Phishing - jak nie dać się złowić oszustom?

kwietnia 10, 2015
Wczoraj powiedzieliśmy sobie o tym, czym konkretnie jest tzw. phishing i jakie cechy go charakteryzują. Dzisiaj natomiast powiemy sobie, w jaki sposób można uniknąć stania się ofiarą tego niecnego procederu.

Phishing - co to jest?

Jak już wspomniałam we wczorajszym poście, internetowi oszuści bywają niezwykle sprytni i wyjątkowo podstępni. Dla złowienia ofiary gotowi są chyba na wszystko. Potrafią stworzyć bardzo profesjonalnie wyglądającą stronę internetową, podać bardzo profesjonalnie wyglądający adres e-mail, potrafią przepięknie posługiwać się językiem polskim, mają dar przekonywania, rozsyłają po portalach ogłoszenia wyglądające na stuprocentowo wiarygodne. Mają nawet fikcyjnych pracowników, którzy się z nami "kontaktują". Tyle, że ten rzekomy kontakt to tak naprawdę próba wyłudzenia naszych danych - i w tym jest właśnie cały problem.

A więc stało się: odpowiedzieliśmy na jakieś ogłoszenie znalezione w globalnej sieci, a po jakimś czasie ogłoszeniodawca odpisał, że jest zachwycony naszą ofertą. My się cieszymy, skaczemy wręcz z radości, wszystko wygląda bardzo fajnie. Istnieje jednak kilka takich szczegółów, które powinny wzmóc naszą czujność i zapalić w głowie lampkę ostrzegawczą. Jakie konkretnie są to szczegóły?


  1. Zarówno w mailu, jak i na stronie internetowej rzekomo istniejącej firmy nigdzie nie ma żadnego numeru NIP, REGON ani KRS, nie ma również żadnego konkretnego adresu siedziby firmy, kapitału zakładowego ani nawet numeru telefonu - takie mocno "oficjalne" rzeczy (czyli ogólnie wszystko, co pozwala numerycznie na identyfikację) zazwyczaj zapisane są drobnym drukiem gdzieś tam na dole strony lub w oddzielnej zakładce i w związku z tym nikt aż tak bardzo nie zwraca na nie uwagi, a to poważny błąd. Każdy skupia się na ładnie brzmiącej nazwie, profesjonalnych i motywujących hasłach oraz ślicznej stronie internetowej z uśmiechniętymi ludźmi w garniturach, a przez to naprawdę istotne rzeczy niekiedy umykają uwadze.
  2. Mail jest napisany kompletnie bezosobowo, jakby w ogóle nie do Ciebie -  niby do Ciebie, ale tak bez zwracania się po imieniu, bez zwracania się po nazwisku, nawet bez Pan/Pani, tak jakby kompletnie ignorowali Twoją tożsamość. Owszem, dobre masz wrażenie - ignorują Twoją tożsamość, bo to zwykły mailing. Stosują wyłącznie zwroty ogólne typu: Witaj, dziękujemy za zainteresowanie ogłoszeniem naszej firmy bądź też Twoja oferta zainteresowała nasz zespół, dołącz do nas.
  3. Linki, które rzekomo miały prowadzić do jakichś formularzy, regulaminów czy kwestionariuszy, prowadzą na jakieś zagraniczne strony - do pobrania plików z "niezbędnymi dokumentami" niezbędny okazuje się również np. numer telefonu. Po podaniu wymaganych danych otrzymujesz w końcu dokument, którym może się okazać np. rozporządzenie któregoś ministra sprzed lat. Ewentualnie nie otrzymasz żadnego dokumentu i może nawet wyświetli Ci się informacja, że musisz kliknąć jeszcze tu i tu oraz wziąć udział w smsowym konkursie, subskrypcje płatne już wysłane. No i właśnie zostałeś wrobiony w phishing.
  4. Należy być świadomym faktu, iż na takiej stronie internetowej potrafią być nawet informacje o jakichś spotkaniach, targach i naborach z konkretnymi datami i nazwami - i to naprawdę potrafi zmylić. Daje takie wrażenie, że jest to naprawdę solidna aktywna firma, która ciężko pracuje i ciągle coś robi. Tymczasem tego typu informacje potrafią oni brać... z innych (normalnych) stron internetowych i to, że jakaś tam popularna firma zorganizowała spotkanie, nie jest żadną tajemnicą i wie o tym każdy. Fałszywa firma wstawia o tym informację na swojej stronie sprawiając wrażenie, że ona też bierze w tym udział. A tak naprawdę jest to informacja ogólnodostępna, że ktoś coś tam zorganizował tego i tego dnia. Na screenie jest zamieszczony przykład tego typu nieuczciwej zagrywki - Polska Rada Biznesu rzeczywiście istnieje i jest to normalne stowarzyszenie działające od 1992 roku i faktycznie owo stowarzyszenie zorganizowało taki nabór, natomiast fałszywa firma postanowiła bez skrupułów to wykorzystać i wstawić o nim informację, żeby wyglądać na bardziej wiarygodną w oczach odwiedzających.
    Phishing - jak nie dać się oszukać?
  5. Darmowy skrypt cookies na stronie - zapewne powiecie: no a co w tym złego, że darmowy? Ogólnie to nie jest nic złego, ale poważna firma zajmująca się poważnymi rzeczami, poważnymi sprawami w połączeniu ze stroną mająca darmowy skrypt cookies wygląda... co najmniej dziwnie i podejrzanie. Szczerze, to właśnie było pierwsze, co mi się rzuciło w oczy. Może dlatego, że trochę interesuję się HTML-em. Pomyślałam sobie po prostu: no coś tu nie pasuje, coś tu nie gra, nie współgra, jakoś tak dziwnie to wygląda. Prawda jest taka, że darmowy skrypt cookies to mogę sobie mieć ja, bo prowadzę hobbystyczne amatorskie blogi na blogspocie, natomiast normalna poważna firma to powinna mieć własny skrypt cookies. To jest tak, jakby ktoś prowadził firmę i miał swoją stronę firmową np. na blogu onetowskim. Uśmiać się można do rozpuku i posikać ze śmiechu.
  6. Brak jest linków do referencji rzekomo wystawionych firmie - na stronie jest tylko napis "referencje" oraz informacja, że taka i taka strona publikuje raporty o firmach. I ogólnie faktycznie je publikuje, tyle że ta konkretna firma akurat nie istnieje.
  7. Brak jakichkolwiek ofert, brak danych partnerów, klientów lub kontrahentów - innymi słowy: firma absolutnie samowystarczalna, nie potrzebuje do funkcjonowania nikogo ani niczego. Tylko czy takie firmy w ogóle istnieją? Śmiem wątpić. Czasami nawet taka fałszywa firma coś tam wspomina na swojej stronie o "kluczowych klientach" bądź też o "uznaniu klientów", jednak jakoś nigdzie nie dodaje, kim konkretnie owi klienci są.
  8. Brak strony firmy w wynikach wyszukiwania google - strona ogólnie istnieje, wygląda bardzo profesjonalnie i przecież właśnie przysłali Ci do niej link. Dodajmy dla pewności: działający link. Jednak mimo to klikasz jej nazwę w wyszukiwarkę google i... zero informacji, jakby firma w ogóle nie istniała. Tak, google ma rację: ta firma po prostu nie istnieje.
  9. Brak linków do stron społecznościowych - jeśli chodzi o firmy, to w dzisiejszych czasach brak jakiejkolwiek strony społecznościowej to jest rzecz niebywała, a już na pewno co najmniej nietypowa i godna zastanowienia. Choć oczywiście już przyciski lajkowania mogą mieć - cóż stoi ku temu na przeszkodzie? Wszak przyciski lajkowania też sprawiają dobre wrażenie.
  10. Nie ma absolutnie żadnych informacji w google na temat przedstawiciela firmy, który rzekomo podpisał maila - żadnego powiązania z tą firmą, żadnego profilu na goldenline - nic, nawet profilu na facebooku. Już pewnie domyślasz się, jaki jest powód tego stanu rzeczy. Tak, ta firma po prostu nie istnieje. Analogicznie nie istnieje więc również jej przedstawiciel i dział, w którym jakoby pracuje.
  11. Regulamin na stronie firmy jest opublikowany pod nazwą z dupy wziętą i umiejscowiony tak, żeby ciężko było go znaleźć - a dlaczego? No cóż, zapewne choćby z powodu jednego z punktów, który brzmi dosłownie tak: "Treść wiadomości jest treścią informacyjną (usługą) i nie należy traktować jej poważnie". Że co proszę?!?
  12. Wysyłasz maila na podany adres lub na adres, z którego do Ciebie napisano, jednak po chwili otrzymujesz informację, że ten adres nie istnieje - i to już jest cios ostateczny. Wtedy już wiadomo na 100 procent, że zostałeś nabity w butelkę, zrobiony w bambuko i ogólnie dałeś sobie wcisnąć kit zasilając tym samym grono naiwniaków, z których może przedtem nawet trochę się podśmiewałeś. Teraz już na pewno nie jest Ci do śmiechu, a wręcz przeciwnie.

Najgorsze jest to, że to wszystko odbywa się w granicach prawa. Wszystko zostało tak starannie przemyślane, że jest zgodne z każdym najdrobniejszym przepisem prawnym. Regulamin jest? Jest! Jest w nim mowa, że to oszustwo? Jest! Są jakieś linki na zewnątrz, jacyś fałszywi kontrahenci? Nie ma! Nie jest nawet raz podane, że to firma zajmująca się tym i tym, żeby nikt nie mógł ich zaskarżyć o propagowanie fałszywych informacji. Jest po prostu zbiór mnóstwa pięknych hasełek, nie ma tekstu, że ta firma konkretnie tym się zajmuje. To aż ciężko uwierzyć, że można aż tak precyzyjnie zaplanować oszustwo w internecie, nawet własne logo stworzyli. Ja nawet nie mogę oficjalnie nazwać ich oszustami, bo w świetle prawa oni oszustami wcale nie są. Bazują po prostu na takich naiwniakach i desperatach jak ja, wiedząc, że teraz są niezwykle ciężkie czasy. Mają świadomość, że desperat lub naiwniak we wszystko kliknie i poda wszystkie informacje na swój temat, jakich tylko zażądają. A później nagle: Ha, ha! Sorry, ale przecież to nie było na poważnie.

Oficjalnie nie mogę nazwać ich oszustami, bo oficjalnie oni działają zgodnie z prawem. Nie mogę więc podać nazwy ani strony tej firmy. Gdybym to zrobiła, oni w razie czego mieliby prawo oddać mnie do sądu za zniesławienie i nie wiadomo, co jeszcze. Chciałam po prostu opisać tutaj, jak perfidnie potrafią manipulować ludźmi takie "firmy", może po przeczytaniu tego posta będziecie w przyszłości mądrzejsi niż ja i nie popełnicie tych samych błędów, które ja popełniłam.

Jak widać phishing nie musi ograniczać się do prymitywnego rozsyłania mailingu o treści "proszę przysłać PIN do konta, bank taki i taki, gryzipiórekxxx@mailzdupy.pl". Phishing może być równie dobrze precyzyjnie zaplanowaną do każdego szczegółu akcją. Adres mailowy wygląda normalnie, wiadomość wygląda wiarygodnie i poprawnie, strona internetowa wygląda profesjonalnie i ogólnie wszystko wydaje się być w porządku. Dopiero po jakimś czasie i po dokładnym przyjrzeniu się detalom, z pozoru nieistotnym drobiazgom, dostrzeżemy, że właśnie oto padliśmy ofiarą podłego oszustwa.

Oby w przyszłości jak najmniej było tego rodzaju sytuacji. Dobrej nocy życzę.
2013 © Introwertyczka w sieci. Obsługiwane przez usługę Blogger.