Jak rozpoznawać i unikać 5 rodzajów taktyk phishingowych

Wraz ze wzrostem cen krypto rośnie też liczba prób oszustw. Konta w mediach społecznościowych, e-maile, strony internetowe i wiele więcej jest hakowanych lub po prostu sprytnie podszywanych — to różne formy „phishingu” — w celu wyłudzenia Twoich danych osobowych, a ostatecznie cyfrowych pieniędzy. Dobra wiadomość jest taka, że ochrona siebie i swoich inwestycji krypto nie musi być trudna: wiedząc, na co uważać, kierując się zdrowym rozsądkiem i ufając intuicji, będziesz o krok przed przestępcami. Dlatego Invity przybliża Ci najczęstsze oszustwa phishingowe i sposoby ich unikania.

Czym jest phishing?

Phishing to najczęstszy rodzaj cyberprzestępstwa. Gdy myślimy o przestępstwach w świecie fizycznym, większość z nas wyobraża sobie zamaskowanego mężczyznę z nożem lub pistoletem, używającego zastraszenia lub przemocy, by siłą zabrać to, czego chce. Ten rodzaj cyberprzestępczości opiera się natomiast na oszustwie i nakłanianiu ofiar do dobrowolnego przekazania pieniędzy lub wrażliwych informacji, takich jak hasła. W kontekście oszustw phishingowych można usłyszeć termin „inżynieria społeczna” — opisuje on, jak cyberprzestępcy używają manipulacji psychologicznej, aby skłonić ludzi do tego, czego chcą. Stąd właśnie pochodzi termin „phishing”: przekonująca przynęta jest używana do zwabienia i manipulacji ludźmi, podobnie jak używa się robaka, by złapać rybę w jeziorze lub rzece.

Większość prób phishingu sprowadza się do tej podstawowej definicji, ale ich prawdziwa siła tkwi w wielu różnych kanałach używanych przez cyberprzestępców. Mogą one sprawiać, że ataki wyglądają na unikalne, a nawet godne zaufania, lub po prostu zaskakują przeciętnego człowieka.

Czym jest phishing w mediach społecznościowych?

Media społecznościowe są częścią codziennego życia niemal każdego, a w przestrzeni krypto są szczególnie obecne. Najbardziej wpływowe osobistości Bitcoina w dużej mierze korzystają z osobistych kont na Twitterze — pardon, X — aby dzielić się opiniami i wchodzić w interakcje ze społecznością, a firmy krypto używają miejsc takich jak LinkedIn do dzielenia się aktualnościami o produktach oraz pozyskiwania nowych klientów i partnerów. Niestety, przy miliardach kont i często braku sposobu na weryfikację, kto jest podejrzany, a kto nie, najprostszą techniką phishingu w mediach społecznościowych jest wysyłanie wiadomości prywatnych (DM). Jakieś losowe konto może na przykład napisać do Ciebie, obiecując określoną liczbę nowych obserwujących za niską cenę 5 euro, do zapłaty kartą kredytową. Gdy aspirujący influencer poda dane swojej karty, obciążenie okazuje się wielokrotnie wyższe.

Oszuści mogą też poprosić o wysłanie określonej ilości Bitcoina i poprosić o dane portfela, aby „dopiąć transakcję”. Liczą na to, że osoby niezaznajomione z krypto podadzą seed i/lub klucz prywatny portfela; nie tylko nie są one potrzebne do wykonania transakcji Bitcoin, ale dają przestępcom pełen dostęp do Twoich środków krypto. Jeśli z tego artykułu masz wynieść jedną rzecz, to tę, że nigdy nie powinieneś udostępniać nikomu swojego seeda ani klucza prywatnego.Źródło: www.cyberghostvpn.com

Jak unikać phishingu w mediach społecznościowych

• Nie akceptuj zaproszeń od osób, których nie znasz.
• Nigdy nie udostępniaj nikomu swojego seeda, klucza prywatnego ani hasła do aplikacji portfela.

Czym jest spear phishing?

Istnieją także bardziej wyrafinowani napastnicy, którzy personalizują swoje ataki; gdy próba phishingu jest wymierzona w konkretną osobę lub organizację, nazywa się to spear phishingiem. Mając zaskakująco niewielką wiedzę techniczną, łatwo jest atakującemu utworzyć konto lub całą stronę wyglądającą uderzająco podobnie do prawdziwego konta w mediach społecznościowych, platformy społecznościowej, banku lub dostawcy mediów. Przestępcy zwykle tworzą te witryny w oparciu o duże ilości wyciekłych danych, takich jak nazwiska, numery kont i adresy e-mail prawdziwych klientów. Następnie wysyłają spersonalizowane e-maile, często używając Twojego prawdziwego imienia i innych szczegółów, zwykle twierdząc, że na Twoim koncie wystąpiła nieautoryzowana aktywność.Źródło: www.crowdstrike.com

Jak unikać spear phishingu

• Nigdy nie klikaj na ślepo w linki proszące o dane osobowe.
• Dokładnie sprawdzaj drobne szczegóły. Fałszywe adresy e-mail i strony mogą być bardzo podobne do prawdziwych.
• Używaj unikalnych danych logowania do każdej strony.

Czym jest whaling?

Wytrwali napastnicy potrafią jeszcze bardziej zawęzić cel, polując na „wieloryby” (whales) — wpływowe ofiary i większe łupy. Dzięki cierpliwości i wytrwałości hakerzy często uzyskują nieautoryzowany dostęp do firm, odbierają płatności lub wprowadzają malware do dużych celów.

Jak unikać whalingu

• Nie czyń z siebie celu. Pamiętaj: dobrze jest mówić o Bitcoinie, po prostu nie mów o swoim Bitcoinie.
• Zaufaj intuicji. Jeśli coś wygląda nie tak lub zbyt pięknie, by mogło być prawdą — prawdopodobnie tak jest.

Czym jest smishing?

Smishing, czyli phishing SMS-owy, zwykle wykorzystuje podobne techniki jak phishing na dużą skalę. Jak sama nazwa wskazuje, te próby cyberprzestępstw przychodzą poprzez wiadomości tekstowe na Twoim telefonie.

Źródło: www.proofpoint.com

Jak unikać smishingu

• Nie odpowiadaj na SMS-y od nieznanych lub podejrzanych numerów.
• Aktualizuj system operacyjny telefonu.

Czym jest vishing?

Vishing to także zlepek — „voice phishing” — i również przychodzi przez telefon. W tym oszustwie nie tylko rozmawiasz z prawdziwą osobą, co daje Ci mało czasu na przemyślenie sytuacji, ale cyberprzestępcy są też bardzo utalentowani w tworzeniu sytuacji wymagających pilnego działania.

Jak unikać vishingu

• Zapisz się na listę „nie dzwoń”.
• Nie poddawaj się presji czasu.
• Zaproponuj, że oddzwonisz. Oszuści często stosują „spoofing”, czyli kierują połączenia przez numery, które wyglądają na legalne, ale w rzeczywistości nie należą do nich.