W skrócie

Co to jest?

Phishing to każda wiadomość — e-mail, SMS, rozmowa telefoniczna, WhatsApp, a nawet kod QR — która udaje, że pochodzi od kogoś lub czegoś, komu ufasz, by nakłonić cię do zrobienia czegoś, czego normalnie byś nie zrobił/zrobiła.

To „coś" to zazwyczaj jedno z poniższych:

Nazywa się to phishingiem (od angielskiego „fishing", czyli wędkowanie), bo atakujący zarzuca haczyk do ogromnego stawu. Nie wie, czy ty złapiesz przynętę. Potrzebuje tylko małego ułamka odbiorców, a wysłanie e-maila nic go nie kosztuje.

Kilka pojęć, które możesz usłyszeć:

Technika jest ta sama. Zmienia się tylko kanał.

Jak to rozpoznać?

Dawna rada mówiła, by szukać błędów ortograficznych i dziwnej gramatyki. Ta rada jest już nieaktualna — AI może napisać bezbłędny e-mail w dowolnym języku w ciągu dwóch sekund. Musisz patrzeć na to, o co prosi cię wiadomość, a nie jak uprzejmie to robi.

Wzorzec to prawie zawsze jakaś wersja trzech rzeczy razem: pilność, autorytet, działanie.

  1. Pilność. „Twoje konto zostanie zamknięte za 24 godziny." „Twoja paczka zostanie zwrócona." „Wykryto podejrzane logowanie — potwierdź teraz." Prawdziwe instytucje prawie nigdy nie wyznaczają ci przez e-mail terminu jednogodzinnego lub jednodniowego. Wysyłają list. Oddzwaniają przez swoją normalną aplikację. Czekają.
  2. Autorytet. Wiadomość wygląda, jakby pochodziła z twojego banku, urzędu skarbowego, urzędu rządowego, dużej firmy kurierskiej, serwisu streamingowego, działu IT twojego pracodawcy, twojego szefa. Znajome logo, właściwe kolory, właściwy ton. Każdy może skopiować logo.
  3. Działanie. Kliknij w ten link. Potwierdź ten kod. Odpowiedz z tym dokumentem. Zapłać tę małą opłatę, by odblokować paczkę. Tu właśnie możesz zatrzymać atak. Cokolwiek mówi wiadomość, zapytaj siebie: co się tak naprawdę stanie, jeśli nic nie zrobię? Uczciwa odpowiedź to prawie zawsze „nic złego".

Inne sygnały ostrzegawcze warte zapamiętania:

Co robić?

Jeśli jeszcze nie podjąłeś/podjęłaś działania:

  1. Zatrzymaj się. Nie klikaj. Nie odpowiadaj. Nie dzwoń pod żaden numer wydrukowany w wiadomości.
  2. Sprawdź przez osobny kanał. Jeśli „twój bank" wysyła ci e-mail, otwórz aplikację bankową lub stronę, z której normalnie korzystasz — wpisując adres samodzielnie, nie z e-maila — i sprawdź tam. Jeśli „urząd skarbowy" dzwoni, rozłącz się i oddzwoń na oficjalny numer ze swojej publicznej strony. Jeśli „twój szef" wysyła pilną prośbę, podejdź do niego osobiście lub zadzwoń na numer, który już masz.
  3. Zgłoś wiadomość i usuń ją. Większość klientów poczty elektronicznej (Gmail, Outlook, Apple Mail, ProtonMail) ma przycisk „zgłoś phishing". Użyj go. SMS-y w wielu krajach można przesłać na numer 7726 (cyfry składają się na SPAM po angielsku), by twój operator je przeanalizował. Następnie usuń oryginał.
  4. Powiadom rodzinę. Jeśli twoi rodzice, partner/partnerka lub dzieci korzystają z tego samego adresu e-mail domeny lub adresu zamieszkania, prawdopodobnie dostaną tę samą kampanię w ciągu dnia. Krótka wiadomość „uwaga na to" w domu zapobiega więcej szkodom niż jakikolwiek filtr.

Jeśli już kliknąłeś/kliknęłaś lub wpisałeś/wpisałaś hasło — liczą się najbliższe trzydzieści minut. Zachowaj spokój. Wykonaj tę listę po kolei.

  1. Z innego urządzenia (nie tego, na którym kliknąłeś/kliknęłaś, jeśli możesz tego uniknąć) — zmień hasło do konta, którego hasło właśnie wpisałeś/wpisałaś. Użyj silnego, unikalnego hasła.
  2. Włącz uwierzytelnianie dwuskładnikowe na tym koncie, jeśli jeszcze nie jest aktywne.
  3. Wyloguj się ze wszystkich innych sesji. Większość głównych kont (Google, Microsoft, Apple, Facebook, twój bank) ma przycisk „wyloguj mnie ze wszystkich urządzeń" ukryty w ustawieniach bezpieczeństwa. Naciśnij go.
  4. Sprawdź ostatnią aktywność konta. Lokalizacje logowania, ostatnio wysłane e-maile, dodane metody płatności, skonfigurowane reguły przekazywania. Phisherzy często ustawiają regułę skrzynki odbiorczej, by zatrzeć ślady — usuń każdą regułę, której sam/sama nie tworzyłeś/tworzyłaś.
  5. Jeśli wpisałeś/wpisałaś dane bankowe — zadzwoń teraz na oficjalny numer swojego banku. Zablokowanie karty, reset hasła, przegląd transakcji. Bankowi dużo bardziej zależy na pięciominutowym ostrzeżeniu niż na pięciodniowej niespodziance.
  6. Jeśli wpisałeś/wpisałaś dokument tożsamości lub dane osobowe — zapoznaj się z tematem Odzyskiwanie po Kradzieży Tożsamości; odpowiedź jest inna i wolniejsza.
  7. Odłącz urządzenie od internetu, jeśli otworzyłeś/otworzyłaś załącznik lub coś pobrałeś/pobrałaś. Uruchom wbudowane skanowanie bezpieczeństwa systemu operacyjnego. Jeśli potem coś będzie wyglądać podejrzanie, traktuj urządzenie jako skompromitowane i poproś o pomoc.
  8. Ostrzeż osoby w swoich kontaktach. Skompromitowane konto e-mail jest często używane do phishowania osób, które ci ufają. Krótka wiadomość ostrzegawcza — wysłana przez inny kanał, np. WhatsApp lub SMS — zapobiega drugiej fali.

Czego NIE robić

Używanie AI do pomocy

Dwa prompty do skopiowania. Wklej podejrzaną wiadomość w całości — w tym nagłówki, jeśli możesz — i pozwól AI przeprowadzić cię przez analizę. Nie wklejaj haseł ani kodów dwuskładnikowych.

Czy ta wiadomość to phishing?

„Otrzymałem/am poniższą wiadomość. Nie jestem pewien/pewna, czy to próba phishingu. Proszę, przeanalizuj ją z perspektywy doświadczonego specjalisty ds. bezpieczeństwa i powiedz mi: (a) jakie sygnały alarmowe widzisz, (b) jak wygląda faktyczna domena nadawcy i czym różni się od prawdziwej organizacji, (c) co konkretnie wiadomość mnie prosi zrobić, oraz (d) w skali 1–10, jak prawdopodobne jest, że to próba phishingu, wraz z uzasadnieniem. Jeśli powinienem/powinnam teraz coś zrobić, wymień pierwsze trzy kroki w kolejności.

Wiadomość: [wklej tutaj]"

Już kliknąłem/kliknęłam — co teraz?

„Kliknąłem/kliknęłam w link w tym, co teraz uważam za e-mail phishingowy. Na stronie, na którą trafiłem/trafiłam, wpisałem/wpisałam [mój e-mail i hasło / numer karty kredytowej / dokument tożsamości / kod dwuskładnikowy]. Proszę, zbuduj mi spokojny plan odzyskiwania krok po kroku na najbliższe 30 minut, według priorytetu. Następnie powiedz mi, na co powinienem/powinnam uważać przez najbliższe dwa tygodnie."

Przypomnienie: AI może pewnie mylić się co do kwestii prawnych, numerów kontaktowych lub praw odzyskiwania w twoim konkretnym kraju. Używaj AI jako narzędzia do myślenia, a nie jako zamiennika szybkiej weryfikacji w prawdziwym banku lub urzędzie.

Do kogo dzwonić?

Kolejność jest prawie zawsze taka sama:

  1. Twój bank — jeśli w grę wchodzą pieniądze lub dane karty. Oficjalny numer z tyłu karty lub w aplikacji banku, nigdy ten z wiadomości.
  2. Prawdziwa organizacja podszywana w ataku. Samodzielnie znajdź jej oficjalną stronę kontaktową i zgłoś phishing — prowadzą rejestry i używają ich do usuwania fałszywych stron.
  3. Platforma, z której przyszła wiadomość (dostawca e-maila, operator SMS, komunikator). Większość ma jednoklowe funkcje „zgłoś phishing" lub „zgłoś oszustwo".
  4. Organ ds. zwalczania oszustw w twoim kraju.

Najnowsze kontakty dla twojego kraju z pomocą AI:

„Jestem w [twój kraj]. Wymień oficjalne organy rządowe i organy ścigania, którym powinienem zgłosić próbę phishingu lub oszustwo online — organ antyfraudowy, narodowe centrum cyberbezpieczeństwa, jednostka cyberprzestępczości policji, rzecznik klienta bankowego, ewentualny krótki kod SMS antyspamowy telekomu. Dla każdego podaj oficjalny URL i publiczny numer telefonu oraz powiedz, z kim skontaktować się najpierw w zależności od tego, czy (a) pieniądze już zostały przelane, (b) podano tylko hasło, czy (c) wydano dokument tożsamości. Podaj oficjalne źródło dla każdego. Jeśli coś może być nieaktualne, powiedz to wyraźnie."

Krótka lista dla Polski (dla najświeższych danych preferuj prompt AI powyżej):

Jeśli twojego kraju nie ma na liście, użyj promptu AI powyżej lub wyszukaj „[twój kraj] narodowe centrum cyberbezpieczeństwa" lub „[twój kraj] zgłaszanie oszustw". Większość ma jeden oficjalny portal.

Kiedy eskalować poza czat

Powiązane tematy

Źródła i odniesienia (wewnętrzne — nie wyświetlane na stronie na żywo):