CityHost.UA
  • Русский
  • Українська
  • English
  • Deutsch

  • Kijów

    (044)3-777-4-88

  • Kyivstar

    (096) 365-38-58

  • Lifecell

    (093) 170-17-68

  • Vodafone

    (066) 922-59-58
Pomoc i wsparcie

Phishing – jak nie dać się złapać na sztuczki oszustów i rozpoznać fałszywą stronę

 21668
29.10.2021
article

Phishing — to jeden z najpopularniejszych i najpowszechniejszych rodzajów oszustw w internecie. Oszuści tworzą strony phishingowe, aby uzyskać dane osobowe użytkowników. Najbardziej interesują ich dane kart bankowych.

Podrabiane są wszelkie strony, przez które można kraść pieniądze z kart — serwisy rezerwacji, wyszukiwania pracy, strony ogłoszeniowe, sklepy internetowe, strony banków i instytucji kredytowych, a nawet struktury rządowe. 

Na ich haczyk łapią się nieuważni lub niewystarczająco poinformowani odwiedzający. Dlatego jednym z głównych sposobów walki z phishingiem jest informowanie użytkowników internetu, jak nie stać się ofiarą oszustów. 

Na phishing cierpią nie tylko odwiedzający, ale także właściciele stron, które zostały podrobione. To szkodzi reputacji firmy, a ponadto jest ona zmuszona rozwiązywać problemy, które powstały u klienta, czasami nawet zwracać mu poniesione straty. 

Phishing w internecie istnieje od lat 80. XX wieku. I chociaż jest tak stary jak świat, zawsze znajdują się ludzie, którzy dają się złapać na klasyczne sztuczki.

 

 

Jak działają strony phishingowe? 

Tworzona jest strona identyczna jak strona popularnego zasobu. Są one absolutnie identyczne — czcionki, rozmieszczenie elementów, kolory. Projekt może się nieznacznie różnić, ale aby to zauważyć, trzeba dokładnie porównać obie strony. 

Nawet nazwy domen są podobne — różnica może być tylko w jednej literze. Wiele osób zazwyczaj nawet nie zwraca na taką drobnostkę uwagi. Strona jest umieszczana na hostingu i zaczyna "łapać rybki". 

Ale nie wystarczy po prostu wysłać jej do internetu — trzeba prowadzić aktywną pracę w poszukiwaniu ofiar. 

Jest wiele sposobów, a niektóre istnieją od lat, nadal pokazując swoją czarną skuteczność. Zazwyczaj są to spamowe wiadomości e-mail i SMS-y lub listy z hakowanych kont znajomych. Zawierają one linki do stron-kopii, na które użytkownik dobrowolnie wprowadza loginy i hasła, nie podejrzewając podstępu. 

Czas życia strony phishingowej wynosi zaledwie kilka dni, ale w tym czasie oszuści zdążają zebrać dobry plon danych osobowych. 

Na przykład w kwietniu 2021 roku w sieci pojawiła się strona, stylizowana na "Dii". Użytkownikom proponowano sprawdzenie, czy przysługuje im wypłata w wysokości 8 tys. UAH, którą przyznawano pracownikom przedsiębiorstw poszkodowanych z powodu lockdownu. W tym celu trzeba było wprowadzić dane karty bankowej. Nawet jeśli odwiedzający w ostatniej chwili zmieniał zdanie i nie naciskał przycisku "Wyślij", wprowadzone dane były i tak odczytywane przez specjalny skaner. Strona istniała zaledwie 5 dni, ale to wystarczająco dużo, aby "zarobić" okrągłą sumę. 

Zwróć uwagę, że strona phishingowa miała adres diia8000gov.me, podczas gdy prawdziwa "Dii" znajduje się na rządowej domenie diia.gov.ua. 

kupić domenę

Na co polują oszuści? 

Potrzebują wszystkiego, co może się przydać do nielegalnego zarobku:

  • Dane kart i kont, loginy i hasła do kont bankowych, które pozwalają  na przelewanie pieniędzy na swoje konto. 
  • Dostęp do bazy kontaktów, co daje możliwość wysyłania "listów szczęścia" do znajomych i kradzieży ich danych.
  • Dostęp do kont internetowych sklepów, w których klienci często logują się przez e-mail i media społecznościowe. A tam już dane karty są zapisane. 
  • Dostęp do danych osobowych użytkownika, które można wykorzystać do szantażu. 

Informacje wyciągane są od użytkowników za pomocą przebiegłych schematów, mających na celu sprawienie, aby ofiara straciła czujność. Opowiemy o kilku najczęściej występujących schematach, znajomość których pomoże Ci uchronić się przed kradzieżą danych.

Przeczytaj także: Fake i dezinformacja — uczymy się rozpoznawać fałszywe dane w sieci

Listy bezpieczeństwa

Tworzone są e-maile lub wiadomości SMS, tekst jest skonstruowany tak, aby maksymalnie przestraszyć czytelnika: ">Twoja karta została zablokowana i za dwie godziny wszystkie środki zostaną anulowane. Przejdź do linku, aby przywrócić dostęp". 

W liście znajduje się link do strony phishingowej i proponuje się wprowadzenie danych karty w celu przywrócenia dostępu. Czasami linki mogą być ukryte: w ankorze napisany jest prawdziwy adres, ale sam link prowadzi na fałszywą stronę. 

Na przykład proponujemy przejść na stronę google.com. W rzeczywistości, klikając w link, trafisz na stronę główną naszej witryny. Oczywiście, nie jest to strona phishingowa — po prostu chcieliśmy pokazać, jak można przechytrzyć odwiedzającego za pomocą fałszywego anko.

Istnieje mobilna wersja tego oszustwa, nazywa się vishing. Abonent otrzymuje na telefon SMS z informacją, że jego karta została zablokowana, oraz propozycją zadzwonienia pod numer telefonu lub przejścia do linku phishingowego. Jeśli zadzwonisz do "menedżera", od razu zacznie pytać o numer karty, datę ważności i CVV. Zdarza się nawet, że oszuści nie podają, której banku karta została zablokowana i próbują uzyskać tę informację w rozmowie. 

Co robić? Sprawdź adres otrzymanego linku z domeną oficjalnej strony. Znajduje się on na górze, w pasku adresu. 

Jeśli obawiasz się, że rzeczywiście jest problem, zadzwoń na oficjalną infolinię lub napisz do wsparcia technicznego, znajdując w wyszukiwarce prawdziwą stronę samodzielnie. Tam również możesz zgłosić kontakty oszustów i zgłosić ich aktywność. 

Promocje i bonusy od znanych sklepów

Znajdujesz w skrzynce e-mailowej wiadomość od znanego sklepu internetowego z atrakcyjną ofertą: "Wygrałeś 10 000 hrywien! Odbierz!"

Sklep ma dobrą reputację i nie budzi podejrzeń. Przechodzisz do linku, trafiając na kopię strony, gdzie proponują wprowadzenie numeru karty. Następnie, aby uzyskać zniżkę, musisz dokonać próbnej płatności w wysokości kilku hrywien, wprowadzić datę ważności karty i CVV.

Mogą również zaproponować autoryzację przez media społecznościowe lub e-mail, jeśli interesuje ich twoja baza kontaktów i inne dane osobowe. 

Co robić? U oficjalnych firm nigdy nie prowadzi się promocji ani nie oferuje zniżek, które wymagają przeprowadzenia próbnej płatności i pozostawienia swoich danych. Zazwyczaj oferują zakup określonych towarów po obniżonej cenie lub uzyskanie kodu promocyjnego ze zniżką, ale rozdawaniem dużych sum pieniędzy swoim klientom na pewno się nie zajmują. Jeśli proponują ci dokonywanie jakichkolwiek próbnych operacji finansowych — to już niepokojący sygnał. 

I powtórzymy: sprawdzaj adres strony, na którą trafiłeś, z domeną prawdziwej firmy. 

Oszuści na stronach ogłoszeniowych

Lubią szukać ofiar wśród sprzedawców i kupujących na dużych platformach dla prywatnych ogłoszeń.

Wraz z pojawieniem się opcji "Bezpieczna płatność" pojawił się nowy schemat. Oszust udaje zainteresowanego kupca i chce przelać pieniądze przez "Bezpieczną płatność". Wysyła link do rzekomo już utworzonego zakupu, gdzie w formularzu trzeba wprowadzić dane karty, jej datę ważności i CVV.

Jeśli ofiara ma wątpliwości, oszust może nawet wysłać link do strony wsparcia technicznego z adresami i numerami telefonów. Dzwoniąc pod numer, sprzedawca usłyszy zapewnienia fałszywego menedżera, że wszystko jest w porządku.

Co robić? Oszuści często wyciągają ofiarę do komunikatorów — Viber lub Telegram. Rzekomo tak im wygodniej rozmawiać lub aplikacja się zawiesza. Nie należy wychodzić z rozmowy na stronie — tam rozmówca nie może usunąć wiadomości, które mogą stać się dowodem jego działań. 

Nie korzystaj z linków, które wysyła klient. Wszystkie operacje dokonuj tylko na swoim koncie. 

Sprzedawcy w żadnym wypadku nie powinni wprowadzać daty ważności karty i trzycyfrowego kodu z tyłu — do płatności wystarczy tylko jej numer. 

Bardzo wielu oszustów korzysta z OLX. W celu pomocy swoim klientom firma stworzyła specjalną instrukcję na temat phishingu w OLX-dostawie.

Wiadomość od "przyjaciela"

Przyjaciel wysyła wiadomość, w której prosi o głosowanie na niego w konkursie, podpisanie petycji, dzieli się linkiem do świetnej promocji. Haker, włamał się na konto, miał możliwość przeczytania korespondencji i komunikuje się w stylu przyjaciela, dlatego wiadomość nie budzi wątpliwości.

Dalej wszystko pójdzie według znanego scenariusza — w wiadomości znajduje się link phishingowy i czeka, abyś złapał się na przynętę. 

Co robić? Zadzwoń do przyjaciela, zapytaj, czy wysłał taką wiadomość. Jeśli nie — to znaczy, że został włamanie. 

Zwróć uwagę, jeśli różni się sposób zachowania, nawyki lub komunikacja. Na przykład wiesz, że osoba jest całkowicie obojętna na wyprzedaże — a nagle wysyła link z wezwaniem do zakupu w promocji. To również powód, aby zadzwonić. 

Twój projekt biznesowy

Oszuści mogą nawet stworzyć unikalny "sklep internetowy" lub inny zasób, na którym będą przeprowadzać losowania i sprzedawać towary. Oczywiście, żadnych prezentów ani zakupów ich klienci nie zobaczą.

W tym przypadku phishingowym będzie link do systemu płatności. Chętni do otrzymania nagrody lub dokonania zakupu wprowadzają dane karty w pola fałszywej strony — sprawa załatwiona. 

Co robić? Współpracuj tylko z zaufanymi sklepami, a przed rozpoczęciem zakupów na nowej stronie, poszukaj recenzji w internecie. Nie ufaj danych osobowych mało znanym zasobom. 

Podstawowe środki bezpieczeństwa, które należy zawsze przestrzegać

  1. Już o tym mówiliśmy, ale powiemy jeszcze raz — zawsze sprawdzaj adres otrzymanego linku z adresem prawdziwej strony. Ale w ogóle lepiej nie otwierać linków w podejrzanych wiadomościach — mogą zawierać wirusy.

  2. Wszystkie przeglądarki mają ochronę przed atakami phishingowymi. Jeśli strona jest niepewna, przeglądarka będzie informować: "Uwaga! Złośliwe oprogramowanie!" lub "Potencjalne zagrożenie phishingowe". Kiedy pojawia się takie ostrzeżenie, lepiej tam naprawdę nie wchodzić. W poczcie również są swoje filtry. Jeśli pocztownik kwalifikuje wiadomość jako niebezpieczną, należy go posłuchać. 

  1. Zainstaluj dobry program antywirusowy. Oprócz ochrony przed atakami phishingowymi, ma wiele przydatnych funkcji ochrony danych osobowych — nie pozwala oszustom przechwytywać wiadomości z kodami, blokuje dostęp programom kradnącym dane z banków online itp. 

  2. Skonfiguruj uwierzytelnianie dwuskładnikowe na wszystkich ważnych zasobach — w aplikacjach bankowych, w poczcie, w mediach społecznościowych. Dzięki temu oszuści nie będą mogli zalogować się do konta, nawet mając login i hasło, ponieważ system wysyła powiadomienie na telefon komórkowy właściciela, gdy próbuje się zalogować z innego adresu IP. Dopiero po wprowadzeniu kodu z potwierdzonego urządzenia będzie można zalogować się do konta.

  3. Zwracaj uwagę na obecność certyfikatu SSL na stronie. Oszuści tworzą swoją stronę na krótko i mogą nie dbać o posiadanie certyfikatu. W takim przypadku w pasku adresu obok nazwy domeny zobaczysz napis "Nie zabezpieczone!", przekreślone na czerwono litery https, wykrzyknik w trójkącie lub przekreślony zamek. Zresztą, strona phishingowa może mieć certyfikat bezpieczeństwa, ponieważ łatwo go uzyskać za darmo. Ale jeśli zobaczysz ostrzeżenie w pasku adresu — bądź ostrożny. 

  4. Wielu używa tego samego hasła do wszystkich kont. Po dokonaniu włamania do mediów społecznościowych, oszustom łatwo jest dostać się do wszystkich innych kont. Staraj się używać różnych haseł.

  5. Zgłaszaj wykryte strony phishingowe do firmy, której zasób został skopiowany, lub do policji cybernetycznej. Im szybciej zamkną stronę phishingową, tym mniej ludzi padnie ofiarą oszustwa. 


Podobał Ci się artykuł? Powiedz o nim znajomym:

Author: Bohdana Haivoronska

Journalist (since 2003), IT copywriter (since 2013), content marketer at Cityhost.ua. Specializes in articles about technology, creation and promotion of sites.

Author: Oleh Rivtin

CEO of Cityhost.ua. Specializes in marketing, search engine optimization, public relations.

Poprzedni artykuł

Miliony stron przestały działać z powodu Lets Encrypt, co robić?

Następny artykuł

Wirusy na stronie — jak je znaleźć i chronić się przed zarażeniem
Podobne artykuły
Nasze usługi

Hosting wirtualny

Rejestracja domen

Serwery wirtualne

Serwery dedykowane

Certyfikaty SSL

Rejestracja znaku towarowego

Usługa SMS

Darmowa usługa Call Back

CityHost

Usługi

2004 - 2025 „CityHost” — profesjonalny
płatny hosting w Ukrainie.