Phishing - jak rozpoznać fałszywe maile i SMS-y

Phishing to najczęstszy rodzaj cyberataku. Przestępcy podszywają się pod znane firmy - banki, kurierów, urzędy - żeby wyłudzić dane logowania, numery kart lub zainfekować komputer. Rocznie Polacy tracą miliony złotych przez te oszustwa.

Jak działa phishing?

1. Otrzymujesz wiadomość (email, SMS) wyglądającą oficjalnie
2. Wiadomość wywołuje emocje: strach, pilność, ciekawość
3. Klikasz link prowadzący do fałszywej strony
4. Podajesz dane, które trafiają do przestępców

Najczęstsze scenariusze w Polsce

"Dopłata do paczki"

"Twoja przesyłka czeka. Dopłać 1,50 zł aby odebrać: [link]"

Prawda: Firmy kurierskie nie wysyłają SMS-ów z prośbą o dopłatę przez podejrzane linki.

"Zablokowane konto bankowe"

"Wykryliśmy podejrzaną aktywność. Zaloguj się aby odblokować: [link]"

Prawda: Bank nigdy nie prosi o logowanie przez link w mailu/SMS.

"Zwrot podatku"

"Przysługuje Ci zwrot 847 zł. Kliknij aby odebrać: [link]"

Prawda: Urząd Skarbowy nie wysyła takich wiadomości.

"Faktura do opłacenia"

"W załączniku faktura VAT do opłacenia. [załącznik .zip]"

Prawda: Nieoczekiwane faktury to często malware w załączniku.

Jak rozpoznać phishing?

1. Sprawdź nadawcę

• Najedź na adres email - czy to oficjalna domena?
• mbank.pl vs mbank-secure.xyz - różnica!
• SMS z numeru +48 123 456 789 zamiast nazwy firmy

2. Szukaj błędów językowych

• Literówki, dziwna składnia, automatyczne tłumaczenie
• "Szanowny Klient" zamiast Twojego imienia
• Mieszanie polskiego z angielskim

3. Pilność i groźby

• "Masz 24 godziny albo konto zostanie usunięte"
• "Natychmiastowa akcja wymagana"
• "Jeśli nie zapłacisz, sprawa trafi do sądu"

4. Podejrzane linki

• Najedź myszką BEZ klikania - sprawdź dokąd prowadzi
• Skrócone linki (bit.ly, tinyurl) to czerwona flaga
• HTTPS nie gwarantuje bezpieczeństwa - oszuści też je mają

5. Prośba o dane wrażliwe

• Bank NIGDY nie pyta o hasło przez email/SMS
• Nikt nie potrzebuje kodu CVV z karty przez telefon
• PESEL, hasła, kody SMS - nie podawaj!

Co zrobić gdy otrzymasz podejrzaną wiadomość?

1. Nie klikaj w żadne linki
2. Nie otwieraj załączników
3. Nie odpowiadaj na wiadomość
4. Zweryfikuj dzwoniąc na oficjalny numer (nie ten z wiadomości!)
5. Zgłoś phishing na cert.pl lub do banku

Co zrobić jeśli kliknąłeś?

Podałeś dane logowania do banku:

1. Natychmiast zadzwoń do banku i zablokuj konto
2. Zmień hasła do bankowości
3. Sprawdź historię transakcji

Podałeś dane karty:

1. Zadzwoń do banku - zastrzeż kartę
2. Sprawdź transakcje
3. Rozważ zgłoszenie na policję

Pobrałeś załącznik:

1. Odłącz komputer od internetu
2. Uruchom skanowanie antywirusowe
3. Rozważ pomoc specjalisty

Jak się chronić na przyszłość?

• Weryfikuj przez oficjalne kanały - zadzwoń do banku, zaloguj się przez oficjalną stronę
• Używaj menedżera haseł - inne hasło do każdego serwisu
• Włącz 2FA - dodatkowe potwierdzenie logowania
• Aktualizuj oprogramowanie - łatki bezpieczeństwa są ważne
• Bądź podejrzliwy - jeśli coś wydaje się zbyt pilne, sprawdź dwa razy

Phishing przez telefon (vishing)

Oszuści dzwonią podszywając się pod:

• Pracownika banku
• Policjanta
• Konsultanta Microsoft

Pamiętaj:

• Bank NIGDY nie prosi o instalację programów
• Policja nie informuje o śledztwach przez telefon
• Microsoft nie dzwoni z powodu "wirusa na komputerze"

Podsumowanie

Phishing opiera się na emocjach i pośpiechu. Zawsze:

• Zatrzymaj się i pomyśl
• Zweryfikuj przez oficjalny kanał
• Nie podawaj danych przez linki w wiadomościach

Masz wątpliwości co do otrzymanej wiadomości? Skontaktuj się z nami - pomożemy ocenić czy to oszustwo.