hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
28 czerwca 2023

Phishing, vishing, smishing – o co chodzi z tymi „ishingami”?

Opowiadając internautom na temat cyber-zagrożeń – choć dla nas wszystkie te określenia są oczywiste – wciąż spotykamy się z prośbami o wyjaśnienie, co te dziwne słowa w zasadzie znaczą? Dominującym zwrotem w warstwie językowej zagrożeń w sieci jest od lat „wirus”, popularny nie tylko wśród boomerów. Tymczasem przez lata sporo się zmieniło. Wirusy to rzadkość. Najczęściej spotykamy się z naszym pierwszym „bohaterem”:

Phishing. Nazwa pochodzi od angielskiego „fishing”, czyli łowienie. W pierwotnym zwrocie chodzi rzecz jasna o ryby (od „fish”), zaś w wersji internetowej o – można by zażartować – phrajerów. Można by, gdyby nie to, że skutki padnięcia ofiarą phishingu są jak najbardziej poważne.

Wg. Słownika Języka Polskiego: phishing  [czytaj: fiszing] wyłudzanie od internauty informacji umożliwiających nielegalny dostęp do poufnych i prywatnych informacji przez podszywanie się pod kogoś innego

Jeszcze bardziej uszczegółowiając – w dzisiejszych czasach opisane w słownikowej definicji „poufne i prywatne informacje” to w znacznej większości loginy i hasła do systemów bankowości elektronicznej oraz numery, daty ważności i kody CVV/CVC kart płatniczych. Fakt podszywania się pod kogoś innego jest natomiast realizowany przy użyciu socjotechnicznych sztuczek prowadzących do mniej lub bardziej (częściej niestety bardziej) wprawnej manipulacji ofiarą.
Nie bez przyczyny mówi się, że cyber-przestępca XXI wieku nie musi mieć wiedzy informatycznej. Złośliwe oprogramowanie można po prostu kupić. Rolą przestępcy działającego w sieci w dzisiejszych czasach jest przekonanie ofiary, by:

  • kliknęła w link
    • a następnie podała swoje wrażliwe dane
  • kliknęła w załącznik

W tym celu przestępca wywołuje w ofierze silne emocje, by podjęła decyzję szybko i nie do końca świadomie. Używa do tego ogólnie i szeroko rozpoznawalnych marek usług/produktów, bowiem to one mają największą szansę, by zainteresować odbiorcę wiadomości.

A ponieważ od phishingu się zaczęło, naturalne było wyprowadzenie od tej nazwy odmian dla:

  • phishingu głosowego (voice phishing, vishing)
  • phishingu SMS (SMS phishing, smishing)

Vishing, czyli phishing głosowy w ostatnich miesiącach to w zasadzie wyłącznie podszywanie się przez atakujących pod infolinie bankowe. Ponieważ słabości systemów telekomunikacyjnych (projektowanych wiele lat temu, przed powstaniem internetu) pozwalają na prezentowanie na telefonie ofiary dowolnego numeru, oszust może zadzwonić „z naszego banku”. Dlatego bardzo ważne jest uwrażliwienie na próby wywołania w nas silnych emocji i wyrobienie w sobie nienaturalnego odruchu rozłączenia się i zadzwonienia na numer banku, bo potwierdzić, czy faktycznie coś się dzieje z naszym kontem.

Smishing, czyli phishing SMS, to atak z którym nieco łatwiej sobie poradzić. Firma, wysyłając wiadomości, używa albo bezpośrednich linków do swoich stron, bądź też – po przekierowaniach, mających na celu zliczenie aktywności użytkowników – prowadzi odbiorcę wiadomości do docelowej strony pod swoim, znanym adresem. Jeśli więc link w SMS-ie prowadzi do witryny orangepl.xyz, bądź – jeśli podejmiecie ryzyko – po wejściu na docelową stronę zobaczycie podobnego „potworka”, nie wpisujcie tam żadnych loginów, haseł ani danych karty płatniczej!

Co ciekawe, ostatnio znaczna większość linków smishingowych jeśli otworzymy je na komputerze, przekieruje nas na witrynę Google lub ewentualnie na bezwartościową „zaślepkę” nie mającą nic wspólnego z treścią wiadomości. Dlaczego? Otwórzcie stronę na telefonie i poczekajcie chwilę, bądź przewińcie witrynę w dół. Zobaczycie, że pasek adresu… znika, by „niepotrzebnie” nie zajmować przestrzeni na małym ekranie. Jeśli więc damy się złapać na emocje, skupimy na treści strony, kluczowe miejsce, które mogłoby nam pomóc wykryć oszustwo, zniknie.

Pamiętaj! Jeśli nadawca maila (phishing) lub wiadomości SMS (smishing), bądź rozmówca telefoniczny (vishing) chce Twoich haseł lub pieniędzy i wywołuje w Tobie silne emocje – z dużym prawdopodobieństwem możesz mieć do czynienia z oszustwem! Zwolnij, zastanów się nad tym co się właśnie dzieje. Nie daj się oszukać!

Grafika użyta w tekście została stworzona przez sztuczną inteligencję w ramach projektu Dall-E (https://labs.openai.com/)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 kwietnia 2024
Raport CERT Orange Polska za 2023 rok już jest!
Dowiedz się więcej
22 kwietnia 2024
Poznaj swoją podatność – XSS w Liferay
Dowiedz się więcej
19 kwietnia 2024
Jak stracić pieniądze dwa razy, czyli kancelaria jak z Incepcji
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas