Nie powinniśmy odpowiadać na żadne maile ani klikać w zamieszczone w nich linki, dopóki nie upewnimy się, że mail i nadawca jest prawdziwy. Jak rozpoznać phishing – e-maile wyłudzające informacje? Co robić, gdy do naszej skrzynki mailowej trafi podejrzany mail?
Jak pisaliśmy w tekście „Co to jest phishing?”, cyberprzestępcy najczęściej podszywają się pod powszechnie znane firmy lub instytucje. Mogą to być banki, firmy kurierskie, urzędy administracji, operatorzy telekomunikacyjni, a także Google, Microsoft czy Apple.
Na co zwracać uwagę, by rozpoznać phishing:
- Sprawdź, czy e-mail pochodzi z organizacji, na którą powołuje się nadawca. Spójrz na nazwę nadawcy, czy wygląda na prawdziwą, czy może tylko naśladuje kogoś, kogo znasz.

- Zwróć uwagę, na wygląd i ogólną jakość e-maila. Spójrz, czy użyte logotypy, stopki z danymi adresowymi nadawcy itp. są prawidłowe. Jeśli zauważysz jakieś błędy, to prawdopodobnie e-mail nie pochodzi z firmy, która jest podpisana jako nadawca.
- Często maile z phishingiem wysyłane są przez przestępców z odległych krajów, którzy nie znają języka polskiego. W związku z tym ich treść ma błędy gramatyczne czy interpunkcyjne – wynikające z użycia automatycznego translatora. Bardzo często też brakuje polskich znaków diakrytycznych – nie używa się „ą”, „ę”, „ł”, „ś” itd.
- Często phishing zawiera ukryte zagrożenie, które wymaga natychmiastowego działania. Może to być na przykład : „Jeśli nie zweryfikujesz swoich danych w ciągu 12 godzin, twoje konto zostanie definitywnie zamknięte”. Trzeba zachować szczególną czujność, jeśli mail zawiera sformułowania typu „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”.
- Zazwyczaj nadawca e-maila z phishingiem zwraca się do adresata bez podania imienia i nazwiska, ale „Drogi kliencie”, „Szanowni Państwo” itp. Zwykle oznacza to, że przestępca poznał tylko jego adres mailowy, a nie zna jego imienia i nazwiska. Można to też zauważyć w zamieszczonym powyżej przykładowym e-mailu – nadawca nie podaje imienia ani nazwiska odbiorcy. Pisze od razu: „Your iCloud ID has been locked….”.
- Uważaj na skrócone linki, przyciski, w które masz kliknąć. Jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki lub obok przycisku zostanie wyświetlony pełen adres linku (spójrz na zdjęcie powyżej).
- Nikt nie rozdaje pieniędzy ani cennych nagród. Zanim klikniesz, żeby odebrać taką nagrodę – samochód, lodówkę albo 2 tysiące złotych – zastanów się, dlaczego ktokolwiek miałby to robić. Możesz być pewien, że nadawcą jest przestępca, który chce w ten sposób wyłudzić twoje dane osobowe.
- Banki lub jakiekolwiek inne instytucje nigdy nie proszą swoich klientów w wiadomościach e-mail o podanie danych osobowych, nie wysyłają też linków do weryfikacji danych osobowych.
- Urzędy administracji publicznej nie wysyłają e-maili czy SMS-ów z prośbą o uregulowanie należności.
- Jeśli dostaniesz taki e-mail z banku lub z urzędu, zadzwoń do tej instytucji i upewnij się, czy rzeczywiście została wysłana taka wiadomość.
- Nie otwieraj podejrzanych załączników w mailach także od znajomych. Bardzo często cyberprzestępcy przejmują kontrolę nad kontami w mediach społecznościowych i rozsyłają zainfekowane wiadomości.
Jeśli zauważysz podejrzanego e-maila, najlepiej nie otwieraj go, ale oznacz w skrzynce odbiorczej jako spam lub wiadomości śmieci, lub podejrzany. Spowoduje to usunięcie go ze skrzynki odbiorczej, a także poinformowanie dostawcy poczty e-mail, że zidentyfikowałeś go jako potencjalnie niebezpieczny.
Gdzie i jak zgłaszać podejrzenie phishingu?
Zgłaszanie phishingu jest bardzo proste i zajmuje dosłownie minutę. Trzeba walczyć z tym rodzajem przestępstwa. Wystarczy tylko zapisać podejrzaną wiadomość do pliku .eml i wejść na stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska https://incydent.cert.pl/. Nie musimy nawet podawać swoich danych. Poprzez tę stronę można także zgłaszać inne cyberprzestępstwa – fałszywe sklepy internetowe, strony ze złośliwym oprogramowaniem itp. Jeśli obawiamy się, że padliśmy ofiarą oszustwa lub wykryliśmy podejrzenie oszustwa, warto zgłosić sprawę także policji lub prokuraturze.