Tymi słowami rozpoczęła naszą rozmowę Magda Zabrocka. Jak zawsze profesjonalna i wybitna w swojej dziedzinie.
Jak dokładnie działa phishing? Czy istnieje sposób, aby się przed nim chronić? Magda odpowiada na te pytania z dużym zaangażowaniem w kolejnym odcinku „3 pytań do eksperta” – i 3 odpowiedziami, które w prosty sposób wyjaśniają złożone zjawiska.
Ania: Magda, NASK odnotował ponad 130 000 cyber incydentów w 2024 r. Te liczby są alarmujące.
Magda: Rzeczywiście, te liczby podkreślają rosnącą wyrafinowanie i częstotliwość cyberzagrożeń, nie tylko w Polsce, ale na całym świecie. Ransomware, socjotechnika i cyberprzestępczość oparta na sztucznej inteligencji to jedne z głównych obaw. Czy możesz uwierzyć, że każdego dnia wysyłanych jest około 3,4 miliarda wiadomości e-mail phishingowych?
Ania: Zatrzymajmy się na chwilę — czy możesz rozwinąć temat phishingu? Jak dokładnie działa phishing?
Magda: Phishing to technika socjotechniczna, w której cyberprzestępca próbuje oszukać użytkownika, aby pobrał złośliwe oprogramowanie, podał dane uwierzytelniające, dane karty kredytowej lub inne poufne informacje, podszywając się pod legalną organizację lub osobę. Ataki te mogą być przeprowadzane za pośrednictwem poczty e-mail, połączeń telefonicznych, wiadomości SMS lub innych kanałów komunikacji.
Istnieją różne rodzaje ataków phishingowych:
Masowe phishing e-mailowe – szeroko zakrojona kampania spamowa wysyłana do jak największej liczby odbiorców, mając nadzieję, że przynajmniej niektórzy padną ofiarą.
Spear phishing – wysoce ukierunkowany atak wykorzystujący spersonalizowane wiadomości w celu oszukania konkretnej osoby lub organizacji.
Vishing (phishing głosowy) – oszuści wykorzystują połączenia telefoniczne w celu wyłudzenia poufnych informacji.
Smishing (phishing SMS) – atakujący wysyłają fałszywe wiadomości za pośrednictwem wiadomości tekstowych, aby nakłonić ofiary do podania danych uwierzytelniających lub pobrania złośliwego oprogramowania.
Według raportu Verizon, 68% naruszeń danych wiąże się z błędem ludzkim, co czyni ludzi najsłabszym ogniwem w cyberbezpieczeństwie.
Jeśli chodzi o sposób działania: cyberprzestępcy wykorzystują taktykę inżynierii społecznej, aby wykorzystać psychologię człowieka, często wywołując silne emocje, takie jak strach, pilność lub podekscytowanie.
Na przykład możesz otrzymać wiadomość e-mail od swojego banku, w której twierdzi się, że dokonano dużej nieautoryzowanej transakcji na Twojej karcie kredytowej. W wiadomości e-mail znajduje się link umożliwiający anulowanie transakcji, który przekierowuje do fałszywej, ale przekonującej strony logowania, na której atakujący przechwytuje Twoje dane uwierzytelniające.
Innym powszechnym scenariuszem jest otrzymanie faktury oznaczonej jako „pilna płatność” z załącznikiem zawierającym złośliwe oprogramowanie.
Ostatnio zaobserwowaliśmy wzrost liczby ataków phishingowych opartych na sztucznej inteligencji. Cyberprzestępcy wykorzystują teraz sztuczną inteligencję do tworzenia wysoce wyrafinowanych wiadomości, w których brakuje typowych czerwonych flag, takich jak błędy ortograficzne i nieścisłości gramatyczne, przez co są one znacznie trudniejsze do wykrycia.
Ania: Czy istnieje sposób, aby się chronić?
Magda: Podczas gdy ataki phishingowe stają się coraz bardziej zaawansowane, możemy podjąć pewne kroki, aby zachować ochronę:
Bądź na bieżąco — śledź alerty i ostrzeżenia dotyczące cyberbezpieczeństwa.
Zachowaj ostrożność w przypadku wiadomości e-mail lub wiadomości, które wywołują poczucie pilności lub wydają się zbyt dobre, aby mogły być prawdziwe.
Zawsze weryfikuj adres e-mail i domenę nadawcy. Sprawdź, czy wiadomość ma innych odbiorców lub czy temat jest zgodny z treścią.
Nigdy nie klikaj linków bezpośrednio — najedź na nie kursorem, aby wyświetlić podgląd rzeczywistego adresu URL przed kontynuowaniem.
Skontaktuj się bezpośrednio ze swoim bankiem lub dostawcą usług, jeśli otrzymasz podejrzaną wiadomość e-mail.
Nigdy nie podawaj swoich danych logowania za pomocą linków otrzymanych w wiadomości e-mail lub SMS.
Unikaj otwierania załączników z nieznanych lub nieoczekiwanych źródeł.
Zachowując czujność i stosując się do tych najlepszych praktyk, możemy znacznie zmniejszyć ryzyko stania się ofiarą oszustw phishingowych.
