Phishing – Czym jest, jak nie dać się oszukać i gdzie zgłaszać oszustwa?

Phishing to jedno z najczęstszych oszustw internetowych, z którym może spotkać się każdy użytkownik poczty e-mail, telefonu, bankowości internetowej, portali społecznościowych i komunikatorów. Przestępcy podszywają się pod znane firmy, banki, urzędy, firmy kurierskie, operatorów płatności, a czasem nawet pod znajomych. Ich cel jest prosty. Chcą wyłudzić dane, pieniądze, dostęp do konta albo nakłonić Cię do kliknięcia w link, otwarcia załącznika lub zeskanowania kodu QR.

Największe zagrożenie polega na tym, że phishing nie zawsze wygląda podejrzanie na pierwszy rzut oka. Wiadomość może mieć poprawne logo, wiarygodny ton i informację, która wywołuje pośpiech. Może dotyczyć dopłaty do przesyłki, blokady konta, pilnej płatności, rzekomego problemu z bankiem albo prośby od znajomego o kod BLIK. Dlatego warto wiedzieć, jak działa phishing, skąd oszuści mogą mieć Twój adres e-mail, jak rozpoznać fałszywą wiadomość i co zrobić, gdy zorientujesz się, że kliknąłeś podejrzany link.

Ten artykuł jest rozwinięciem naszego filmu na kanale YouTube. Zachęcam do obejrzenia:

Streszczenie artykułu:

• Phishing to oszustwo polegające na podszywaniu się pod zaufaną osobę, firmę lub instytucję w celu wyłudzenia danych, pieniędzy albo dostępu do konta.
• Najczęściej występuje w wiadomościach e-mail, SMS-ach, rozmowach telefonicznych, komunikatorach, mediach społecznościowych i kodach QR.
• Oszuści wykorzystują presję czasu, strach, ciekawość, fałszywe okazje, małe dopłaty i podobne do prawdziwych adresy stron.
• Twój adres e-mail może pochodzić z wycieku danych, publicznych katalogów, stron firmowych, mediów społecznościowych albo automatycznego zgadywania adresów.
• Nigdy nie loguj się do banku, poczty ani panelu firmowego z linku w wiadomości. Wejdź ręcznie na stronę albo użyj oficjalnej aplikacji.
• Podejrzenie phishingu warto zgłosić do CERT Polska, a podejrzane SMS-y można przekazywać na numer 8080.

Artykuł jest przeznaczony dla osób, które korzystają z internetu na co dzień i chcą bezpieczniej używać poczty, telefonu, bankowości elektronicznej, portali zakupowych oraz mediów społecznościowych. Przyda się także pracownikom firm, właścicielom biznesów i osobom odpowiedzialnym za dane klientów, ponieważ phishing często uderza zarówno w użytkowników prywatnych, jak i całe organizacje.

Czym jest phishing i jak działa?

Phishing to rodzaj cyberataku oparty na oszustwie i manipulacji. Przestępca podszywa się pod zaufanego nadawcę, aby nakłonić ofiarę do wykonania konkretnej czynności. Może chodzić o kliknięcie linku, pobranie pliku, podanie loginu i hasła, wpisanie danych karty płatniczej, przekazanie kodu BLIK albo potwierdzenie operacji.

Nazwa phishing kojarzy się z angielskim słowem fishing, czyli łowieniem ryb. To trafne porównanie, ponieważ oszust przygotowuje przynętę, wysyła ją do wielu osób albo do starannie wybranej ofiary i liczy, że ktoś zareaguje pod wpływem emocji. Taką przynętą może być informacja o blokadzie konta, niedopłacie za paczkę, wygranej nagrodzie lub rzekomym zagrożeniu.

W phishingu najważniejszym celem nie jest złamanie zabezpieczeń urządzenia, lecz oszukanie człowieka. Cyberprzestępca wykorzystuje zaufanie do znanej marki, autorytetu lub znajomej osoby. Wiadomość może wyglądać profesjonalnie, a fałszywa strona może bardzo przypominać prawdziwy panel logowania do banku, poczty, sklepu albo serwisu ogłoszeniowego.

Typowy scenariusz wygląda prosto. Odbiorca dostaje wiadomość, klika link i trafia na stronę, która wygląda niemal identycznie jak prawdziwa. Następnie wpisuje login, hasło, dane karty lub kod autoryzacyjny. W tym momencie dane trafiają do oszustów, którzy mogą przejąć konto, wykonać transakcję albo wykorzystać dostęp do kolejnych ataków.

Polecam: Zabezpieczenia WordPress – jak skutecznie chronić swoją stronę?

Co może się stać po kliknięciu w fałszywy link?

Samo kliknięcie w link nie zawsze oznacza natychmiastową utratę pieniędzy, ale nigdy nie należy go lekceważyć. W wielu przypadkach najgroźniejszy jest kolejny krok, czyli wpisanie danych, pobranie pliku, uruchomienie aplikacji albo potwierdzenie operacji. Mimo to część stron może próbować automatycznie pobrać złośliwy plik lub wykorzystać podatności urządzenia.

Jednym z najpoważniejszych skutków jest przejęcie poczty e-mail. To szczególnie groźne, ponieważ poczta często służy do resetowania haseł w innych usługach. Jeśli przestępca przejmie skrzynkę, może próbować odzyskać dostęp do kont społecznościowych, sklepów internetowych, paneli firmowych, chmury, a nawet usług finansowych.

Przejęte konto może zostać wykorzystane do wysyłania kolejnych oszustw. Wiadomość wysłana z prawdziwego adresu znajomego, pracownika lub kontrahenta wygląda dużo bardziej wiarygodnie niż przypadkowy spam. To dlatego jedno przejęte konto może prowadzić do kolejnych prób wyłudzeń.

Możliwa jest również utrata pieniędzy z konta lub karty. Oszust może użyć danych płatniczych, nakłonić ofiarę do zatwierdzenia przelewu albo przejąć dane logowania do bankowości. W innym scenariuszu ofiara instaluje złośliwe oprogramowanie, które wykrada kolejne dane albo daje przestępcy dostęp do urządzenia.

Jakie są najczęstsze rodzaje phishingu?

Phishing może przyjmować różne formy, ponieważ oszuści wykorzystują te kanały komunikacji, z których korzystamy najczęściej. Dawniej dominowały fałszywe wiadomości e-mail, ale dziś równie groźne są SMS-y, telefony, komunikatory, media społecznościowe i kody QR. Każdy z tych kanałów może zostać użyty do wyłudzenia danych.

Najbardziej znany jest phishing e-mailowy. Polega na wysyłaniu wiadomości udających korespondencję z banku, sklepu internetowego, firmy kurierskiej, operatora płatności, urzędu albo platformy społecznościowej. W wiadomości zwykle znajduje się link do fałszywej strony lub załącznik, który może zawierać złośliwe oprogramowanie.

Coraz częściej spotykany jest smishing, czyli phishing prowadzony przez SMS. Taka wiadomość może informować o dopłacie do paczki, nieopłaconej fakturze, mandacie, subskrypcji albo konieczności potwierdzenia danych. Link w SMS-ie często jest skrócony albo wygląda podobnie do prawdziwego adresu znanej firmy.

Inną odmianą jest vishing, czyli oszustwo telefoniczne. Przestępca może udawać konsultanta banku, pracownika urzędu, policjanta lub dział bezpieczeństwa. Rozmowa jest prowadzona tak, aby wywołać presję i skłonić ofiarę do podania danych, zainstalowania aplikacji albo wykonania przelewu.

Skąd oszuści mają Twój adres e-mail?

Wiele osób zastanawia się, skąd oszust zna ich adres e-mail, skoro nie podawały go w podejrzanych miejscach. Odpowiedź jest zwykle mniej tajemnicza, niż się wydaje. Adres mógł trafić do bazy przestępców z wielu źródeł, często bez bezpośredniej winy użytkownika.

Pierwszym źródłem są wycieki danych. Jeżeli adres e-mail był używany w sklepie internetowym, aplikacji, forum, serwisie społecznościowym albo usłudze online, mógł znaleźć się w bazie, która kiedyś wyciekła. Takie bazy bywają później sprzedawane, kopiowane i wykorzystywane do masowych kampanii.

Drugim źródłem jest automatyczne zbieranie adresów z internetu. Boty skanują strony firmowe, katalogi, fora, ogłoszenia i publiczne profile, wyszukując wszystko, co wygląda jak adres e-mail. Jeśli adres znajduje się na stronie kontaktowej, w stopce dokumentu, opisie profilu albo publicznym komentarzu, może zostać zapisany w takiej bazie.

Trzecim sposobem jest zgadywanie adresów. Jeśli firma używa prostego schematu, na przykład imie.nazwisko@firma.pl albo biuro@firma.pl, przestępcy mogą generować wiele kombinacji i sprawdzać, które skrzynki istnieją. Takie działanie jest zautomatyzowane i może objąć tysiące adresów.

Czwartym źródłem są media społecznościowe i publiczne informacje. Oszust nie musi znać hasła, aby przygotować przekonującą wiadomość. Wystarczy, że wie, gdzie pracujesz, czym się zajmujesz, z kim współpracujesz albo jakich usług używasz. Dzięki temu może stworzyć wiadomość, która wygląda bardziej naturalnie i wiarygodnie.

Polecam: Jak wybrać dobrą agencję SEO? 10 rzeczy, które musisz sprawdzić przed podpisaniem umowy

Jak rozpoznać wiadomość phishingową?

Fałszywa wiadomość często próbuje wywołać natychmiastową reakcję. Oszust chce, aby odbiorca nie analizował szczegółów, tylko kliknął, zapłacił, podał dane albo wykonał polecenie. Dlatego jednym z najważniejszych sygnałów ostrzegawczych jest presja czasu. Komunikaty w stylu masz 15 minut, ostatnia szansa lub konto zostanie zablokowane powinny wzbudzić ostrożność.

Warto dokładnie sprawdzić nadawcę. Adres e-mail może różnić się od prawdziwego jedną literą, dodatkowym słowem albo dziwną domeną. Trzeba jednak pamiętać, że sam wygląd nadawcy nie daje pełnej gwarancji bezpieczeństwa. Oszuści potrafią maskować nadawcę tak, że wiadomość wygląda, jakby przyszła z prawdziwej skrzynki.

Sygnałem ostrzegawczym jest podejrzany link. Najczęściej znajduje się pod przyciskiem w stylu aktywuj konto, zatwierdź wysyłkę, odbierz płatność albo potwierdź dane. Na komputerze można najechać kursorem na link i sprawdzić, dokąd naprawdę prowadzi. Jeśli adres nie jest oficjalną stroną firmy, banku lub usługi, nie klikaj.

Trzeba uważać także na kody QR. Są sprytne, ponieważ nie widzisz od razu, jaki adres ukrywają. Kod QR w mailu, załączniku, fałszywej fakturze albo na wydruku może prowadzić do strony wyłudzającej dane dokładnie tak samo jak zwykły link.

Najczęstsze oznaki phishingu:

• wiadomość wymaga szybkiego działania i straszy konsekwencjami.
• link prowadzi do adresu, który tylko udaje prawdziwą stronę.
• nadawca jest nieznany albo jego adres wygląda nietypowo.
• załącznik lub kod QR pojawia się bez wcześniejszego kontekstu.
• treść obiecuje nagrodę, zwrot pieniędzy lub wyjątkową okazję.
• wiadomość prosi o login, hasło, kod BLIK, dane karty, PESEL lub skan dokumentu.
• styl wiadomości nie pasuje do firmy, osoby lub instytucji, którą rzekomo reprezentuje nadawca.

Dobrą zasadą jest ręczne wpisywanie adresu strony w przeglądarce zamiast klikania linku z wiadomości. Jeżeli chodzi o bank, urząd, sklep, pocztę lub konto społecznościowe, wejdź na stronę samodzielnie i sprawdź komunikaty po zalogowaniu. Nie podawaj danych na stronie otwartej z podejrzanego linku.

Dlaczego mała dopłata bywa skuteczną pułapką?

Jednym z najczęstszych scenariuszy phishingu jest niewielka dopłata. Może chodzić o paczkę, rachunek za prąd, mandat, subskrypcję, zaległość podatkową albo opłatę w wysokości kilku złotych. Kwota jest tak mała, że wiele osób nie analizuje sytuacji i chce po prostu szybko zamknąć temat.

To właśnie jest siła tej metody. Oszustowi nie chodzi o kilka złotych. Chodzi o dane karty, login do banku, kod autoryzacyjny albo dostęp do konta. Ofiara myśli, że płaci drobną kwotę, a w rzeczywistości przekazuje informacje, które mogą posłużyć do znacznie większej kradzieży.

Tego typu wiadomości działają, ponieważ łączą pośpiech z codzienną rutyną. Wiele osób faktycznie czeka na paczki, płaci rachunki, korzysta z subskrypcji i robi zakupy online. Oszustwo wtapia się więc w normalne życie użytkownika. Im bardziej zwyczajna wydaje się wiadomość, tym łatwiej ją przeoczyć.

Dlatego każdą prośbę o dopłatę warto sprawdzić poza wiadomością. Wejdź do oficjalnej aplikacji firmy kurierskiej, banku lub sklepu. Sprawdź status zamówienia ręcznie. Jeśli wiadomość jest prawdziwa, informacja powinna być widoczna także w oficjalnym panelu.

Jakie przykłady phishingu pojawiają się najczęściej?

Phishing często podszywa się pod sytuacje, które użytkownik zna z codziennego życia. Jednym z przykładów są fałszywe strony serwisów zakupowych i ogłoszeniowych. Oszust może udawać kupującego albo sprzedającego, wysyłając link do rzekomego odbioru pieniędzy, potwierdzenia płatności albo finalizacji transakcji.

Popularne są także fałszywe strony logowania do znanych platform. Mogą udawać sklep, portal rezerwacyjny, bank, pocztę, firmę kurierską lub konto społecznościowe. Strona wygląda znajomo, ale jej adres jest fałszywy. Po wpisaniu danych trafiają one do przestępcy.

Innym schematem są fałszywe inwestycje. Przestępcy podszywają się pod znane marki, media, spółki, instytucje publiczne albo osoby kojarzone z autorytetem. Ofiara ma wpłacić pieniądze w rzekomo bezpieczny i zyskowny projekt. Problem pojawia się wtedy, gdy próbuje wypłacić środki.

W firmach częste są wiadomości podszywające się pod księgowość, kancelarię, kontrahenta, przełożonego albo dział techniczny. Oszust może prosić o pilny przelew, zmianę numeru rachunku na fakturze, otwarcie dokumentu albo potwierdzenie danych dostępowych. Takie ataki mogą być bardzo kosztowne, ponieważ wykorzystują presję pracy i zaufanie do relacji biznesowych.

Dlaczego phishing jest tak skuteczny?

Phishing działa, ponieważ wykorzystuje naturalne reakcje człowieka. Strach przed utratą pieniędzy, blokadą konta, karą, niedostarczoną paczką lub problemem w pracy może sprawić, że użytkownik podejmie decyzję zbyt szybko. Oszustwa są projektowane tak, aby ograniczyć czas na zastanowienie i wymusić natychmiastową reakcję.

Drugim ważnym mechanizmem jest zaufanie. Ludzie chętniej klikają wiadomości, które wyglądają jak korespondencja od banku, urzędu, firmy kurierskiej, znanego sklepu albo przełożonego. Przestępcy wiedzą, że rozpoznawalne logo, profesjonalny układ i formalny ton zwiększają wiarygodność fałszywej wiadomości.

Phishing jest groźny także dlatego, że nie wymaga od oszusta zaawansowanego przełamywania zabezpieczeń technicznych. W wielu przypadkach wystarczy przekonać ofiarę, aby sama podała dane. Nawet dobre hasło, nowoczesny telefon i aktualny system nie pomogą, jeżeli użytkownik wpisze login i hasło na fałszywej stronie.

Szczególnie niebezpieczny jest spear phishing. To atak przygotowany pod konkretną osobę lub firmę. Oszust może wcześniej sprawdzić informacje w mediach społecznościowych, na stronie organizacji albo w publicznych bazach. Dzięki temu wiadomość może zawierać imię, stanowisko, nazwę projektu, dane współpracownika lub szczegóły relacji biznesowej.

Jak chronić się przed phishingiem?

Najważniejszą ochroną jest ostrożność przed kliknięciem. Zanim otworzysz link, załącznik albo podasz dane, zatrzymaj się i sprawdź, czy wiadomość ma sens. Nawet jeśli wygląda profesjonalnie, nie traktuj jej jako pewnej tylko dlatego, że zawiera logo znanej firmy. Logo i układ wiadomości można łatwo skopiować.

Najprostsza zasada brzmi: nigdy nie loguj się do banku, poczty ani panelu firmowego z linku w wiadomości. Zawsze wpisz adres ręcznie w przeglądarce albo użyj oficjalnej aplikacji. To jedna z najskuteczniejszych metod ograniczenia ryzyka.

Warto korzystać z uwierzytelniania dwuskładnikowego lub wieloskładnikowego. Dzięki temu samo hasło nie wystarczy do przejęcia konta. To nie daje stuprocentowej ochrony, ale znacząco utrudnia działanie przestępcom. Szczególnie ważne jest zabezpieczenie poczty e-mail, bankowości, kont społecznościowych i systemów firmowych.

Dobrym nawykiem jest także używanie menedżera haseł. Menedżer może pomóc tworzyć silne i unikalne hasła dla różnych serwisów. Jeżeli jedno konto zostanie naruszone, przestępca nie uzyska automatycznie dostępu do wszystkich pozostałych usług. Nie warto używać tego samego hasła w wielu miejscach.

Podstawowe zasady ochrony:

• nie klikaj linków z wiadomości, których się nie spodziewasz.
• nie otwieraj załączników, jeżeli nadawca lub temat budzi wątpliwości.
• nie skanuj kodów QR z nieoczekiwanych wiadomości i załączników.
• sprawdzaj adres strony przed wpisaniem loginu, hasła lub danych karty.
• weryfikuj prośby innym kanałem, na przykład przez oficjalną infolinię.
• włącz 2FA lub MFA wszędzie tam, gdzie to możliwe.
• aktualizuj system i aplikacje, ponieważ złośliwe pliki mogą wykorzystywać podatności.
• nie wysyłaj skanów dokumentów, danych karty ani kodów BLIK osobom, których tożsamości nie potwierdziłeś.

W firmach warto dodatkowo szkolić pracowników i jasno ustalić zasady potwierdzania płatności, zmian numerów rachunków oraz przekazywania danych. Jedna dobrze przygotowana wiadomość do działu finansowego może doprowadzić do poważnych strat, jeżeli organizacja nie ma procedur weryfikacji.

Co zrobić, gdy kliknąłeś podejrzany link?

Kliknięcie podejrzanego linku nie zawsze oznacza, że doszło do kradzieży danych, ale wymaga szybkiej reakcji. Najważniejsze jest to, czy po kliknięciu podałeś login, hasło, kod autoryzacyjny, dane karty, kod BLIK albo pobrałeś plik. Od tego zależy kolejność działań i poziom ryzyka.

Jeżeli tylko otworzyłeś stronę, ale niczego nie wpisałeś, zamknij ją i nie pobieraj żadnych plików. Następnie zaktualizuj system, przeglądarkę i program zabezpieczający, a potem wykonaj skan urządzenia. Jeżeli nie masz programu ochronnego, użyj zaufanego rozwiązania, które pozwoli przeskanować komputer lub telefon.

Jeżeli podałeś dane logowania, natychmiast zmień hasło w prawdziwym serwisie. Najlepiej zrób to z innego, zaufanego urządzenia, ponieważ to, z którego kliknięto link, może być już narażone. Nie zmieniaj hasła przez link z podejrzanej wiadomości.

Po zmianie hasła wyloguj wszystkie aktywne sesje i sprawdź ustawienia konta. Zwróć szczególną uwagę na adres e-mail do odzyskiwania, numer telefonu, metody logowania oraz reguły przekierowania poczty. Przestępcy czasami zmieniają te dane, aby utrudnić odzyskanie konta.

Jeżeli podałeś dane bankowe, karty płatniczej lub kod autoryzacyjny, skontaktuj się z bankiem natychmiast. Poproś o zablokowanie karty, konta lub transakcji, jeśli istnieje takie ryzyko. W przypadku nieautoryzowanej płatności szybka reakcja może zwiększyć szansę na ograniczenie strat.

Najważniejsze działania po incydencie:

• zmień hasła do zagrożonych kont.
• użyj innego, zaufanego urządzenia do zmiany hasła.
• wyloguj aktywne sesje na wszystkich urządzeniach.
• sprawdź dane odzyskiwania konta.
• skontaktuj się z bankiem, jeżeli podano dane płatnicze.
• zablokuj kartę, gdy istnieje ryzyko jej użycia.
• przeskanuj urządzenie pod kątem złośliwego oprogramowania.
• zabezpiecz dowody, czyli wiadomości, zrzuty ekranu, adresy stron i potwierdzenia transakcji.
• zgłoś próbę oszustwa odpowiednim instytucjom.

Co zrobić, jeśli phishing dotyczył skrzynki firmowej?

Jeżeli podejrzana wiadomość trafiła na skrzynkę firmową, sprawa może dotyczyć nie tylko jednego użytkownika. Zagrożone mogą być systemy wewnętrzne, panel strony internetowej, serwer, CRM, poczta innych pracowników, dokumenty firmowe oraz dane klientów. Dlatego incydentu firmowego nie należy rozwiązywać samodzielnie i po cichu.

Pierwszym krokiem powinno być zgłoszenie sprawy administratorowi, działowi IT lub osobie odpowiedzialnej za cyberbezpieczeństwo. Im szybciej firma zareaguje, tym większa szansa na zablokowanie dostępu, zmianę haseł, analizę logów i zatrzymanie dalszej kampanii.

Warto poinformować administratora, czy kliknięto link, wpisano dane, pobrano plik, uruchomiono załącznik albo potwierdzono logowanie. Te informacje są potrzebne do oceny ryzyka. Inaczej wygląda sytuacja po samym otwarciu wiadomości, a inaczej po podaniu hasła do firmowego konta.

Firmy powinny mieć procedurę zgłaszania takich sytuacji. Pracownik nie powinien bać się poinformować o błędzie. W phishingu liczy się czas, a ukrywanie incydentu może doprowadzić do znacznie większych strat niż samo kliknięcie.

Gdzie zgłosić phishing?

Podejrzenie phishingu warto zgłaszać, nawet jeśli nie doszło do straty pieniędzy. Dzięki temu można szybciej blokować fałszywe strony, ostrzegać innych użytkowników i ograniczać skuteczność kampanii oszustów. Zgłoszenie jest szczególnie ważne wtedy, gdy wiadomość podszywa się pod bank, urząd, firmę kurierską lub popularny serwis.

Próbę phishingu można zgłosić do CERT Polska przez formularz na stronie incydent.cert.pl. Podejrzane SMS-y można przekazywać na numer 8080. Warto przesłać całą wiadomość, aby specjaliści mogli przeanalizować link, nadawcę i treść zgłoszenia.

Jeżeli doszło do kradzieży pieniędzy, przejęcia konta lub wyłudzenia danych, nie poprzestawaj na zgłoszeniu technicznym. Skontaktuj się z bankiem, usługodawcą lub administratorem konta, a następnie zgłoś sprawę policji albo prokuraturze. Im szybciej zareagujesz, tym większa szansa na ograniczenie szkód.

Przed zgłoszeniem przygotuj dowody. Zachowaj wiadomości e-mail i SMS-y, wykonaj zrzuty ekranu strony, zapisz adresy URL, numery telefonów, nazwy profili i potwierdzenia transakcji. Nie usuwaj korespondencji, ponieważ może pomóc w analizie i dalszym postępowaniu.

Podsumowanie

Phishing to jedno z najpowszechniejszych zagrożeń w internecie, ponieważ uderza w człowieka, a nie tylko w technologię. Oszust nie musi włamywać się do systemu, jeżeli przekona ofiarę, aby sama podała login, hasło, kod BLIK, dane karty albo zainstalowała szkodliwy plik. Dlatego najskuteczniejszą ochroną jest połączenie czujności, dobrych nawyków i podstawowych zabezpieczeń.

Najważniejsza zasada brzmi prosto. Nie działaj pod presją wiadomości. Gdy e-mail, SMS, telefon, kod QR lub komunikat w mediach społecznościowych wzbudza emocje i wymaga natychmiastowej reakcji, zatrzymaj się. Sprawdź nadawcę, adres strony i sens prośby. W razie wątpliwości skontaktuj się z firmą lub instytucją przez oficjalny kanał, a nie przez link lub numer podany w podejrzanej wiadomości.

Włącz uwierzytelnianie dwuskładnikowe, korzystaj z unikalnych haseł, nie otwieraj nieoczekiwanych załączników i nie przekazuj danych osobom, których tożsamości nie potwierdziłeś. Jeśli podejrzewasz phishing, zgłoś go do CERT Polska. Jeżeli doszło do utraty pieniędzy lub przejęcia konta, natychmiast skontaktuj się z bankiem, usługodawcą oraz odpowiednimi organami. W przypadku skrzynki firmowej zgłoś incydent administratorowi lub osobie odpowiedzialnej za bezpieczeństwo.

FAQ – Najczęściej zadawane pytania

Co to jest phishing?

Phishing to oszustwo internetowe polegające na podszywaniu się pod zaufaną osobę, firmę lub instytucję. Celem jest wyłudzenie danych, pieniędzy, dostępu do konta albo skłonienie ofiary do kliknięcia w niebezpieczny link.

Czy phishing dotyczy tylko wiadomości e-mail?

Nie. Phishing może pojawić się w e-mailach, SMS-ach, rozmowach telefonicznych, komunikatorach, mediach społecznościowych i kodach QR. Oszuści wybierają kanał, który daje im największą szansę na szybką reakcję ofiary.

Skąd oszuści mają mój adres e-mail?

Adres e-mail może pochodzić z wycieku danych, publicznej strony internetowej, katalogu firm, mediów społecznościowych albo automatycznego zgadywania adresów. Sam fakt otrzymania phishingu nie oznacza jeszcze, że ktoś włamał się na Twoje konto.

Jak sprawdzić, czy link jest bezpieczny?

Najpierw sprawdź, dokąd prowadzi link, bez klikania. Na komputerze można najechać kursorem na link i zobaczyć pełny adres. Zwróć uwagę na literówki, dziwne końcówki domen i skrócone adresy. Najbezpieczniej wejść na stronę ręcznie, wpisując jej adres w przeglądarce.

Czy kod QR może być phishingiem?

Tak. Kod QR może prowadzić do fałszywej strony, która wyłudza dane logowania, dane karty albo inne informacje. Nie skanuj kodów QR z wiadomości, załączników i dokumentów, których się nie spodziewasz.

Co zrobić, jeśli podałem hasło na fałszywej stronie?

Natychmiast zmień hasło w prawdziwym serwisie, najlepiej z innego zaufanego urządzenia. Wyloguj aktywne sesje, sprawdź dane odzyskiwania konta, włącz uwierzytelnianie dwuskładnikowe i zmień hasło także w innych miejscach, jeśli było używane ponownie.

Co zrobić, jeśli podałem dane karty lub kod BLIK?

Skontaktuj się jak najszybciej z bankiem. Poproś o zablokowanie karty, konta lub podejrzanej transakcji, jeśli to możliwe. Zachowaj dowody i zgłoś sprawę policji lub prokuraturze, jeżeli doszło do straty pieniędzy.

Gdzie zgłosić podejrzany SMS lub e-mail?

Podejrzane wiadomości można zgłaszać do CERT Polska przez formularz na stronie incydent.cert.pl. Podejrzane SMS-y można przekazać na numer 8080. W przypadku oszustwa finansowego sprawę warto zgłosić także bankowi i policji.

Czym różni się phishing od spear phishingu?

Phishing często jest masową kampanią wysyłaną do wielu osób. Spear phishing jest bardziej precyzyjny i przygotowany pod konkretną osobę lub organizację. Taka wiadomość może zawierać dane, które sprawiają, że wygląda znacznie bardziej wiarygodnie.

Czy samo otwarcie wiadomości phishingowej jest niebezpieczne?

Samo otwarcie wiadomości zwykle nie musi oznaczać infekcji lub kradzieży danych, ale należy zachować ostrożność. Nie klikaj linków, nie pobieraj załączników, nie skanuj kodów QR i nie odpowiadaj na wiadomość. Najlepiej oznacz ją jako spam lub zgłoś jako podejrzaną.