Czym jest wiadomość phishingowa? Jak rozpoznać
E-mail phishingowy to oszukańcza wiadomość mająca na celu oszukanie odbiorców, by ujawnili poufne informacje, jak hasła czy numery kart kredytowych. Takie e-maile często naśladują wiarygodne źródła, takie jak banki czy popularne strony internetowe, aby wyglądały na godne zaufania. Ich celem jest wykorzystanie zaufania osoby do tych instytucji, skłaniając ją do podania danych osobowych, kliknięcia w złośliwe linki lub pobrania załączników zawierających złośliwe oprogramowanie.
Kluczowe wskaźniki wiadomości phishingowych obejmują ogólne pozdrowienia, błędy ortograficzne i gramatyczne (choć nie zawsze) oraz pilny lub grożący język, który naciska na odbiorcę, aby działał szybko.
Podejrzane linki lub załączniki oraz adresy e-mail nadawców, które nie pasują do legalnej organizacji, którą rzekomo reprezentują, są również znakami ostrzegawczymi. Ponadto, prośby o poufne informacje, o które legalne organizacje zazwyczaj nie proszą za pośrednictwem poczty elektronicznej, są czerwoną flagą.
Przykłady wiadomości phishingowych: na co nie dać się nabrać
- Atak phishingowy PayPal: Ten oszustwo polega na wysyłaniu e-maili, które wyglądają na pochodzące z PayPal, często z wiarygodnymi logo i formatowaniem. Zazwyczaj twierdzą, że istnieje problem z kontem odbiorcy i proszą o kliknięcie w link, aby zweryfikować lub zaktualizować informacje o koncie. Link prowadzi do fałszywej witryny PayPal, zaprojektowanej tak, aby wyglądała autentycznie, gdzie ofiary bezwiednie wprowadzają swoje dane logowania, które następnie są kradzione przez oszustów.
- IRS / Oszustwo związane ze zwrotem podatku: W tym ataku phishingowym osoby fizyczne otrzymują wiadomości e-mail, które pozornie pochodzą od IRS. E-maile często stwarzają poczucie pilności, twierdząc, że istnieje problem z podatkami lub zeznaniem podatkowym odbiorcy. Zazwyczaj proszą o podanie danych osobowych i finansowych pod pozorem rozwiązania problemu. Jednak IRS nie inicjuje kontaktu z podatnikami za pośrednictwem poczty elektronicznej w celu uzyskania informacji osobistych lub finansowych.
- OszuUtwió w Google Docs: To oszustwo obejmuje e-maile zapraszające odbiorców do obejrzenia dokumentu w Google Docs. E-mail może wyglądać na pochodzący od kogoś znajomego, co jest częścią oszustwa. Kliknięcie linku w e-mailu nie prowadzi do prawdziwej strony Google Docs, lecz na złośliwą witrynę, która może być zaprojektowana do kradzieży danych logowania do konta Google lub instalacji złośliwego oprogramowania na komputerze ofiary.
- Oszustwa związane z pomocą techniczną: Te wiadomości phishingowe mogą próbować nakłonić użytkownika do kliknięcia wyskakującego okienka, które wygląda jak komunikat o błędzie, na przykład ze strony FTC.gov:
5. Wiadomości phishingowe w mediach społecznościowych: "Is this you in this video?" phishing link scam is a common scam on social media platforms, namely Facebook and Instagram. Jeśli masz włączone powiadomienia, możesz również otrzymać taką wiadomość w swojej skrzynce e-mail. Ma ona na celu wzbudzenie ciekawości użytkownika i skłonienie go do kliknięcia linku w wiadomości.
Co zrobić, jeśli otrzymasz e-maila phishingowego z pytaniem „Czy to Ty w tym filmiku?” z linkiem:
- Usuń i zgłoś podejrzaną wiadomość do Facebooka. Zachowaj spokój, usuń i zgłoś wiadomość. Czasami przychodzą one od prawdziwych kontaktów, których konta zostały zhakowane.
6. E-maile phishingowe z banków: Te wiadomości wyglądają jak oficjalne informacje od Twoich instytucji finansowych. Łatwo jednak zidentyfikować oszustwo, gdy twierdzą, że dokonano nieistniejących transakcji lub proszą o Twoje dane osobowe. Nie klikaj na te linki w celu wypełnienia fałszywych formularzy. W razie wątpliwości skontaktuj się z bankiem, aby potwierdzić problem opisany w wiadomości e-mail.
7. E-maile phishingowe z USPS lub UPS, np. „przesyłka nie mogła zostać dostarczona”: Te e-maile wyglądają, jakby pochodziły od firm kurierskich, takich jak USPS lub UPS i proszą o podanie danych osobowych, ponieważ „przesyłka nie mogła zostać dostarczona”. Unikaj klikania w jakiekolwiek linki i logowania się na fałszywe strony w celu podania swoich informacji. Zwracaj uwagę na literówki i inne podejrzane znaki. Sprawdź kilka przykładów takich e-maili phishingowych z UPS (źródło: https://www.ups.com/assets/resources/webcontent/en_US/fraud_email_examples.pdf):
USPS udostępnił kilka filmów o tym, jak rozpoznać phishingowy e-mail z USPS tutaj: https://www.uspis.gov/news/scam-article/fake-usps-emails
Typowe motywy wiadomości phishingowych
Wiadomości phishingowe, mające na celu nakłonienie odbiorców do ujawnienia poufnych informacji, często mają wspólne motywy:
- Pilność: Wiele wiadomości phishingowych stwarza poczucie pilności, naciskając na szybkie działanie. Może to być twierdzenie, że konto zostanie zamknięte, groźba podjęcia kroków prawnych lub oferta ograniczona czasowo.
- Prośby o podanie danych osobowych: Wiadomości te często zawierają prośby o podanie danych osobowych, takich jak hasła, numery ubezpieczenia społecznego, informacje o kontach bankowych lub numery kart kredytowych.
- Podejrzane linki lub załączniki: Wiadomości phishingowe często zawierają linki lub załączniki, które nadawca zachęca do kliknięcia lub otwarcia. Mogą one prowadzić do złośliwych stron internetowych lub pobrać złośliwe oprogramowanie na urządzenie.
- Sfałszowane informacje o nadawcy: Wiadomości phishingowe mogą wydawać się pochodzić z legalnych źródeł, takich jak banki, agencje rządowe lub znane firmy. Często naśladują one wygląd i sposób działania oficjalnych wiadomości.
- Błędy gramatyczne i ortograficzne: Chociaż nie zawsze tak jest, wiele wiadomości phishingowych zawiera zauważalne błędy ortograficzne i gramatyczne.
- Groźne lub alarmujące wiadomości: Niektóre próby phishingu wykorzystują zastraszanie, takie jak groźba grzywny lub oskarżenie o nielegalne działania, aby sprowokować reakcję.
- Oferty, które są zbyt piękne, aby mogły być prawdziwe: Mogą obiecywać nieoczekiwane korzyści, takie jak wygrana na loterii lub otrzymanie spadku od dalekiego krewnego.
- Niechciane prośby: Wiadomości phishingowe często przychodzą niespodziewanie i mogą dotyczyć usług lub produktów, z których nigdy nie korzystałeś lub konta, którego nigdy nie założyłeś.
Rozpoznanie tych motywów może pomóc w identyfikacji i uniknięciu padnięcia ofiarą oszustw phishingowych.
Dlaczego e-maile phishingowe są niebezpieczne?
Niebezpieczeństwa związane z e-mailami phishingowymi są znaczne. Mogą prowadzić do kradzieży tożsamości, straty finansowej i infekcji złośliwym oprogramowaniem. Ofiary mogą stanąć przed nieautoryzowanymi transakcjami, utratą kontroli nad osobistymi kontami i długoterminowymi szkodami dla ich historii kredytowej. Osobiste skutki tych zagrożeń to stres, utrata prywatności i potencjalne problemy prawne, jeśli czyjaś tożsamość zostanie wykorzystana do nielegalnych działań.
Co się stanie, jeśli otworzysz wiadomość phishingową?
Samo otwarcie e-maila phishingowego zazwyczaj nie wystarczy, aby zagrozić komputerowi wirusami lub złośliwym oprogramowaniem. Te szkodliwe elementy są zazwyczaj uruchamiane, gdy pobierasz załącznik lub klikasz link w e-mailu. Jednakże otwarcie e-maila może powiadomić nadawcę, że twój adres e-mail jest aktywny, co potencjalnie prowadzi do większej ilości prób phishingowych. Ważne jest, aby być czujnym i unikać interakcji z jakąkolwiek podejrzaną zawartością takich e-maili.
Kliknąłeś w link phishingowy? Oto, co zrobić
Zachowaj spokój: Nie panikuj, ale podejmij natychmiastowe działania.
- Odłącz: Odłącz urządzenie od Internetu, aby zapobiec dalszym uszkodzeniom lub kradzieży danych.
- Skanowanie w poszukiwaniu wirusów i złośliwego oprogramowania: Uruchom bezpłatne skanowanie w poszukiwaniu wirusów tutaj.
- Zmień wszystkie hasła do swoich kont: Poczta e-mail, media społecznościowe, aplikacje bankowe - wszystkie loginy, o których możesz pomyśleć. Jeśli potrzebujesz wskazówek dotyczących silnego hasła - sprawdź naszgenerator haseł.
- Monitorowanie ekspozycji w ciemnej sieci: oto świetne narzędzie - skanowanie śladów cyfrowych.
Co się stanie, jeśli odpowiesz na wiadomość phishingową?
Odpowiadanie na wiadomości phishingowe jest ryzykowne z kilku oczywistych powodów. Nawet jeśli wiesz, że jest to fałszywa wiadomość e-mail, odpowiadanie na nią może prowadzić do większych kłopotów. Większość ataków phishingowych jest przeprowadzana automatycznie, a gdy odpowiesz, znajdziesz się na celowniku oszustów. Pamiętaj, że ci cyberprzestępcy są często zaangażowani w nielegalne działania i mogą być szkodliwi.
Po pierwsze, jeśli odpowiesz na wiadomość phishingową, przypadkowo przekażesz oszustowi swój osobisty lub firmowy podpis e-mail. Podpis ten zwykle zawiera numery telefonów i inne szczegóły, które oszust może wykorzystać do tworzenia bardziej przekonujących fałszywych wiadomości e-mail, aby oszukać Ciebie i innych.
Po drugie, gdy odpowiadasz, informujesz oszusta, że Twój e-mail jest w użyciu. Sprawia to, że stajesz się większym celem przyszłych oszustw. Twój adres e-mail może nawet zostać sprzedany innym cyberprzestępcom.
Wreszcie, dane techniczne wiadomości e-mail mogą zdradzić lokalizację użytkownika. Oznacza to, że oszuści mogą dowiedzieć się, gdzie jesteś, co zwiększa ryzyko.
Zgłoś wiadomość phishingową
Zgłaszanie prób phishingu jest kluczowym krokiem w ochronie siebie i innych przed oszustwami internetowymi. Federalna Komisja Handlu, amerykańska agencja rządowa odpowiedzialna za ochronę konsumentów, oferuje platformę do zgłaszania phishingu. Pomaga to w śledzeniu i ograniczaniu takich oszustw.
Aby zgłosić incydent phishingu:
- Jeśli otrzymałeś wiadomość phishingową, możesz przesłać ją do Anti-Phishing Working Group na adres e-mail reportphishing@apwg.org.
- W przypadku phishingu za pośrednictwem wiadomości tekstowej, przekieruj wiadomość na numer 7726, który odpowiada "SPAM" na większości klawiatur telefonicznych.
- Na koniec możesz również zgłosić próbę phishingu bezpośrednio do FTC. Można to zrobić za pośrednictwem ich strony internetowej ReportFraud.ftc.gov.
Każdy raport przyczynia się do walki z tymi nieuczciwymi działaniami, pomagając FTC i innym organizacjom w śledzeniu i powstrzymywaniu oszustów.
Czy nadawcy e-maili phishingowych ponoszą konsekwencje prawne?
Nadawcy wiadomości phishingowych ponoszą konsekwencje prawne wynikające z różnych przepisów dotyczących ochrony konsumentów. W wielu krajach phishing jest uznawany za przestępstwo, a jego sprawcy mogą być ścigani za oszustwa, kradzież tożsamości i cyberprzestępstwa. Dokładne kary różnią się w zależności od jurysdykcji, ale mogą obejmować wysokie grzywny i karę pozbawienia wolności.