Phishing, smishing, vishing

Według raportu CERT — w 2024 r. odnotowano o 62% więcej zgłoszeń podejrzanych incydentów i o 29% więcej zarejestrowanych incydentów cyberbezpieczeństwa niż w 2023 r. Najwięcej było ataków pishingowych(39%), co wyraźnie uwidacznia kierunek, w którym rozwijają się cyberzagrożenia. Jednak obok pishingu do ataków przestępcy wykorzystują inne formy oszustw — tzw. smishing i vishing. Na czym dokładniepolegają? Jak je rozpoznać – i co najważniejsze – jak się przed nimi chronić? 

 

Definicja phishingu, smishingu i vishingu 

Phishing, smishing i vishing to odmiany oszustw internetowych opartych na podobnej zasadzie – podszywaniu się pod godną zaufania osobę lub instytucję w celu wyłudzenia informacji bądź pieniędzy. 

 

• Phishing wyłudza poufne dane logowania, numery kart kredytowych, dane osobowe lub firmowe za pomocą poczty elektronicznej lub fałszywych stron internetowych.  

 

• Smishing to odmiana phishingu, w której wykorzystywane są wiadomości tekstowe SMS (lub komunikatory mobilne takie jak WhatsApp). 

 

• Vishing polega na wyłudzaniu informacji poprzez rozmowę telefoniczną. Oszuści wydają się znać dane ofiary i odgrywają różne role (np. pracownika banku, policjanta, audytora bezpieczeństwa). Niejednokrotnieudaje im się nawet sprawić, że na wyświetlaczu telefonu pojawia się numer instytucji, pod które się podszywają. 

 

Przykłady phishingu, smishingu i vishingu

W środowisku B2B oszustwa internetowe często przybierają formę ataków ukierunkowanych na konkretne przedsiębiorstwo. Zazwyczaj cyberprzestępca zbiera wcześniej informacje o strukturze organizacji ipartnerach biznesowych czy śledzi profile pracowników w mediach społecznościowych. Dzięki temu tworzy ukierunkowaną i wiarygodną wiadomość (zawierającą np. imię szefa, odniesienie do faktycznego projektu czyfaktury). 

 

Inną formą jest tzw. Business Email Compromise (BEC), kiedy oszust przejmuje kontrolę nad firmową skrzynką e-mail lub perfekcyjnie imituje korespondencję biznesową, aby nakłonić pracowników do wykonaniaprzelewu na konto oszustów. W ten sposób wyłudzono w 2023 r. 2,9 miliarda dolarów (według danych FBI). Globalnie straty finansowe na pewno są wyższe, ponieważ aż 94% organizacji zgłasza tego typu ataki. 

 

Jak więc mogą wyglądać przykładowe scenariusze tych form cyberataków? 

 

• Przykład phishingu. Temat wiadomości: „Pilne: Zweryfikuj swoje konto w celu uniknięcia blokady”. Treść w stylu: „Szanowny Kliencie, wykryliśmy podejrzaną aktywność na Twoim koncie firmowym. Aby zapewnićciągłość usług, prosimy o natychmiastowe zalogowanie się na swoje konto i potwierdzenie danych. Kliknij w poniższy link: Zweryfikuj konto…”. 

 

• Przykład smishingu. Pracownik otrzymuje SMS-a: „[Bank XYZ]: Twoje firmowe konto zostało czasowo zablokowane z powodu podejrzanej aktywności. Aby je odblokować, kliknij w link: http://bankxyz-verif.info lubskontaktuj się z infolinią pod nr 123456789.” 

 

• Przykład vishingu. Do sekretariatu dzwoni osoba podająca się za pracownika działu bezpieczeństwa banku, obsługującego konto firmowe. Rozmówca mówi spokojnym, rzeczowym tonem: „Państwa firma padłaofiarą ataku, ktoś próbuje wykonać nieautoryzowany przelew na dużą kwotę. Musimy pilnie zweryfikować kilka transakcji, inaczej będziemy zmuszeni zablokować konto dla Państwa bezpieczeństwa”. Następnie prosio przekazanie słuchawki osobie odpowiedzialnej za bankowość firmy lub o numer telefonu do działu finansowego. 

 

Znaki ostrzegawcze oszustw

W każdej z powyższych przykładów phishingu, vishingu i smishingu można dostrzec pewne znaki ostrzegawcze, które pozwalają rozpoznać próbę oszustwa. 

 

1. Nieznany lub podejrzany nadawca. Oszuści często tworzą nazwy łudząco podobne do oficjalnych (np. invoice@pay-u.com zamiast invoice@payu.com) albo w SMS-ach ukrywają nadawcę pod nazwą. Przypołączeniach telefonicznych ostrożność budzi telefon z nietypowego numeru (np. zagranicznego) albo gdy rozmówca nie chce podać swoich danych służbowych. 

 

2. Niespodziewana prośba o poufne dane. Żadna poważna instytucja nie prosi nagle o podanie haseł, PIN-ów, pełnych numerów kart płatniczych czy kodów autoryzacyjnych. Jeśli e-mail lub telefon zawiera prośbę o takie informacje, prawie na pewno to oszustwo. Również prośba o przekazanie danych osobowych (PESEL, NIP firmy, danych klientów) powinna zapalić lampkę ostrzegawczą.

 

3. Linki prowadzące do podejrzanych stron. Oszuści często stosują adresy różniące się drobnym szczegółem (literówka, inna końcówka, dodatkowy prefiks). Przykładowo zamiast mojbank.pl może być mojb ank.pl lub mojbank-security.com. Nigdy nie klikaj w link, aby to sprawdzić – wystarczy, że najedziesz na niego myszką. 

 

4. Załączniki niewiadomego pochodzenia, typu .exe, .zip oraz pozornie niewinne PDF-y od rzekomego klienta, którego nie znasz. 

 

5. Błędy językowe i nietypowy styl komunikacji. Trend jednak zanikający ze względu na powszechne wykorzystywanie AI. 

 

6. Nacisk na pośpiech, panikę lub tajemnicę. 

 

7. Nietypowe prośby finansowe, odstające od standardowych procedur, m.in: e-mail od prezesa z innego adresu niż zwykle z prośbą o wykonanie dużego przelewu; wiadomość od kontrahenta informująca o zmianie numeru konta bankowego tuż przed terminem płatności; telefon rzekomo od banku sugerujący przeniesienie środków na „bezpieczne konto techniczne”. 

 

Jak chronić się przed phishingiem?

Warto promować w firmie zasadę ograniczonego zaufania wobec niespodziewanych komunikatów – lepiej założyć, że coś może być oszustwem i upewnić się, że tak nie jest, niż odwrotnie. Nie zapominaj, że w opanowaniu sytuacji możesz liczyć na pomoc partnerów technologicznych. Przykładowo banki mają numer do zgłaszania oszustw, a PayU może przyjąć zgłoszenie podejrzanej transakcji do analizy. Nie wahaj się więcprosić ich o pomoc – mają doświadczenie z podobnymi przypadkami i mogą podsunąć rozwiązania, o których byś nie pomyślał.