Phishing, a także związany z nim smishing, to jedna z najpopularniejszych form oszustwa w internecie. Dobrze przygotowany, może być trudny do wykrycia nawet dla doświadczonych użytkowników. Przeczytaj nasze wskazówki i dowiedz się, jak bronić się przed tym cyberzagrożeniem.

Z tego artykułu dowiesz się:

  • Czym jest phishing i jak się przed nim chronić?
  • Na czym polegał popularny ostatnio atak na użytkowników OLX?
  • Jak obecność operatora płatności może uchronić Cię przed phishingiem?
  • Czym jest smishing?

Phishing to metoda oszustwa polegająca na podszywaniu się pod inny podmiot, np. sklep, czy operatora płatności. Jej celem jest wyłudzenie danych od użytkownika lub nakłonienie go do konkretnego działania, takiego jak podanie kodu BLIK, wykonanie przelewu na inne konto, czy kliknięcie w zawirusowany link. Zazwyczaj wiadomości takie wyglądają łudząco podobnie do tych, które otrzymujemy od znanych nam marek. Często wysyłane są także z podobnie wyglądających do oryginalnych domen, co jest głównym powodem “łapania” haczyka także przez doświadczonych użytkowników. 


Wpływ pandemii na cyberprzestępczość

Skala ataków phishingowych od 2020 r. rośnie. W dużej mierze wynika to ze wzrostu popularności e-commerce. Pandemia wpłynęła na przyzwyczajenia zakupowe konsumentów. Z badań wynika, że coraz więcej kupujemy online, a także mamy do tej formy zakupów coraz większe zaufanie! Kolejny lockdown tylko to umocnił.


Nic więc dziwnego, że okres pandemii sprzyja jeszcze większej liczbie cyberprzestępstw. Według raportu CERT Polska, obecnie phishing jest najczęściej występującym rodzajem incydentu w polskiej sieci – odpowiadając za blisko połowę z nich (44%). Jednym z najpopularniejszych ataków phishingowych w dobie pandemii  był ten wymierzony w użytkowników OLX. 



Scam, którego ofiarą padło wielu użytkowników OLX-a rozpoczął się w drugiej połowie 2020 r. Jak podaje Niebezpiecznik, skala problemu jest naprawdę duża. Po pół roku stał się on najczęściej zgłaszanym do Niebezpiecznika internetowym oszustwem.

Na czym polega atak na użytkowników OLX?

W przypadku tego konkretnego ataku, oszuści podszywają się pod kupującego, aby wyłudzić od sprzedających numer karty płatniczej oraz innych danych pod pretekstem chęci zapłaty za produkt.

W praktyce może wyglądać to przykładowo tak: oszust udający zainteresowanego zakupem odzywa się do sprzedającego na OLX , prosi o podanie adresu e-mail. Następnie wysyła na podanego maila wiadomość, podszywającą się pod OLX. Może również odezwać się na WhatsAppie i tam podesłać link do fałszywej podstrony OLX. Często oszuści podszywają się także pod strony firm kurierskich czy operatorów płatności

Następnie cyberprzestępca prosi użytkownika OLX o wejście w link, w celu zaakceptowania płatności. Na fałszywej stronie najczęściej pojawia się prośba o wpisanie numeru karty płatniczej, numeru PESEL czy numeru telefonu. Następnie oszuści podpinają do rachunku bankowego ofiary aplikację mobilną i pobierają pieniądze z jej konta. 

Istotną informacją w przypadku tego konkretnego phishingu jest fakt, że przestępcy, aby wypaść wiarygodnie w oczach potencjalnej ofiary, przedstawiają dokładne informacje na temat konkretnego produktu na podrobionych stronach. Często wysyłają również dokumenty wyglądające tak jak te, które tworzy OLX. Dokumenty przez nich wysyłane wiele osób przekonują o prawidłowej i bezpiecznej płatności. Wysyłają również potwierdzenia przelewu.

Jak chronić się przed oszustwem?

Po pierwsze: Zwróć uwagę na operatora płatności! 

Kliknąłeś/łaś w link w podejrzanej wiadomości z przekierowaniem do sklepu i nie znalazłeś opcji płatności BLIKIEM, pay by linkiem, szybkim przelewem czy portfelem cyfrowym? Jeśli sklep nie posiada płatności online, jest duże prawdopodobieństwo, że to oszustwo. Jeśli na stronie sklepu nie znajdziesz możliwości sfinalizowania zakupu przez bramkę płatniczą stworzoną przez operatora, takiego jak np. Tpay, powinno to wzbudzić Twoje wątpliwości i skłonić do zachowania szczególnej ostrożności. 

Po drugie: aktualizuj swoją przeglądarkę

W przypadku naprawdę dobrze przygotowanego phishingu, aktualizacja systemu może nie być wystarczającą ochroną. Warto jednak zadbać o aktualne oprogramowanie antywirusowe, które automatycznie odrzuci chociaż część potencjalnych ataków.

Po trzecie: zgłaszaj podejrzane witryny

Jeśli padłeś/łaś ofiarą przestępstwa lub jakaś strona jest dla Ciebie podejrzana, zgłoś ją! Możesz to zrobić np. poprzez portal cert.pl – oficjalną stronę NASK, odpowiadającej za bezpieczeństwo polskiej sieci, a także przez Google SafeBrowsing. Uchronisz w ten sposób innych użytkowników internetu, przyczyniając się do zwiększania bezpieczeństwa w sieci. 

Po czwarte: w razie wątpliwości skontaktuj się z Biurem Obsługi Klienta 

Jeśli mail, który otrzymałeś łaś budzi Twoje wątpliwości, zadzwoń do Biura Obsługi Klienta firmy, z której usług chcesz skorzystać. To może pomóc zweryfikować Ci rzetelność witryny.

Po piąte: sprawdź domenę, z którą się łączysz

Jeśli wiadomość jest prawdziwa, marka wyśle ją ze swojej oficjalnej domeny. W przypadku ataków phishingowych, bardzo często wykorzystywane są domeny do złudzenia przypominające te prawdziwe. Jeśli wiadomość budzi Twoje wątpliwości, zweryfikuj adres, z którego otrzymałeś/łaś maila. 

Po szóste: nie klikaj w podejrzane linki

Dopóki nie masz pewności, że wiadomość pochodzi od sprawdzonego nadawcy, nie klikaj w umieszczone w niej linki, szczególnie, gdy otrzymujesz je w SMS-ie czy w komunikatorach. Pod żadnym pozorem nie podawaj także danych do konta bankowego, numeru pesel czy innych wrażliwych danych. 

Po siódme: zwróć uwagę na poprawność językową wiadomości

Wiadomości phishingowe bardzo często napisane są niepoprawną polszczyzną. Oczywiście nie jest to warunek konieczny do zaistnienia phishingu, warto jednak zwrócić uwagę na ten aspekt. Jeśli składnia budzi nasze podejrzenia, warto zweryfikować prawdziwość wiadomości.



Oszustwa w internecie a operator płatności

W 2020 r. zwiększyła się liczba oszustw polegających na uwiarygodnieniu numeru konta oszusta poprzez podanie przez niego informacji, że konto należy do jednego z operatorów płatności, np. KIP S.A. z siedzibą przy ul. św. Marcin w Poznaniu. Zdarza się również, że nieostrożny płatnik, zamiast zapłacić za towar lub usługę, zasila czyjeś np. konto bukmacherskie. Wówczas operator płatności zgodnie z prawem pośredniczy w płatności, ale - podobnie jak w pierwszym przypadku - nie ma wpływu na to, w jaki sposób oszust wykorzystuje niewiedzę płatnika.

Takie sytuacje zwykle stanowią oszustwo zagrożone karą pozbawienia wolności od 6 miesięcy do lat 8. Zgodnie z art. 286 § 1 Ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 2020 r. poz. 1444 ze zm.): "Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8". 

Warto też pamiętać, że operator nie nawiązuje bezpośrednich kontaktów z płatnikami, a powoływanie się na udział np. Tpay w pośrednictwie transakcji nie ma podstaw i z bardzo dużym prawdopodobieństwem świadczy o próbie oszustwa. Prawidłowo i bezpiecznie przebiegająca transakcja płatnicza online z udziałem operatora powinna wiązać się z przejściem do panelu transakcyjnego operatora lub odbywać się na stronie sklepu zweryfikowanego przez operatora płatności.

Zachęcamy, aby zawsze przed dokonaniem jakiejkolwiek wpłaty czy podjęciem finansowego zobowiązania:

  • upewnić się, kto jest odbiorcą płatności - czy nazwa podawana w mailu/ogłoszeniu/ofercie pokrywa się z rzeczywistą działalnością firmy,
  • przyjrzeć się treści wiadomości/maila/SMS-a i wyglądowi maila czy strony internetowej - zwrócić uwagę na poprawność językową, stosowaną stopkę i adres e-mail, wygląd strony, adres WWW etc.,
  • odpowiedzieć sobie na pytanie, czy miejsce komunikacji jest bezpieczne, czy kiedykolwiek wcześniej ta firma np. wysyłała linki SMS-em.

Gdy jednak dojdzie do oszustwa, a sprawca jako pośrednika podaje KIP S.A./Krajowego Integratora Płatności/Tpay, prosimy o kontakt z naszym Biurem Obsługi Klienta: [email protected] i zalecamy niezwłoczne złożenie zawiadomienia o możliwości popełnienia przestępstwa.



Smishing - czym jest?

Dość popularnym oszustwem w ostatnim czasie jest smishing, czyli próba wyłudzenia danych za pomocą SMS-a. Co ciekawe, szacuje się, że tylko 35% społeczeństwa wie, czym jest to zjawisko. 

Czym właściwie jest smishing? To forma oszustwa zbliżona do phishingu. Również polega na podszywaniu się pod daną instytucję czy sprzedawcę, z tą różnicą, że odbywa się to za pomocą SMS-a. Celem jest pozyskanie konkretnych danych, takich jak np. numer PESEL czy dostęp do konta bankowego.

Jak podaje Fintek.pl, szacuje się, że w 2020 roku próby smishingu wzrosły trzykrotnie. Oczywiście duża w tym “zasługa” pandemii. Możliwości zaatakowania potencjalnych ofiar jest znacznie więcej. Wiąże się to ze wzmożoną liczbą otrzymywanych wiadomości SMS, np. o szczepieniach, kwarantannie, czy powiadomień dotyczących zakupów zrobionych online. 

Jak rozpoznać smishing?

To co powinno wzbudzić nasze podejrzenia to np. nieznany numer czy nazwa nadawcy łudząco podobna do oficjalnej instytucji. Podobnie jak w przypadku phishingu, często w wiadomości występują błędy. Niepoprawna składnia, brak polskich znaków, nienaturalnie użyte sformułowania - to wszystko powinno budzić wątpliwości. Oczywiście nie jest to warunek konieczny i dobrze przygotowana wiadomość smishingowa, może nie zawierać tych elementów. Jeśli te czynniki występują, zdecydowanie powinna jednak zapalić się nam czerwona lampka. 

Oszustwo - i co dalej?

Niekiedy smishing jest przygotowany tak dobrze, że nawet najbardziej doświadczeni użytkownicy padają jego ofiarą. Co zrobić w takiej sytuacji? W pierwszej kolejności koniecznie zablokuj swoje konto bankowe. Możesz to zrobić dzwoniąc do oddziału banku lub bezpośrednio w swojej aplikacji mobilnej. 

Jak wynika z przeprowadzonych badań, zaledwie 35% osób wie, czym jest smishing, więc możemy być właściwie pewni, że jeszcze niejeden użytkownik padnie ofiarą oszustów. Z pewnością edukacja społeczeństwa prowadzona przez odpowiednie organizacje pozwoli zwiększyć świadomość o istniejących zagrożeniach, co przełoży się na większe bezpieczeństwo. Oczywiście każdy z nas musi pamiętać o tym, aby upewnić się, czy SMS jest prawdziwy. W pierwszej kolejności należy sprawdzić numer, z którego wiadomość została wysłana – komentuje Bartosz Witczak, Partner Account Manager w Tpay.

Nazwy firm kurierskich czy organizacji rządowych zazwyczaj wyświetlają się jako nazwa nadawcy. Warto wyszukać numer w internecie i sprawdzić, czy na pewno figuruje pod nim wskazany podmiot. Wiadomości smishingowe bardzo często są napisane niepoprawnie – bez polskich znaków, interpunkcji czy z dziwną składnią. To również powinno wzbudzić niepokój. Jeśli jakikolwiek element SMS-a budzi naszą wątpliwość, pod żadnym pozorem nie odpisujemy na niego ani nie wchodzimy w podane w treści wiadomości linki. Dodatkowo warto poinformować organizację, że ktoś się pod nią podszywa. Ofiarą w takiej sytuacji jest zarówno płatnik, który otrzymał SMS-a, jak i firma, w imieniu której oszuści wysłali wiadomość – dodaje.



Jak widzisz ofiarą phishingu może paść każdy, bez względu na częstotliwość wykonywania zakupów online. Warto zachować ostrożność, szczególnie jeśli w nie znajdziesz znanych Ci metod płatności, czy bramki od zaufanego operatora. Jeśli masz jakieś wątpliwości co do rzetelności sklepu, skorzystaj z naszych porad i dokładnie sprawdź sprzedawcę.