Uwaga! Phishing. Nie daj się oszukać!

Cyfrowe zagrożenia są tak samo niebezpieczne jak te, na które napotykamy w codziennym życiu, a często zdarza się, że bywają dużo bardziej podstępne. W sieci możemy być mniej uważni, z czego chętnie korzystają cyberprzestępcy. Zwykle też nie znamy dokładnych schematów działania internetowych oszustów, którzy żerują na niewiedzy. Jednym z najpopularniejszych typów ataków online jest tzw. phishing. Próba wyłudzenia danych zaczyna się niewinnie: od fałszywej wiadomości od banku, prośby o potwierdzenie hasła, kuszącego linku z nagrodą. Jak skutecznie się przed nim chronić, zwłaszcza jeżeli prowadzisz sklep internetowy? Sprawdź!

Czym jest phishing i jak działa?

Czy dostałeś kiedyś podejrzaną wiadomość SMS lub e-maila, w którym zostałeś poproszony o kliknięcie w link, by potwierdzić swoje dane, sprawdzić, gdzie jest przesyłka albo zobaczyć komunikat od banku? To właśnie phishing, czyli znana metoda oszustwa internetowego, mająca na celu wyłudzenie od użytkowników poufnych informacji, takich jak dane logowania, numery kart czy szczegóły dotyczące kont bankowych. Działa na zasadzie manipulacji i podszywania się pod zaufane instytucje oraz firmy – najczęściej właśnie banki, platformy społecznościowe, sklepy internetowe czy dostawców przesyłek. Cyberprzestępcy tworzą fałszywe wiadomości oraz strony, do złudzenia przypominające oryginalne serwisy. Im bardziej autentyczna witryna, tym większa szansa, że oszustwo się uda. Odbiorca jest proszony o kliknięcie w link, a następnie o „zalogowanie się” lub „potwierdzenie” swoich danych. To bardzo sprytna forma przestępstwa, jednak większości z nich – na szczęście – daleko do zbrodni doskonałych. Jeżeli będziemy mieli z tyłu głowy, że phishing może nas dotknąć, zaczniemy bardziej uważać na tego typu wiadomości, a z czasem rozpoznawanie oszustw przyjdzie dużo łatwiej.

Zobacz też: Ataki cyberprzestępców w 2024 roku. Czy Twojej firmie grozi wykradnięcie danych?

Przykład phishingu – na co uważać jako przedsiębiorca?

Dobrym przykładem phishingu dotykającego internetowych przedsiębiorców może być sytuacja, w której cyberprzestępcy podszywają się pod renomowaną kancelarię prawniczą, rozsyłając wiadomości e-mail z informacją o naruszeniu praw autorskich do grafik i muzyki publikowanych w mediach społecznościowych. Wymagana była weryfikacja, a po pobraniu załącznika oszuści przejmowali kontrolę nad firmowym kontem Facebookowym. Następnie uruchamiali reklamy na obce konto, a właściwe konto było blokowane. W tym przypadku phishing bazuje na strachu przed konsekwencjami prawnymi i najczęściej zawiera „ostrzeżenie” przed zagrożeniem, które wymaga natychmiastowego działania. Aby zweryfikować, czy taka wiadomość jest autentyczna, warto przyjrzeć się pisowni (błędy, niepoprawna gramatyka, brak polskich znaków mogą świadczyć o phishingu), wyszukać konkretny adres e-mail, sprawdzić stopki. Najważniejsze, by nigdy nie klikać w podejrzane linki i nie podawać swoich danych!

Jak chronić się przed phishingiem?

Mając już podstawową wiedzę na temat phishingu, spróbuj się przed nim zabezpieczyć, czyli podejmij działania prewencyjne. Korzystaj z dwuskładnikowej autoryzacji (2FA) – włącz dwuskładnikowe uwierzytelnianie w serwisach, które to oferują. Nawet jeśli oszust wykradnie Twoje hasło, bez dodatkowego kodu nie będzie mógł się zalogować. Staraj się regularnie aktualizować oprogramowanie – wiele cyberataków opiera się na systemowych lukach, które są sukcesywnie usuwane/naprawiane. Pamiętaj również o tym, by co jakiś czas zmieniać hasło, używaj też różnych haseł do różnych serwisów. Zadbaj o to, by były one silne (mogą zawierać ciągi liter, znaki specjalne, cyfry). Zachowaj czujność – jeśli jakaś wiadomość wywołuje w Tobie panikę, zastanów się, czy może to być próba oszustwa. Jeżeli natomiast do phishingu już doszło, szybko zmień hasło i skontaktuj się z administratorem konkretnego serwisu w celu odblokowania konta i zwrotu środków. Możesz też przypiąć inne konto do profilu firmowego.

O wypowiedź poprosiliśmy ekspertkę - Karolinę Przewięźlikowską, Head of Performance w Medializer

Cyberprzestępcy stają się coraz bardziej przebiegli, co utrudnia rozróżnienie phishingu od autentycznych wiadomości czy powiadomień. Korzystając z internetu, musimy zachować wyjątkową czujność i zwracać uwagę na każdy szczegół, aby nie paść ofiarą oszustwa. Szczególnie narażone na ataki są osoby prowadzące konta reklamowe na popularnych portalach społecznościowych. Niestety, zabezpieczenie w postaci weryfikacji dwuetapowej często już nie wystarcza – jeśli nasze dane zostaną przejęte, cyberprzestępcy mają sposoby na przechwycenie kodu weryfikacyjnego.

W przypadku kradzieży konta, w pierwszej kolejności należy zabezpieczyć zhakowane konto, wykonując następujące kroki:

• ograniczenie dostępów do konta reklamowego oraz do strony/fanpage’a,
• zmiana hasła,
• wylogowanie się z innych urządzeń (Facebook umożliwia zdalne wylogowanie ze wszystkich przeglądarek i aplikacji),
• przeskanowanie komputera za pomocą solidnego programu antywirusowego,
• rozważenie zablokowania kart podpiętych do konta i wyrobienie nowych.
  

Kolejnym krokiem jest zgłoszenie kradzieży do działu wsparcia technicznego, zarówno dla profilu osobistego, jak i konta reklamowego. Niestety, dalsze procedury mogą trwać tygodniami, ponieważ sprawa jest przekazywana przez różne działy Meta, które weryfikują włamanie, zabezpieczają konto i usuwają nieautoryzowane dostępy. Warto uzbroić się w cierpliwość.

Tymczasowym rozwiązaniem może być założenie rezerwowego konta reklamowego, które umożliwi prowadzenie kampanii reklamowych – weryfikacja głównego konta może bowiem przeciągać się, a przyspieszenie tego procesu jest niemożliwe.

Włamanie na konto reklamowe można porównać do zgubienia portfela. Utrata pieniędzy to jedno, ale bardziej uciążliwe bywa zastrzeganie i wyrabianie dokumentów na nowo. Podobnie jest w przypadku kradzieży konta reklamowego – pieniądze można odzyskać, jednak procedura odzyskiwania konta może potrwać tygodniami. A dla biznesu, nieaktywne konto reklamowe to realne straty – bez reklam zyski są znacznie ograniczone.