Czym jest phishing i jak się przed nim uchronić

Już 73% internautów – według raportu Gemius „E-commerce w Polsce 2020” – robi zakupy online. Wzrost popularności e-commerce, do którego w dużej mierze przyczyniła się pandemia, ma jednak również swoje ciemne strony. Od 2020 r. rośnie bowiem w sieci skala ataków phishingowych.

Z tego artykułu dowiesz się:

czym jest phishing,
jak przebiegał atak phishingowy na użytkowników serwisu ogłoszeniowego OLX,
jak zapewnić klientom e-commerce bezpieczeństwo transakcyjne,
jak operator płatności może uchronić użytkowników przed cyberzagrożeniem w postaci phishingu.

Według raportu Gemius „E-commerce w Polsce 2020”, już 73% internautów robi zakupy online. Wynik ten jest lepszy od poprzedniej fali badania aż o 11 p.p. Z kolei według raportu „Postawy Polaków wobec cyberbezpieczeństwa”, opracowanego przez Warszawski Instytut Bankowości oraz Związek Banków Polskich, 34% naszych rodaków w ubiegłym roku zaczęło po raz pierwszy kupować online nowe kategorie produktów.

Źródło: Raport „Postawy Polaków wobec cyberbezpieczeństwa”

Słuchaj „Marketer+” Podcast

Wpływ na zmianę przyzwyczajeń zakupowych miała w dużej mierze pandemia i związane z nią obostrzenia w życiu gospodarczym i społecznym, które skłoniły wielu konsumentów do kupowania przez internet. Wzrost popularności e-commerce ma jednak również swoje ciemne strony. Od 2020 r. rośnie bowiem skala ataków phishingowych w sieci.

W tym kontekście nie bez znaczenia pozostaje fakt, że 57% Polaków (raport „Postawy Polaków wobec cyberbezpieczeństwa”), dostrzega potrzebę rozwijania wiedzy w zakresie kompetencji cyfrowych i cyberbezpieczeństwa. Nadal jednak ponad 30% Polaków – według badań jednego z banków – nie wie, czym jest phishing, a 32% nie ma pewności, czy dobrze to pojęcie definiuje.

Czym jest phishing?

Słowo „phishing” kojarzy się z podobnie brzmiącym „fishing”, oznaczającym wędkowanie. I dzieje się tak nie bez przyczyny. Ta metoda oszustwa internetowego wykorzystywana przez cyberprzestępców polega bowiem właśnie na zarzuceniu przynęty i czekaniu na ofiarę.

Podstawą phishingu jest podszywanie się pod inny podmiot i wyłudzanie wrażliwych danych od użytkownika – loginów, haseł, numerów kart kredytowych, numerów PESEL – lub nakłonienie go do konkretnego działania, takiego jak podanie kodu BLIK, wykonanie przelewu na inne konto czy kliknięcie w zawirusowany link.

Do zarzucania przynęty na użytkowników oszuści wykorzystują m.in. najpopularniejsze serwisy do płatności online czy też portale aukcyjne i serwisy ogłoszeniowe. Podszywanie się pod znane i cieszące się zaufaniem firmy zwiększa prawdopodobieństwo, że adresat ataku będzie mieć tam konto. Osłabia również – i to jest kluczowe w phishingu – czujność samych użytkowników. Nie spodziewają się oni oszustwa ze strony firmy, którą znają i z usług której korzystają, dlatego dają się złapać na zarzucony „haczyk”.

Phishing jest obecnie – według raportu CERT Polska – najczęściej występującym rodzajem incydentu w polskiej sieci i odpowiada za blisko połowę z nich (44%). W czasie pandemii jednym z najpopularniejszych ataków phishingowych był ten, który został wymierzony w użytkowników serwisu ogłoszeniowego OLX.

„Witam, chcę kupić Pana przedmiot, ale potrzebuję Pana maila…”, czyli atak na użytkowników OLX

„Musisz wejść na stronę, kliknąć pokwitowanie środków i wpisać swoje dane, a kod weryfikacyjny zostanie wysłany na Twój telefon, wpisując go, otrzymasz pieniądze”. „Witam, chcę kupić Pana przedmiot, ale potrzebuję Pana maila, klikam kup z przesyłką OLX, podaję dane karty, następnie OLX prosi o adres mailowy sprzedawcy, aby wysłać potwierdzenie otrzymania środków za przedmiot”. „Ponieważ po raz pierwszy płacisz za wysyłkę OLX, wpisz adres e-mail sprzedawcy, aby upewnić się, że nie jesteś robotem. Sprzedawca otrzyma wiadomość e-mail z potwierdzeniem dokonania płatności.”

Wiadomości między innymi o takiej treści otrzymywali użytkownicy OLX, którzy znaleźli się na celowniku cyberprzestępców. Z pierwszymi atakami phishignowymi w tym serwisie ogłoszeniowym mieliśmy do czynienia w drugiej połowie 2020 r. Po sześciu miesiącach stały się już one najczęściej zgłaszanym oszustwem w polskim internecie.

Na czym polegał w tym przypadku phishing? Oszuści podszywali się pod kupującego i pod pretekstem chęci zapłaty za produkt próbowali – co niestety bardzo często im się udawało – wyłudzić numer karty płatniczej oraz inne wrażliwe dane. W praktyce wyglądało to tak, że oszust, który udawał zainteresowanego zakupem, kontaktował się ze sprzedającym na OLX i prosił o podanie adresu e-mail. Kolejnym krokiem było wysłanie wiadomości, która podszywała się pod OLX, na podany przez osobę sprzedającą adres e-mailowy. Oszuści kontaktowali się również ze sprzedającym na WhatsAppie – numer telefonu był przecież w ogłoszeniu – i za pośrednictwem komunikatora przesyłali linki do fałszywej podstrony OLX.

Na kolejnym etapie cyberprzestępca prosił użytkownika OLX o kliknięcie w link i zaakceptowanie płatności. Na fałszywej stronie, na którą trafiał sprzedający, najczęściej pojawiała się prośba o wpisanie numeru karty płatniczej, numeru PESEL lub numeru telefonu. Następnie oszuści podpinali do rachunku bankowego zaatakowanej osoby aplikację mobilną i pobierali pieniądze z jej konta.

W tym konkretnym ataku phishingowym oszuści swoje działania uwiarygodniali prezentując podrobione strony sprzedawanych przez użytkowników produktów. Równie często wysyłali dokumenty, które wyglądały dokładnie jak te, którymi posługuje się OLX. I to właśnie podrobione dokumenty przekonywały wiele z poszkodowanych osób o tym, że płatność przebiega w sposób prawidłowy i bezpieczny.

W odpowiedzi na zaistniałą sytuację OLX przygotował – na bieżąco aktualizowany – wpis na firmowym blogu, w którym krok po kroku wyjaśnia, co użytkownicy powinni zrobić, aby zachować bezpieczeństwo transakcji oraz w jaki sposób zgłaszać oszustwo, aby serwis mógł podjąć działania związane z zamknięciem fałszywej strony internetowej.

Czy jednak zarówno użytkownicy, jak i branża e-commerce mogą ustrzec się phishingu?

Jak zapewnić klientom bezpieczeństwo transakcyjne

Powodzenie ataku phishingowego zależy w dużym stopniu od nieuwagi użytkownika, który znalazł się na celowniku cyberprzestępcy. Nie oznacza to jednak, że wyłącznie on jest odpowiedzialny za bezpieczeństwo własnych transakcji w sieci. Podstawą ochrony przed phishingiem są – oprócz przestrzegania zasad bezpieczeństwa przez samych użytkowników – również działania, które musisz podjąć Ty jako właściciel witryny.

Pierwszym krokiem w zabezpieczeniu klientów przed phishingiem powinno być zastosowanie specjalnych zabezpieczeń, w tym DNSSEC (ang. Domain Name System Security Extensions), czyli zestawu rozszerzeń do protokołu DNS. Zapewnia on wiarygodność i integralność odpowiedzi otrzymywanych z internetu, a to z kolei oznacza, że chroni przed modyfikacjami tych odpowiedzi i zapewnia, że pochodzą one z właściwego źródła. Dzięki temu użytkownik Twojej witryny ma gwarancję, że otrzymuje autentyczne dane, czyli że np. nie został przekierowany na fałszywą stronę internetową.

Kolejnym zabezpieczeniem jest SSL – certyfikat, który podnosi poziom zabezpieczeń i minimalizuje ryzyko phishingu. Z punktu widzenia użytkownika zabezpieczenie podwyższa dodatkowo poziom zaufania do Twojej witryny.

Istotną kwestią dotyczącą bezpieczeństwa transakcyjnego jest czytelna informacja w witrynie na temat metod płatności. Do Twojego klienta musi trafiać jasny komunikat, jakie możliwości w tym zakresie oferuje mu Twoja witryna – tak aby po ewentualnym przejściu na stronę fałszywą od razu mógł rozpoznać zagrożenie. Powinieneś stale komunikować się z użytkownikami, aby ci mieli świadomość, że jeżeli klikną w podejrzaną wiadomość z przekierowaniem do sklepu i nie znajdą opcji płatności BLIKIEM, Pay By Linkiem, szybkim przelewem czy portfelem cyfrowym – albo w ogóle nie będzie na tej stronie możliwości płatności online – to z dużym prawdopodobieństwem mają do czynienia z oszustwem. Jeśli na stronie sklepu nie znajdą możliwości sfinalizowania zakupu przez bramkę płatniczą stworzoną przez operatora, takiego jak np. Tpay, od razu powinno to wzbudzić ich wątpliwości i skłonić do zachowania szczególnej ostrożności.

Przypominaj regularnie użytkownikom Twojego serwisu o tym, żeby:

Zadbali o aktualne oprogramowanie antywirusowe, które automatycznie odrzuci przynajmniej część potencjalnych ataków.
Zgłaszali podejrzane witryny np. poprzez portal cert.pl, czyli oficjalną stronę NASK, odpowiadającą za bezpieczeństwo polskiej sieci, a także przez Google SafeBrowsing.
W razie jakichkolwiek wątpliwości kontaktowali się z biurem obsługi klienta firmy, z usług której chcą skorzystać i w ten sposób weryfikowali rzetelność witryny.
Sprawdzali prawdziwość domen, z którymi się łączą – jeśli wiadomość jest prawdziwa, marka wyśle ją ze swojej oficjalnej domeny.
Nie klikali w podejrzane linki – szczególnie, gdy otrzymują je SMS-em czy w komunikatorze – dopóki nie mają pewności, że wiadomość pochodzi od sprawdzonego nadawcy.
Pod żadnym pozorem nie podawali danych do konta bankowego, numeru PESEL (i że mogą skorzystać z usługi „Zabezpiecz PESEL”) czy innych wrażliwych danych.

Jak operator płatności może uchronić użytkowników przed phishingiem

Dla osób robiących zakupy w sieci, bezpieczeństwo płatności jest jedną z kluczowych cech, na które zwracają uwagę. Według badania agencji SW Research na zlecenie Tpay, aż 90% internautów przykłada bardzo dużą wagę do bezpieczeństwa swoich transakcji. Nieustannie rozwijający się rynek płatności internetowych wymaga od operatorów coraz to nowych metod weryfikacji i zapewnienia bezpieczeństwa transakcji. Jakie są rozwiązania, które mogą dać taką pewność?

– Zanim dokonamy transakcji warto sprawdzić, jakie standardy bezpieczeństwa spełnia operator płatności. W Tpay potwierdzone są one licznymi certyfikatami. Jednym z nich jest certyfikacja PCI DSS Level 1, która potwierdza spełnianie wymogów opracowanych przed Radę ds. Standardów Bezpieczeństwa PCI. Krajowy Integrator Płatności, czyli Tpay posiada też certyfikat, potwierdzający szyfrowanie i bezpieczeństwo płatności, a także podlega corocznym inspekcjom niezależnego Biegłego Rewidenta. System kontroli i podążanie za trendami w płatnościach pozytywnie wpływają na bezpieczeństwo transakcji.
Operatorzy płatności mogą oferować także swoje metody bezpieczeństwa. Taką opcją jest np. Elektroniczne Potwierdzenie Opłaty (EPO), oferowane przez Tpay. To potwierdzenie, które po zaksięgowaniu wpłaty otrzymuje mailowo zarówno sprzedawca, jak i kupujący. Usprawnia to przetwarzanie zamówienia – sprzedawca może już wysyłać towar, mimo że jeszcze nie otrzymał realnej wpłaty na konto – mówi Aleksandra Styza, customer service manager w Tpay.

W 2020 r. zwiększyła się liczba oszustw, które polegają na uwiarygodnieniu numeru konta oszusta poprzez podanie przez niego informacji, że konto należy do jednego z operatorów płatności, np. do Krajowego Integratora Płatności S.A, do którego należy system płatności Tpay. Zdarzają się również sytuacje, w których nieostrożny płatnik, zamiast zapłacić za towar lub usługę, zasila czyjeś np. konto bukmacherskie.

Operator płatności zgodnie z prawem pośredniczy wówczas w płatności, ale – podobnie jak w pierwszym przypadku – nie ma wpływu na to, w jaki sposób oszust wykorzystuje niewiedzę płatnika. Takie sytuacje stanowią zwykle oszustwo, które jest zagrożone karą pozbawienia wolności od 6 miesięcy do lat 8. Zgodnie z obowiązującą Ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML) operator płatności internetowych może poprosić o skan dowodu tożsamości klienta. To kolejny krok do zapewnienia bezpieczeństwa płatnikom, a właścicielom e-sklepów – budowania zaufania do marki.

Jakie rozwiązania mogą dać pewność bezpieczeństwa transakcji?

Dwuetapowe uwierzytelnianie. Klienci e-commerce, którzy dokonują płatności internetowej, poddawani są silnemu, dwuetapowemu uwierzytelnianiu (SCA). Zaletą SCA jest zapewnienie niemal stuprocentowego bezpieczeństwa transakcji. Ryzyko, że ktoś wykradnie dane płacącego, należące do 2 z 3 grup, jest niemal niemożliwe.
Biometria. Zastosowanie biometrii, która może być jedną z cech SCA, od kilku lat jest trendem w bankowości, który nieustannie się rozwija. Szacuje się, że do 2027 r. rynek płatności biometrycznych osiągnie wartość ponad 54 mld dolarów. Najpopularniejsze metody to skanowanie odcisku palca, tęczówki oka lub identyfikacja twarzy.

Jeżeli jako firma korzystasz z systemu płatności Tpay, powinieneś informować swoich klientów, że operator nie nawiązuje bezpośrednich kontaktów z płatnikami, a powoływanie się na udział np. Tpay w pośrednictwie transakcji nie ma podstaw i z bardzo dużym prawdopodobieństwem świadczy o próbie oszustwa. Prawidłowo i bezpiecznie przebiegająca transakcja płatnicza online z udziałem operatora powinna wiązać się z przejściem do panelu transakcyjnego operatora lub odbywać się na stronie sklepu zweryfikowanego przez operatora płatności.

Przypominaj Twoim klientom o tym, żeby:

Upewniali się, kto jest odbiorcą płatności – czy nazwa podawana w mailu, ogłoszeniu, ofercie pokrywa się z rzeczywistą działalnością firmy,
Przyglądali się treści wiadomości, e-maila, SMS-a i wyglądowi maila czy strony internetowej – zwrócili uwagę na poprawność językową, stosowaną stopkę i adres e-mail, wygląd strony, adres WWW etc.,
Za każdym razem odpowiadali sobie na pytanie, czy miejsce komunikacji jest bezpieczne, czy kiedykolwiek wcześniej ta firma np. wysyłała linki SMS-em.
W sytuacji, gdy jednak dojdzie do oszustwa, a sprawca jako pośrednika podaje KIP S.A./Krajowego Integratora Płatności/Tpay, skontaktowali się Biurem Obsługi Klienta: info@tpay.com i jednocześnie niezwłoczne złożyli zawiadomienie o możliwości popełnienia przestępstwa.

E-mail z błędami językowymi może potwierdzać atak phisingowy
Źródło: Tpay

Ofiarą phishingu może paść każdy, bez względu na częstotliwość wykonywania zakupów online. Warto zachować ostrożność, szczególnie jeśli nie znajdziemy znanych nam metod płatności czy bramki od zaufanego operatora. Cały czas należy mieć jednak na uwadze fakt, że odpowiedzialność za bezpieczeństwo transakcji w sieci opowiada nie tylko użytkownik, lecz także właściciel witryny.

Materiał powstał przy współpracy z firmą Tpay.