Phishing to jeden z najprostszych i zarazem najskuteczniejszych rodzajów cyberataków. Narażeni na niego są dosłownie wszyscy – od pracowników instytucji państwowych i dużych firm, po zwykłych internautów.
“Phishing to rodzaj oszustwa polegającego na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia informacji, zainfekowania sprzętu złośliwym oprogramowaniem lub nakłonienia ofiary do określonych działań.
Do ataków typu phishing wykorzystywane są wszystkie formy komunikacji elektronicznej:
* wiadomości e-mail,
* SMS-y,
* wiadomości na komunikatorach (np. WhatsApp),
* wiadomości prywatne w serwisach społecznościowych (np. na Instagramie),
* rozmowy telefoniczne.”
Phishing wyróżnia się na tle innych rodzajów ataków komputerowych. Realnie ma na celu zaatakowanie samego człowieka. Treści wysyłanych wiadomości mają wzbudzać silne emocje. Odbiorca, kierujący się strachem ma w jak najkrótszym czasie wykonać to, czego oczekuje atakujący.
Ponadto, cyberprzestępcy posługujący się phishingiem, najczęściej wykorzystują autorytet danych osób lub instytucji. Podszywają się pod nich w celu wzbudzenia zaufania lub zbudowania napięcia u odbiorcy. Kontaktują się z ofiarami jako rzekomy urząd, dostawca prądu, bank czy znana firma przewozowa.
Jak można przeczytać na blogu Kwestia Bezpieczeństwa, (…) “działaniami, do których ma skłaniać wiadomość phishingowa są często na przykład:
* podanie danych do logowania do banku na spreparowanej stronie WWW,
* podanie danych karty płatniczej / kredytowej,
* wpisanie loginu i hasła logowania do skrzynki pocztowej czy innego serwisu internetowego po kliknięciu w link z wiadomości,
* podanie danych osobowych (np. PESEL, nazwisko panieńskie matki, data urodzenia, miejsce urodzenia, numer dowodu) potrzebnych do uzyskania dostępu do niektórych kont lub np. zaciągnięcia kredytu,
* pobranie pliku ze złośliwym oprogramowaniem (np. faktury, wezwania do zapłaty, pisma od kancelarii prawnej),
* instalacja złośliwego oprogramowania (np. ransomware, trojana, wirusa).
Samo słowo phishing powstało z połączenia słów password (czyli: hasło) i fishing (czyli: łowienie).”
W przypadku wątpliwości co do otrzymanej wiadomości należy ją zweryfikować pod kątem autentyczności. Dodatkowo można ją zgłosić na stronie https://incydent.cert.pl/, która prowadzona jest przez CERT Polska.
Źródło: https://kwestiabezpieczenstwa.pl/phishing/