam nasze dane?

Darknet to ukryta część internetu. Można się tam dostać jedynie za pomocą specjalnych przeglądarek, takich jak Tor. Choć ma legalne zastosowania, często jest wykorzystywany do działalności przestępczej, m.in. do handlu skradzionymi danymi.Sprawdź, w jaki sposób możesz ochronić się przed wyciekiem Twoich danych w darknecie.

więcej

Cyberbezpieczeństwo– najczęstsze zagrożenia i jak się przed nimi chronić

W dobie cyfryzacji cyberbezpieczeństwo staje się jednym z ważniejszych wyzwań. Każdego dnia w sieci przetwarzana jest olbrzymia ilość danych, w tym tych wrażliwych. Jeśli dostaną się one w niepowołane ręce, może to oznaczać ogromne kłopoty– także dla Ciebie. Jakie niebezpieczeństwa czyhają w sieci? Jak się przed nimi chronić?

więcej

Jak Alerty BIK i Zastrzeżenie PESEL chronią nas przed wyłudzeniami

Oszuści nie próżnują i wciąż wymyślają nowe metody kradzieży danych osobowych. Nawet jeśli wydaje Ci się, że zawsze zachowujesz ostrożność, to pośpiech lub działanie pod wpływem emocji mogą sprawić, że nieświadomie udostępnisz swoje dane przestępcom.

więcej