Phishing to najpopularniejszy i najgroźniejszy sposób na wyłudzenie danych. Jednak można się przed nim uchronić. Jak nie dać się nabrać na fałszywy „dzwoneczek” w powiadomieniach push?
Powiadomienia push to przydatne narzędzie, które umożliwia odbiorcom bycie stale na bieżąco z ofertami, wiadomościami czy nowościami. Zdobyły popularność niemal we wszystkich branżach, od e-commerce po blogi. Niestety są również wykorzystywane do wyłudzania danych. Jak uchronić się przed atakami cyberprzestępców?
Jak działa phishing?
Phishing jest najprostszym, a jednocześnie najbardziej niebezpiecznym rodzajem ataku cybernetycznego. Wyłudzanie wrażliwych danych nie wymaga szczególnie zaawansowanej wiedzy technicznej. Najsłabszym ogniwem jest w tym przypadku człowiek, który nie sprawdza dokładnie, skąd pochodzą wiadomości mailowe lub powiadomienia push. Zasada działania jest prosta – wystarczy tylko, że odbiorca kliknie w fałszywy link w wiadomości i zostanie przekierowany na zainfekowaną stronę internetową, która wymaga zalogowania. Wówczas wszystkie wpisane dane zostaną przekazane do hakera. Może je wykorzystać na różne sposoby – zrobić przelew z naszego konta, kupić dowolną rzecz lub przejąć konto społecznościowe.
Jak wykryć próbę oszustwa?
Wbrew pozorom rozpoznawanie wiadomości z phishingiem jest stosunkowo proste. Adresy mailowe czy zdania w treści posiadają przeważnie błędy ortograficzne lub stylistyczne. Jest to wynik słabego tłumaczenia z innego języka. W odróżnieniu od prawdziwej wiadomości hakerzy nie podają całego imienia i nazwiska odbiorcy – zwyczajnie nadawcy nie wiedzą, do kogo piszą, mając nadzieję, że odbiorca kliknie w załącznik lub link.
W przypadku powiadomień push z charakterystycznym „dzwoneczkiem” użytkownik musi wyrazić zgodę na otrzymywanie wiadomości z poziomu przeglądarki lub aplikacji. Jednak nie jest to dużym problemem dla hakera. Przykładowo odwracają kolejność działania przycisków „akceptuj” i „odrzuć”. Następnie po uzyskaniu zgody przez użytkownika atakujący zaczyna bombardować go wiadomościami. Subskrybentowi wyświetlają się fałszywe okienka czy kopie popularnych stron internetowych. Bardzo popularne są tak zwane clickbaity, które mają zainteresować internautę samym nagłówkiem, często z kontrowersyjną treścią i skłonić go do kliknięcia w wiadomość.
Inną metodą wyłudzania danych są fałszywe powiadomienia push dotyczące wygranych na loterii. Wystarczy tylko wypełnić ankietę, podając swoje dane. Oszuści wykorzystują również zaufanie konsumentów do swoich urządzeń mobilnych – mogą pokazać fałszywy komunikat o nieodebranym połączeniu lub wskazać na konieczność ponownego zalogowania się do serwisu społecznościowego. W drugim przypadku należy zwrócić uwagę na wygląd aplikacji lub URL strony internetowej.
Jak uchronić się przed atakami cyberprzestępców?
W sieci należy stosować zasadę ograniczonego zaufania. Bardzo ryzykownymi zachowaniami są m.in. odruchowe klikanie w linki i pobieranie plików z nieznanych źródeł. Nawet powiadomienie od firmy kurierskiej, kiedy nie spodziewamy się paczki, może być zwyczajnym oszustwem. Pierwszą linią obrony przed phishingiem jest filtrowanie spamu. Dlatego tak ważne jest, aby zaopatrzyć się w oprogramowanie antywirusowe.
Kolejnym sposobem ochrony jest moduł antyphishingowy, czyli komponent antywirusa sprawdzający strony, na które wchodził użytkownik. Powiadomienia push opatrzone dzwoneczkiem są niezwykle przydatnym narzędziem, dzięki któremu odbiorcy nie umkną żadne istotne informacje. Jednak jak wszystkie narzędzia internetowe, te również mogą paść ofiarą ataku. Zanim klikniemy w link lub wyskakujące okienko, musimy mieć całkowitą pewność, że dane informacje pochodzą z zaufanych źródeł. Dotyczy to zarówno pobieranych aplikacji mobilnych, jak i klikania w nawet z pozoru zaufane linki.
