Phishing czy spamming – jak rozpoznać cyberprzestępczość?

Cyberprzestępczość przybiera różne formy, dlatego warto wiedzieć jak odróżnić oszusta od spamu, czym jest phishing i jak się na niego nie nabrać. Służymy pomocą.

Niektóre formy phishingu są łatwiejsze do wykrycia, ale zazwyczaj oszustwa cybernetyczne są niezwykle wyrafinowane. Przestępcy z nadzwyczajną cierpliwością śledzą zachowania użytkownika, podglądają regularne płatności, kradną hasła, klonują profile na mediach społecznościowych i tworzą robaki komputerowe.

Nasz blog ma na celu wskazanie podobieństw i różnic pomiędzy phishingiem i spamem, co umożliwi naszym czytelnikom ochronę przed oszustami.

Różnica między phishingiem i spammingiem

Czym jest spam?

Spam to wysyłane masowo, zazwyczaj w celach marketingowych, niechciane maile-śmieci. W latach 90. zdobycie adresu email nie było takie proste, a kiedy się to udało i kiedy wysłano z niego spam, bardzo szybko identyfikowano i blokowano email.

Z czasem pojawiło się coraz więcej adresów email, a oszuści stali się coraz bardziej przebiegli. Spam zaczęto kojarzyć z czymś złym – skrzynki pocztowe bombardowane ofertami sprzedażowymi narkotyków, nielegalnych towarów oraz oszustw. W skrócie chodzi o to, aby namówić odbiorcę takiej wiadomości do przesłania płatności za coś, co nie istnieje lub co nie powinno istnieć, i na co nie wyraził on wcześniej zapotrzebowania.

Co więcej, folder spam nie wychwytuje tych wiadomości.

Najgorsze jest to, że email może wciąż rozprowadzać złośliwe oprogramowania na ogromną skalę, zachęcając do kliknięcia poprzez odpowiedni nagłówek, np. „Otrzymałeś 500 funtów”.

Haczyk jest taki, że phishing to również forma spamu!

Czym jest phishing?

Jest to klasyczne narzędzie umożliwiające podszycie się pod coś lub kogoś w celu uzyskania informacji od ofiary oszustwa. Wysyłany jest fałszywy email, wyglądający jak faktyczna wiadomość od eBay, TSB czy Vodafone. Przy dokładniejszej analizie można zauważyć, że URL (adres witryny www) nie wygląda tak, jak powinien. Wiadomość może zawierać odpowiednie logo i rodzaj czcionki, ale konstrukcja zdań lub też dziwne błędy językowe sugerować będą, że coś jest nie tak.

W mailu zawarta może być prośba o sfinalizowanie płatności internetowej, której użytkownik nie zrobił, oraz link do logowania na stronie internetowej. Wiadomość może zachęcać też do opłacania przesyłki pocztowej z linkiem do fałszywej strony Royal Mail. Oczywiście witryny te są fałszywe i zaraz po wpisaniu informacji przez ofiarę, oszuści mają to, po co przyszli.

Z phishingiem można spotkać się w domu oraz w pracy.

Niektórzy oszuści wolą bardziej bezpośrednie podejście (nie spamowe). Korzystają oni z platform społecznościowych, dowiadują się gdzie pracuje ich ofiara i atakują.

Jeden z przykładów takiego oszustwa to podszycie się pod pracownika i wysłanie maila do działu płac (lub do osoby rozliczającej wypłaty) z informacją od pracownika, że jest on na urlopie, więc z prywatnego adresu mailowego prosi o zmianę konta bankowego, na które wpływa wypłata, ponieważ zapomniał zrobić to przed wyjazdem na wakacje.

W mailu zawarte jest imię i nazwisko pracownika, które – podobnie jak nazwę firmy i email pracodawcy – można znaleźć na LinkedIn. Z kolei Instragram poinformuje, że pracownik jest na wakacjach. Bardzo łatwo jest dodać „payroll@” do znalezionej domeny. Oczywiście w tym przypadku pracownik nie wysłał maila, a jego wypłata przelana została na konto bankowe oszusty.

W jaki sposób cyberkryminaliści docierają do danych osobowych?

Naruszenie danych

Historia udostępnienia ogromnej ilości danych hakerom przez Facebook i LinkedIn (dane osobowe użytkowników, czyli nazwisko, adres email a nawet hasła) trafiła na pierwsze strony gazet, ale to nie tylko media społecznościowe winne są naruszeniom ochrony danych.

W cyberataku na EasyJet w maju 2020 r. skradziono adresy mailowe oraz plany podróży 9 mln klientów, a dodatkowo skradziono też dane kart kredytowych ponad 2 tys. z nich.

W październiku 2020 r. nałożono karę grzywny w wysokości 20 mln funtów na British Airways (mniej niż początkowo sugerowane 183 mln z powodu okoliczności łagodzących oraz wpływu pandemii na przemysł lotniczy) za naruszenie ochrony danych w 2018 r., w wyniku którego dane osobowe ponad 400 tys. klientów, w tym dane ich kart kredytowych, trafiły w ręce oszustów.

Lista przedsiębiorstw, które padły ofiarami cyberataku jest długa i wciąż rośnie. Więcej przykładów znaleźć można na haveibeenpwned.com.

Hakerzy mają wiele sposobów na nielegalne zdobycie adresów email. Kradną je od firm przyjmujących zapisy drogą mailową lub w od tych sprzedających bezpośrednio przez Instagram. Chcieć to móc – zawsze znajdzie się sposób na przechwycenie danych.

Nauczanie zdalne

Kolejny problem, który pojawił się podczas pandemii, to brak świadomości na temat cyberbezpieczeństwa wśród uczniów, którzy brali udział w zajęciach szkolnych przez internet. Wiele dzieci posiada dziś adres email. Jego kradzież lub zakup w czarnej sieci przez hakerów wystawia najmłodszych na ryzyko spammingu i phishingu.

Jedna z najważniejszych lekcji, jakie każde dziecko powinno odebrać, to lekcja cyberbezpieczeństwa. Należy zwrócić uwagę na „s” w „https”, sprawdzić, czy przy adresie witryny znajduje się ikona kłódki, odpowiednio zabezpieczyć hasła, nie podawać nikomu adresu email ani danych osobowych podczas wyszukiwania w internecie informacji w ramach zadania domowego.

Mocne hasło i skuteczny program antywirusowy są najważniejsze. Jeśli dziecko ma samodzielny dostęp do swojej skrzynki mailowej, to musi wiedzieć o spamie i phishingu oraz o tym, aby nie otwierać plików z niesprawdzonego źródła. Jeśli dziecko korzysta z urządzenia osoby dorosłej, to dostęp hakera do danych zarówno dziecka jak i rodzica może być katastrofalny w skutkach.

Ochrona przed cyberprzestępczością

  • Zabezpieczenie hasłem jest konieczne. Przeczytaj nasz blog o idealnej długości hasła.
  • Jeśli nie rozpoznajesz nadawcy maila, usuń go.
  • Nigdy nie pobieraj pliku załączonego do wiadomości od nieznanego nadawcy. Może to być ransomware, który zablokuje komputer w celu wyłudzenia płatności.
  • Nigdy nie klikaj na link w podejrzanej wiadomości. Dla przykładu, jeśli otrzymasz email, w którym hakerzy podają się za Amazon lub PayPal (cyberprzestępcy często to robią), instruujący, aby np. dokończyć jakąś transakcję, należy zamknąć wiadomość i zalogować się bezpośrednio na stronie internetowej Amazon lub PayPal. Nigdy nie loguj się za pośrednictwem linku w mailu, ponieważ w ten sposób hakerzy zdobędą Twoje dane do logowania.
  • Zawsze miej zainstalowany program antywirusowy!
  • Jeśli masz dzieci lub wnuki, zamieść listę zasad bezpieczeństwa w sieci przy ich komputerze i zachęć do tego, aby w razie wątpliwości prosili o pomoc.