6 wskazówek chroniących przed phishingiem

Po czym rozpoznać niebezpieczne linki wysyłane w wiadomościach i inne sztuczki, których używają oszuści do kradzieży danych.

Co mają ze sobą wspólnego e-maile zatytułowane „Wygrałeś milion dolarów” i „Twoje konto zostało zablokowane”? Prawie zawsze są oznakami oszustwa. Ich celem jest przekonanie odbiorcy do kliknięcia linku prowadzącego do strony phishingowej i wprowadzenia poufnych informacji: loginu i hasła lub danych do konta bankowego. Dowiedz się, jak wykryć phishing i nie dać się złapać.

  1. Dokładnie sprawdzaj wiadomości e-mail

Po otrzymaniu wiadomości e-mail nie spiesz się z odpowiedzią ani nie postępuj zgodnie z jej instrukcjami. Najpierw poszukaj oznak charakterystycznych dla phishingu. Co powinno wzbudzić Twoje zainteresowanie?

  • Krzykliwy temat. Najczęściej informuje o wygraniu pieniędzy, zapowiada rekompensatę finansową, informuje o zhakowaniu lub zablokowaniu konta, jak również o wykryciu oszukańczych transakcji. Te tematy przyciągają uwagę, a ponadto ich zadaniem jest wywołanie reakcji emocjonalnej — często odwołują się do ludzkiej chciwości i strachu.
  • Nacisk na powagę sytuacji. Zwroty takie jak „Ostateczne powiadomienie!” lub „Pozostały tylko 3 godziny”, a także nadmierne używanie wykrzykników mają na celu pośpieszyć się, wywołać u Ciebie poczucie paniki i obniżyć Twoją czujność.
  • Błędy, literówki i dziwne znaki w tekście. Niektórzy przestępcy naprawdę mają problem z posługiwaniem się językiem angielskim, ale czasami celowo popełniają błędy, pisząc np. „milion” lub używając liter z różnych alfabetów, aby ominąć filtry spamu.
  • Niespójny adres nadawcy. Jeśli w adresie e-mail znajduje się wiele losowych liter i cyfr lub nazwa domeny jest niewłaściwa, wskazuje to na oszustwo. Potwierdza to fakt, gdy nadawca twierdzi, że pisze w imieniu dużej organizacji.
  • Gdy wiadomość zawiera linki. Aby sprawdzić łącze, umieść na nim kursor i dokładnie sprawdź adres, który zostanie wyświetlony. Przestępcy najbardziej lubią osoby, które nie zwracają uwagi na szczegóły, przez co nie wykrywają niewielkich zmian w nazwach znanych firm lub marek, np. sumsung.com lub qoogle.com.

W większości przypadków kilka takich weryfikacji powinno wystarczyć, aby wykryć wiadomość e-mail wysłaną masowo w ramach oszustwa phishingowego. Jednak nazwy i adresy nadawców mogą być sfałszowane, linki można skrócić, aby były nieczytelne, a łańcuchy automatycznych przekierowań można skonfigurować tak, aby prowadziły z mniej podejrzanych adresów internetowych do rzeczywistej witryny phishingowej. Dlatego o ile to możliwe najlepiej jest nie klikać łączy wysyłanych w wiadomościach e-mail — chyba że o nie prosiliśmy. Na przykład jeśli otrzymasz powiadomienie, które rzekomo pochodzi z banku lub sklepu internetowego, zadzwoń tam i potwierdź, że to prawda.

Możesz również sprawdzić, czy nagroda jest prawdziwa: wyszukaj w internecie oficjalną stronę firmy, która rzekomo Ci ją przyznała, i sprawdź na niej informacje o nagrodach. To tylko kilka przykładów, ale zasada jest jedna: jeśli chcesz sprawdzić link z niechcianej wiadomości, zrób to okrężną drogą.

  1. Zachowaj czujność w aplikacjach do przesyłania wiadomości i w sieciach społecznościowych

Poczta elektroniczna to nie jedyny aspekt, na który musisz uważać. Równie duży potencjał niebezpieczeństwa mają wiadomości, które otrzymujesz w aplikacjach do komunikowania się i w sieciach społecznościowych: szkodliwe linki można znaleźć w postach znajomych na Facebooku, w komentarzach zamieszczanych przez fałszywych ambasadorów marki na Twitterze lub w wiadomościach bezpośrednich na Discordzie.

Z ostrożnością należy również traktować banery — takie obrazy mogą nie mieć nic wspólnego ze stroną internetową, na którą kierują. Platformy, na których są umieszczane, zwykle nie kontrolują tego, co widzą użytkownicy ani dokąd są przekierowywani. Nawet ciesząca się dobrą renomą strona internetowa może wyświetlać reklamy prowadzące do witryn phishingowych.

Co możesz zrobić? Podobnie jak w przypadku wiadomości e-mail, dokładnie sprawdź każdy link i, jeśli to możliwe, nie klikaj ich wcale.

  1. Zanim wprowadzisz informacje o swoim koncie bankowym, zastanów się dwa razy

Dane karty bankowej są szczególnie wrażliwe, ponieważ zapewniają bezpośredni dostęp do pieniędzy. Dlatego niezależnie od tego, w jaki sposób wszedłeś na stronę internetową, dokładnie ją sprawdź, zanim wprowadzisz na niej swoje dane.

Najpierw przyjrzyj się bliżej adresowi. Poszukaj w nim literówek, cyfr zamiast liter, łączników w nieoczekiwanych miejscach i dziwnych nazw domen. Jeśli widzisz coś takiego, opuść daną stronę i wprowadź adres banku ręcznie w pasku przeglądarki.

Następnie kliknij ikonę kłódki po lewej stronie. Chociaż nie jest ona gwarancją bezpieczeństwa, pokaże informacje o tym, kto jest właścicielem strony internetowej (przeglądarki mają różne nazwy dla odpowiednich kart, takich jak Certyfikat lub Połączenie bezpieczne).

Tak wygląda odpowiedni ciąg na naszej stronie w Google Chrome

Jeśli robisz dużo zakupów w internecie, również w mniejszych firmach i u prywatnych sprzedawców, korzystaj z oddzielnej karty. Trzymaj na niej niewielką kwotę i doładowuj ją w razie potrzeby. W ten sposób, nawet jeśli dane karty zostaną skradzione, nie stracisz dużej ilości pieniędzy.

  1. Używaj różnych haseł

Jeśli używasz tego samego hasła do różnych kont, nawet jeśli jest ono bardzo silne, ryzykujesz, że wszystkie Twoje konta zostaną zhakowane, jeśli kiedyś wprowadzisz je na stronie phishingowej. Dlatego dla każdej witryny i aplikacji należy używać unikatowego hasła.

Jeśli masz trudności z wymyśleniem i zapamiętaniem dziesiątek nowych haseł do każdej pizzerii i sklepu internetowego, użyj menedżera haseł, który je za Ciebie utworzy, pozwoli Ci nimi zarządzać i będzie je wstawiać tam, gdzie trzeba.

Menedżer haseł działa również jako dodatkowa kontrola na rzecz zapobiegania wyłudzaniu informacji. Jeśli otworzysz aplikację lub witrynę i okaże się, że program nie wypełnił automatycznie Twojego loginu i hasła, prawdopodobnie masz do czynienia z podrobioną stroną. Dla Ciebie może ona wyglądać tak samo jak prawdziwa strona internetowa, ale jeśli ma inny adres, menedżer haseł nie wypełni danych logowania do konta.

Po drugie, menedżery haseł mogą generować trudne do zhakowania hasła.

Po trzecie, niektóre menedżery haseł mają przydatne dodatkowe funkcje. Na przykład Kaspersky Password Manager sprawdza hasła i powiadamia Cię, jeśli są słabe, używane w innych kontach lub już znajdują się w bazie haseł, które wyciekły.

  1. Skonfiguruj uwierzytelnianie dwuskładnikowe w celu ochrony kont

Wiele ataków phishingowych ma na celu przejęcie kont, ale nawet jeśli atakujący uzyskają Twój login i hasło, nadal możesz pokrzyżować im plany. W tym celu wystarczy skonfigurować uwierzytelnianie dwuskładnikowe tam, gdzie tylko jest to możliwe. Gdy to zrobisz, podczas logowania się konieczne będzie podanie dodatkowego tymczasowego kodu weryfikacyjnego. Otrzymasz go e-mailem, SMS-em lub w aplikacji do autoryzacji.

Należy jednak pamiętać, że osoby stosujące techniki phishingowe mogą również tworzyć fałszywe strony logowania, które także żądają jednorazowych kodów uwierzytelniających. Dlatego lepiej jest chronić ważne konta za pomocą uwierzytelniania sprzętowego, czyli klucza USB, takiego jak YubiKey lub Titan Security Key firmy Google.

Niektórzy wystawcy uwierzytelnienia używają funkcji NFC i Bluetooth do łączenia się z urządzeniami mobilnymi. Zaletą korzystania ze sprzętowego klucza bezpieczeństwa jest to, że nigdy nie ujawni danych na fałszywej stronie internetowej. Witryna musi wysłać właściwą prośbę, aby uzyskać właściwą odpowiedź od wystawcy uwierzytelnienia, a jak to zrobić, wie tylko prawdziwa strona internetowa.

  1. Używaj niezawodnej ochrony

Z pewnością trudno jest stale wyszukiwać oznak oszustwa i sprawdzać każdy adres, link itp. Na szczęście zadanie to możesz zautomatyzować w rozwiązaniach zabezpieczających, np. w Kaspersky Total Security, które zapewni Ci ochronę przed phishingiem. Ochrona oparta na chmurze szybko powiadomi Cię, jeśli spróbujesz przejść do szkodliwej strony, i zablokuje zagrożenie.

Porady