Phishing w wyszukiwarce, znany również jako atak SEO poisoning, polega na tym, że cyberprzestępcy wykorzystują optymalizację wyszukiwarek, aby wyświetlać się jako najlepsze wyniki w wyszukiwarce, próbując doprowadzić użytkowników do fałszywej strony internetowej. Sfałszowana strona internetowa wygląda jak oryginalna witryna, więc osoba, które ją kliknie, może zalogować się na swoje konto w zwykły sposób. Nie wie jednak, że cyberprzestępcy będą w stanie wykraść jej dane logowania i wykorzystać je do naruszenia bezpieczeństwa konta lub wielu kont, jeśli używa do nich tego samego hasła.
Phishing w wyszukiwarce to oszustwo, którego ofiarą może paść każdy. Ważne jest, aby dowiedzieć się, jak to działa i jakie kroki można podjąć, aby nie paść ofiarą takiego oszustwa phishingowego.
Czym jest wyszukiwarka?
Wyszukiwarka to narzędzie, które umożliwia każdemu wyszukiwanie informacji w Internecie. Niektóre popularne wyszukiwarki to Google, Yahoo!, DuckDuckGo i Bing. Wiele osób korzysta z wyszukiwarek na co dzień, więc nic dziwnego, że cyberprzestępcy wykorzystują optymalizację wyszukiwarek, aby oszukać więcej osób.
Czym jest pozycjonowanie (SEO)?
Pozycjonowanie – Search Engine Optimization (SEO) – to proces poprawy widoczności witryny w wyszukiwarkach. Im lepsza widoczność witryny w wynikach wyszukiwania, tym większe prawdopodobieństwo, że użytkownicy klikną link i odwiedzą stronę. Prowadzi to do zwiększenia liczby odwiedzających witrynę, którzy mogą przekształcić się w regularnych klientów lub odbiorców.
Jak działa phishing w wyszukiwarce?
Phishing w wyszukiwarce zaczyna się od wyszukiwania. Za każdym razem, gdy chcemy wyszukać coś w Internecie, przechodzimy bezpośrednio do naszej ulubionej wyszukiwarki i wpisujemy to w polu wyszukiwania. Wyświetlane wyniki nazywamy stroną wyników wyszukiwania (SERP) lub po prostu „wynikami wyszukiwania”. Jeśli chodzi o wyniki wyszukiwania, ważne jest, aby pamiętać, że tylko 0,63% użytkowników przechodzi na drugą stronę Google, gdy czegoś szukają. W związku z tym firmom zależy, aby koniecznie pojawić się na pierwszej stronie.
Korzystając z SEO, cyberprzestępcy mogą uzyskać wyższą pozycję w wyszukiwarkach i sprawić, że ich fałszywe strony będą bardziej zauważalne dla użytkowników. Chociaż ufamy, że wyszukiwarki dostarczają nam najdokładniejszych i najbardziej pomocnych informacji, nieuniknione jest, że cyberprzestępcy będą próbowali nas oszukać.
W wyniku stosowania phishingu w wyszukiwarce możemy nawet nie zdawać sobie sprawy, że jesteśmy na fałszywej stronie, dopóki nie będzie za późno. Istnieje jednak kilka oznak, na które należy zwrócić uwagę, aby zauważyć, że dana witryna jest sfałszowana. Te oznaki to:
- Losowo pojawiające się wyskakujące okienka
- Przegrzewanie się urządzenia
- Urządzenie działa wolniej niż zwykle
- Błędy ortograficzne lub gramatyczne
- Dziwnie wyglądający adres URL
Przykład phishingu w wyszukiwarce
Poniżej znajduje się przykład phishingu w wyszukiwarce.
Jak chronić się przed phishingiem w wyszukiwarce?
Oto kilka sposobów ochrony przed phishingiem w wyszukiwarce.
Dokładnie sprawdź adres URL przed kliknięciem wyniku wyszukiwania
Podczas wyszukiwania czegoś w Internecie, wyświetlane wyniki wyszukiwania zawsze pokazują pełny adres URL witryny, na którą zostaniesz przekierowany, znany inaczej jako adres strony internetowej. Ważne jest, aby zawsze sprawdzać adres URL witryny przed kliknięciem, nawet jeśli pojawia się ona w wynikach wyszukiwania, ponieważ można zauważyć, że coś jest nie tak. Gdyby np. istniała witryna podszywająca się pod bank Chase, sfałszowany adres URL mógłby wyglądać tak: Chasee.com.
Innym sposobem na dokładne sprawdzenie adresu URL witryny jest skorzystanie z Raportu przejrzystości Google. Wystarczy kliknąć prawym przyciskiem myszy wynik wyszukiwania i wybrać opcję „kopiuj adres linku” z listy rozwijanej. Po skopiowaniu możesz wkleić go do narzędzia, a ono poinformuje Cię, czy witryna jest bezpieczna. Jeśli nie jest bezpieczna, narzędzie poinformuje Cię o tym. Nie należy wtedy klikać wyniku wyszukiwania.
Skorzystaj z menedżera haseł
Menedżer haseł to narzędzie, które pomaga użytkownikom w tworzeniu i bezpiecznym przechowywaniu haseł oraz zarządzaniu nimi. Dzięki menedżerowi haseł jedynym hasłem, które muszą zapamiętać, jest hasło główne. Wiele menedżerów haseł posiada funkcję autouzupełniania, która ułatwia użytkownikom logowanie się do kont.
Mało znaną zaletą menedżera haseł jest to, że nie uzupełni on automatycznie danych uwierzytelniających, jeśli adres strony internetowej nie pasuje do adresu zapisanego w magazynie. Może w ogóle uniemożliwić wprowadzenie danych uwierzytelniających i uchronić konto przed naruszeniem.
Istnieją narzędzia, które informują użytkownika, czy wynik wyszukiwania można bezpiecznie kliknąć, opierając się na adresie URL i treści strony. Jednym z takich narzędzi jest McAfee WebAdvisor, który umieszcza zielony znak wyboru obok wyniku wyszukiwania, jeśli jest on bezpieczny do kliknięcia. Gdy narzędzie wykryje, że witryna może być niebezpieczna, po prawej stronie wyniku wyszukiwania pojawi się ostrzeżenie w postaci czerwonej flagi.
Co zrobić, jeśli padniesz ofiarą phishingu w wyszukiwarce?
W niektórych przypadkach użytkownik może zauważyć, że padł ofiarą phishingu w wyszukiwarce po wejściu na stronę i wprowadzeniu swoich danych uwierzytelniających. Jeśli tak się stanie, podejmij poniższe działania, aby złagodzić skutki.
Uruchom oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem.
Możliwe, że Ty lub ktoś, kogo znasz, padnie ofiarą tego typu oszustwa phishingowego, ponieważ wyszukiwarki są narzędziem, z którego wszyscy korzystamy na co dzień. Jeśli tak się stanie, jednym z najważniejszych kroków, które należy podjąć, jest uruchomienie na urządzeniu oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem. Sfałszowane witryny mogą zawierać złośliwe oprogramowanie, dlatego ważne jest, aby podjąć kroki w celu usunięcia wszelkich programów, które mogły zostać nieświadomie zainstalowane podczas odwiedzania witryny.
Natychmiast zmień hasło
Jeśli zdasz sobie sprawę, że wprowadziłeś swoje dane uwierzytelniające na sfałszowanej witrynie, musisz jak najszybciej zmienić hasło. Jeśli tego nie zrobisz, cyberprzestępcy mogą naruszyć Twoje konto. W zależności od konta, na które się włamują, mogą wyrządzić poważne szkody, a nawet posunąć się do kradzieży pieniędzy.
Menedżery haseł upraszczają proces zarządzania i zapamiętywania haseł oraz sprawiają, że zmiana haseł na silne i unikalne jest bezproblemowa.
Oszustwa phishingowe stają się coraz bardziej wyrafinowane, a phishing w wyszukiwarce jest jednym z przykładów tego, jak daleko cyberprzestępcy posuwają się, aby oszukać ludzi. Zapoznanie się z nimi to jeden krok we właściwym kierunku, ale czujność na oszustwa phishingowe jest równie ważna. Dowiedz się więcej o najczęstszych typach ataków phishingowych i sposobach ochrony przed nimi.