Wyłudzanie informacji (ang. phishing) jest atakiem, którego celem jest próba kradzieży Twoich pieniędzy lub tożsamości poprzez nakłanianie Cię do ujawnienia informacji osobistych, np. numerów kart kredytowych, informacji bankowych lub haseł, w witrynach internetowych, które podszywają się pod autentyczne. Cyberprzestępcy zazwyczaj podszywają się pod wiarygodne firmy, przyjaciół lub znajomych w fałszywych wiadomościach e-mail zawierających linki do witryn wyłudzających informacje.

Twoja przeglądarka nie obsługuje wideo.

Dowiedz się, jak rozpoznać wiadomość e-mail wyłudzającą informacje

Wyłudzanie informacji to popularna forma cyberprzestępczości głównie ze względu na jej skuteczność. Cyberprzestępcy z powodzeniem wykorzystują do tego celu pocztę e-mail, SMS-y, prywatne wiadomości w mediach społecznościowych lub w grach wideo, nakłaniając odbiorców do przekazywania danych osobowych. Najlepszą ochroną jest świadomość tego, na co należy zwracać uwagę.

Poniżej przedstawiono kilka sposobów, jak rozpoznać wiadomości wyłudzające informacje:

  • Pilne wezwanie do działania lub groźba — nie ufaj wiadomościom e-mail, w których znajduje się stwierdzenie, że musisz natychmiast kliknąć link, zadzwonić pod podany numer lub otworzyć załącznik. W takich wiadomościach często można znaleźć informacje, że konieczne jest natychmiastowe działanie, aby odebrać nagrodę lub uniknąć kary. Tworzenie fałszywego poczucia pilności to częsty trik stosowany w atakach mających na celu wyłudzanie informacji oraz innych oszustwach. Sprawiają one, że nie będziesz zbyt wiele myśleć na ich temat, ani konsultować się z zaufanym doradcą, który mógłby Cię ostrzec.

    Porada: Ilekroć zobaczysz wiadomość nawołującą do podjęcia natychmiastowego działania, nie śpiesz się, spauzuj i dokładnie przyjrzyj się danej wiadomości. Czy masz przekonanie, że jest ona autentyczna? Zwolnij i bądź bezpieczny.

  • Nadawcy wysyłający po raz pierwszy lub sporadycznie — jeśli otrzymanie wiadomości e-mail od danej osoby ma miejsce po raz pierwszy i nie jest to czymś nadzwyczajnym, zwłaszcza, jeśli osoba ta jest spoza organizacji, wiadomość może być oznaką wyłudzania informacji. Jeśli otrzymasz wiadomość e-mail od osoby, której nie rozpoznajesz, bądź program Outlook identyfikuje ją jako nowego nadawcę, poświęć chwilę na przeanalizowanie tej wiadomości bardziej dokładnie przed podjęciem dalszych działań.

  • Błędy ortograficzne i gramatyczne — profesjonalne firmy lub organizacje zwykle korzystają z usług redaktorów, którzy dbają, aby klienci otrzymywali treści najwyższej jakości. Jeśli w wiadomości e-mail zauważysz rażące błędy ortograficzne lub gramatyczne, może to oznaczać, że masz do czynienia z oszustwem. Te błędy są niekiedy wynikiem nieudolnego tłumaczenia z języka obcego i czasami są one zamierzone w celu podjęcia próby ominięcia filtrów, które próbują zablokować takie ataki.

  • Ogólne powitanie - organizacja, która z Tobą współpracuje, powinna znać Twoje imię i nazwisko, a w obecnych czasach spersonalizowanie wiadomości e-mail nie stanowi żadnego problemu. Jeśli wiadomość e-mail rozpoczyna się od ogólnego zwrotu „Szanowny Panie lub Szanowna Pani”, jest to sygnał ostrzegawczy, że niekoniecznie wiadomość ta pochodzi od Twojego banku, czy sklepu internetowego.

  • Podejrzane linki lub nieoczekiwane załączniki — jeśli podejrzewasz, że wiadomość e-mail jest próbą oszustwa, nie otwieraj zawartych widocznych linków lub załączników. Najedź tylko kursorem myszy na link, ale go nie klikaj, i zobacz, czy adres jest zgodny z tym, co zostało napisane w wiadomości. W poniższym przykładzie widać prawdziwy adres internetowy w polu z żółtym tłem. Zwróć uwagę, że ciąg cyfr adresu IP zupełnie nie przypomina adresu witryny danej firmy.

Fałszywy adres IP

Porada: W systemie Android naciśnij link przez długi czas, aby uzyskać stronę właściwości, która odkryje prawdziwe miejsce docelowe linku. W systemie iOS apple robi to, co nazywa "Light, long-press".

  • Niepasujące domeny poczty e-mail — jeśli wiadomość e-mail pochodzi rzekomo od renomowanej firmy (np. Microsoft lub banku), ale została wysłana z innej domeny poczty e-mail (np. Yahoo.com czy microsoftsupport.ru), jest to najprawdopodobniej oszustwo. Musisz również uważać na bardzo subtelne zmiany w prawidłowej pisowni nazwy domeny. Oto przykłady: micros0ft.com (druga litera o jest zastąpiona zerem), rnicrosoft.com (litera m jest zastąpiona dwiema literami: r i n). Oszuści często stosują takie sztuczki. 

Cyberprzestępcy mogą również odsyłać użytkowników do fałszywych witryn internetowych za pomocą innych metod, np. SMS-ów lub połączeń telefonicznych. Wyrafinowani cyberprzestępcy tworzą centrale połączeń, które automatycznie łączą się z numerami potencjalnych ofiar lub wysyłają na ich numery SMSy. Takie wiadomości często będą zawierać monity o podanie numeru PIN lub informacji osobowych innego rodzaju.

Jesteś administratorem lub informatykiem?

Jeśli masz subskrypcję platformy Microsoft 365 z zaawansowaną ochroną przed zagrożeniami, możesz włączyć funkcję zapobiegania wyłudzaniu informacji, aby pomóc w ochronie Twoich użytkowników. Dowiedz się więcej

Jeśli otrzymujesz wiadomości e-mail wyłudzające informacje

  • Nigdy nie klikaj żadnych linków lub załączników w podejrzanych wiadomościach. Jeśli otrzymasz podejrzaną wiadomość od organizacji i masz obawy, czy jest ona autentyczna, przejdź do przeglądarki internetowej i otwórz nową kartę. Następnie przejdź do witryny internetowej danej organizacji z własnej zapisanej zakładki lub przy użyciu wyszukiwania w Internecie. Możesz też zadzwonić do organizacji, korzystając z numeru telefonu podanego na rewersie karty członkowskiej, wydrukowanego na rachunku lub wyciągu, bądź numeru znalezionego w oficjalnej witrynie internetowej danej organizacji.

  • Jeśli wydaje się, że podejrzana wiadomość pochodzi od osoby, którą znasz, skontaktuj się z nią za pomocą innych środków komunikacji, np. SMS-em lub telefonicznie, w celu jej potwierdzenia.

  • Zgłoś wiadomość (zobacz poniżej).

  • Usuń ją.

Jak zgłaszać oszustwa polegające na wyłudzaniu informacji

  • Program Outlook pakietu Microsoft Office — po zaznaczeniu podejrzanej wiadomości wybierz na wstążce pozycję Zgłoś wiadomość, a następnie wybierz Wyłudzanie informacji. Jest to najszybszy sposób, aby zgłosić i usunąć wiadomość ze skrzynki odbiorczej. Takie zgłoszenie pomoże nam ulepszać działanie naszych filtrów, aby w przyszłości było widocznych niewiele takich wiadomości. Aby uzyskać więcej informacji, zobacz Korzystanie z dodatku Zgłaszanie wiadomości.

  • Outlook.com — zaznacz pole wyboru obok podejrzanej wiadomości w skrzynce odbiorczej usługi Outlook.com. Wybierz strzałkę obok pozycji Wiadomości-śmieci, a następnie wybierz pozycję Wyłudzanie informacji.

Uwaga: Jeśli korzystasz z klienta poczty e-mail innego niż Outlook, utwórz nową wiadomość e-mail do phish@office365.microsoft.com i w załączeniu prześlij wiadomość e-mail wyłudzającą informacje. Nie przesyłaj dalej podejrzanej wiadomości e-mail, ponieważ musimy otrzymać ją w postaci załącznika, aby przeanalizować nagłówki tej wiadomości. 

Jeśli masz otwartą podejrzaną witrynę internetową:

Gdy znajdujesz się w podejrzanej witrynie w aplikacji Microsoft Edge, wybierz ikonę Więcej(...), a > pozycję Pomoc i opinie >z niebezpieczną witryną. 

W celu uzyskania informacji zobacz artykuł Bezpieczne przeglądanie Internetu za pomocą przeglądarki Microsoft Edge.

Co należy zrobić, jeśli sądzisz, że próba wyłudzenia informacji była udana

Jeśli podejrzewasz, że przez nieuwagę padłeś ofiarą ataku służącego wyłudzaniu informacji, należy wykonywać kilka czynności. 

  1. Dopóki jest to świeża sprawa, zapisz tyle szczegółów, ile będziesz w stanie sobie przypomnieć. W szczególności spróbuj zanotować jakąkolwiek informację, która mogła zostać udostępniona, np. numery kont lub hasła.

  2. Natychmiast zmień hasła do kont, których dotyczy problem, i wszędzie tam, gdzie to samo hasło mogło być używane. Podczas zmieniania haseł musisz utworzyć unikatowe hasła dla każdego konta. Może być konieczne zapoznanie się z tematem Tworzenie i używanie silnych haseł.

  3. Upewnij się, że masz włączone uwierzytelnianie wieloskładnikowe (nazywane też weryfikacją dwuetapową) dla każdego konta, które możesz. Zobacz Co to jest: uwierzytelnianie wieloskładnikowe

  4. Jeśli ten atak ma wpływ na konta służbowe, należy zawiadomić o tym osoby zapewniające wsparcie IT w miejscu pracy lub w szkole. Jeśli zostały udostępnione informacje o kartach kredytowych lub kontach bankowych, może być również konieczne skontaktowanie się z tymi firmami, aby powiadomić o ewentualnym oszustwie.

  5. Jeśli doszło do utraty pieniędzy lub jesteś ofiarą kradzieży tożsamości, zgłoś to lokalnym organom ścigania. Szczegóły opisane w kroku 1 będą im bardzo pomocne.

Zobacz też

Klucze do królestwa — zabezpieczanie swoich urządzeń i kont

Jak złośliwe oprogramowanie może zainfekować Twój komputer

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jak zadowalająca jest jakość tłumaczenia?

Co wpłynęło na Twoje wrażenia?

Czy chcesz przekazać jakieś inne uwagi? (Opcjonalnie)

Dziękujemy za opinię!

×