O phishingu
Phishing to rodzaj ataku internetowego polegającego na podszywaniu się pod inne osoby lub instytucje celem wyłudzenia danych, informacji poufnych lub zainfekowania komputera. Podobnie jak w przypadku innych cyberataków, phishing może być skierowany do wielu odbiorców równocześnie. Jednak jedną z jego charakterystycznych i wyróżniających go cech jest próba uzyskania przez napastnika poufnych informacji wykorzystywanych do logowania się przez ofiarę m.in. w mediach społecznościowych, bankowości elektronicznej lub konta pocztowego. Jedną z popularnych metod propagacji phishingu są wiadomości e-mail. Cyberprzestępcy wykorzystują zaufanie odbiorcy do znanych podmiotów i podszywają się m.in. pod bank, urząd skarbowy, policję, pracodawcę, a nawet naszych znajomych. Posłużenie się powszechnie znanymi nazwami oraz logotypami firm i instytucji, sprawia, iż ofiara chętniej podejmuje działania, a tym samym zwiększa to prawdopodobieństwo ujawnienia przez nią poufnych danych bankowych, numerów kart kredytowych oraz haseł i loginów. Kolejną z cech charakterystycznych wiadomości phishingowych jest zawarty w nich link oraz ponaglenie do niezwłocznego podjęcia działania przez odbiorcę. Link zawarty w wiadomościach może przekierować ofiarę do fałszywych stron logowania oraz być nośnikiem złośliwego oprogramowania.
Co to jest spam?
Spam to niechciane wiadomości wysyłane masowo przez firmy lub innych nadawców. Uważa się, że prawie połowa wszystkich wysyłanych e-maili to spam, a według niektórych szacunków liczba ta może wynosić nawet ok. 107 miliardów wysyłanych wiadomości każdego dnia na całym świecie. Większość spamowych maili to reklamy, jednak niektóre z nich mogą być szkodliwe np. zawierają phishing lub złośliwe oprogramowanie. Nigdy nie klikaj w link zamieszczony w wiadomości e-mail, korespondencji w mediach społecznościowych lub zawarty w SMS-ie, jeśli nie masz 100% pewności, że jest on bezpieczny. Klikając w złośliwe łącze, możesz nieumyślnie umożliwić pobieranie złośliwego oprogramowania, w tym ransomware, na swój komputer, a nawet całą sieć domową bądź służbową. Zarówno złośliwe oprogramowanie, w tym ransomware, są zaprojektowane w celu wyrządzenia szkody.
Jak rozpoznać e-maile phishingowe?
Odróżnienie wiadomości phishingowych nie zawsze jest zadaniem prostym. Niestety, współczesne e-maile phishingowe stają się coraz bardziej wyrafinowane i trudne do wykrycia. Istnieje jednak kilka sposobów, które umożliwiają ocenę otrzymanej wiadomości jeszcze przed jej otwarciem.
Temat wiadomości e-mail
Temat e-maila zwykle ma Cię zaalarmować lub wywołać niepokój. Częstym przykładem są tytuły o treści: „Twoje konto zostanie zablokowane?” lub „GRATULACJE!!!”. Charakteryzuje je nieformalny styl oraz niejednolita struktura. Zawsze przeglądaj tematy e-maili przed ich otwarciem.
Nadawca
Nadawca e-maila zwykle stara się, aby adres był przekonujący np. sam@microsoft.info.cc. Po pierwsze, większość firm używa w adresie końcówki -.com lub jeśli ma siedzibę w Polsce to -.pl lub -.gov.pl. Jeżeli nadawca używa nietypowego adresu, nie otwieraj od niego wiadomości.
Treść e-maila
Najechanie myszką na tytuł e-maila, zwykle umożliwi nam podgląd części wiadomości. Istnieje duże prawdopodobieństwo, iż tekst będzie posiadał alarmujący charakter i będzie nakłaniał lub nawet wymuszał podjęcie natychmiastowego działania. Ponadto wiadomości phishingowe cechuje mnogość błędów językowych i gramatycznych. Jednym z nich może być błędna odmiana Twojego imienia lub zastąpienie go zwrotami wskazującymi na bardzo ważnego i cenionego klienta lub użytkownika. Wszystkie te elementy mogą być wskazówką, iż wiadomość jest fałszywa. Programy pocztowe często umożliwiają użytkownikom podgląd każdej wiadomości e-mail w oknie aplikacji przed jej otwarciem. Unikaj klikania w hiperłącza w wysyłanych wiadomościach e-mail z wyjątkiem wiadomości, których nadejścia się spodziewałeś a ich nadawca jest przez Ciebie zweryfikowany.
Rodzaje ataków phishingowych
Phishing to jedno z najbardziej powszechnych zagrożeń, z jakimi mamy obecnie do czynienia w Internecie. Większość z nas wie, czym jest i zna dotychczasowe schematy działania, ale wciąż dajemy się zwieść pozorom. Każdego dnia się miliony organizacji stają się celem oszustwa, które polega na wysyłaniu przez przestępców wiadomości podszywających się pod legalne źródła. Wiadomości te kierują odbiorców na fałszywy link do strony internetowej, która ma na celu przechwytywać dane osobowe lub zawiera złośliwy załącznik. Powszechnie uważa się, że phishing występuje tylko w wiadomościach e-mail, ale obecnie jest modyfikowany i przesyłany za pomocą innych platform, takich jak SMSy, media społecznościowe i rozmowy telefoniczne. Każdy z nas może paść ofiarą jednego z tych oszustw.
Spear phishing
Podczas gdy phishing opiera się na wysyłaniu wiadomości do dużej, masowej grupy odbiorców, spear phishing celuje w konkretną osobę np. konkretnego pracownika w organizacji. Wiadomości te są zazwyczaj starannie skonstruowane z uwzględnieniem aspektów życia osobistego i zawodowego danej osoby. Jest to atak ukierunkowany, a cyberprzestępca poświęca dużo więcej czasu na zdobycie uwiarygadniających go informacji. Celem tych ataków jest zdobycie informacji na temat dostępu do systemów organizacji, zwykle jako sposób na wprowadzenie do systemu oprogramowania ransomware lub innego typu złośliwego oprogramowania. Takie wiadomości mogą być bardzo przekonujące, więc zachowaj czujność! Jeśli w miejscu pracy otrzymasz nietypową wiadomość e-mail od innego pracownika lub pracownika firmy współpracującej, spróbuj skontaktować się z nim telefonicznie lub osobiście w celu weryfikacji prawdziwości treści wiadomości. Szczególnie podatni na ataki typu spear phishing mogą być nowi pracownicy, dlatego warto przeprowadzić szkolenie z zakresu cyberbezpieczeństwa już pierwszego dnia pracy.
Whale phishing
Whale phishing jest atakiem przypominającym spear phishing, cechuje go jednak jeszcze dokładniejsze ukierunkowanie. Jego celem jest wyższa kadra kierownicza organizacji. Ma dokładnie takie same intencje, ale bardzo specyficzny wektor. Częstym celem whale phishingu są dyrektorzy działu HR lub finansowego. Techniki wykorzystywane w tym oszustwie są znacznie bardziej subtelne niż w przypadku innych ataków phishingowych. Sztuczki takie jak fałszywe linki i złośliwe adresy URL nie są w tym przypadku zbyt skuteczne, ponieważ przestępcy próbują naśladować pracowników wyższego szczebla. Cyberprzestępcy próbują w ten sposób wyłudzić poufne dokumenty np. listy płac. Takie bazy danych zawierają znaczną ilość informacji osobowych m. in. nazwiska, adresy oraz informacje o numerach kont bankowych.
Vishing i smishing
Vishing i smishing zastępują komunikację e-mailową poprzez wykorzystanie telefonów. Smishing polega na wysyłaniu przez przestępców fałszywych SMSów, a vishing – na oszustwie podczas rozmowy telefonicznej. Powszechne oszustwo vishingowe polega na podszyciu się przestępcy pod policjanta lub pracownika banku informującego ofiarę np. o blokadzie jej konta bankowego. Inne często stosowane oszustwo vishingowe polega na podawaniu się za firmę zajmującą się dochodzeniem odszkodowań i pytaniu o ostatnie wypadki samochodowe. W obu przypadkach celem jest uzyskanie od potencjalnych ofiar informacji o kartach płatniczych, dostępów do bankowości elektronicznej lub zdobycie zdalnego dostępu do ich smartfonów.
Aby temu zapobiec, odbieraj tylko te połączenia ze zidentyfikowanych numerów. Jeśli podczas rozmowy telefonicznej nieznany rozmówca poprosi Cię o podanie danych kart lub innych informacji wrażliwych po prostu rozłącz się i zablokuj numer. Niestety przestępcy potrafią też podrobić numer telefonu lub jego nazwę (np. Mój Bank). Zachowaj czujność podczas rozmowy z rzekomym pracownikiem banku i nie podawaj żadnych danych do logowania. Najlepiej rozłącz się i potwierdź prawdziwość sytuacji, dzwoniąc na oficjalny numer infolinii banku, który znajduje się na jego stronie internetowej.
Schemat Smishingu jest porównywalny do vishingu, ale odbywa się poprzez wiadomości SMS. Takie SMSy będą zawierać linki lub wiadomości, wymagające od Ciebie odpowiedzi lub podjęcia niezwłocznego działania. Cyberprzestępcy często informują o rzekomej potrzebie dopłaty do paczki lub opłacie rachunku za media i podają spreparowany link do płatności. Zignoruj i usuń wszystkie wiadomości SMS zawierające linki.
Angler phishing
Media społecznościowe to stosunkowo nowy wektor ataku, który oferuje przestępcom wiele sposobów na oszukanie ludzi. Angler phishing może polegać na tym, że przestępca podszywa się pod konto obsługi klienta lub legalnej firmy w mediach społecznościowych, mając nadzieję na dotarcie do niezadowolonych klientów i zwabienie swoich ofiar do przekazania im danych osobowych lub danych uwierzytelniających do konta.
Świadomość jest Twoją najlepszą linią obrony
Jeśli otrzymasz wiadomość e-mail, SMS lub telefon od kogoś, kto twierdzi, że jest pracownikiem banku lub innej instytucji, zawsze bądź uważny. Prawdziwa firma nigdy nie zadzwoni lub nie wyśle e-maila z prośbą o podanie haseł lub danych bankowych. Jeśli masz wątpliwości, usuń wiadomość lub przerwij połączenie i zweryfikuj pozyskane informacje, poprzez kontakt telefoniczny z oficjalną infolinią. Numery infolinii zawsze sprawdzaj na głównych stronach organizacji i firm.
Niestety, nie istnieją żadne techniczne środki, które mogłyby całkowicie wyeliminować phishing. Problem nie dotyczy systemów, a raczej użytkowników Internetu oszukiwanych przez cyberprzestępców. Oszuści wykorzystują pośpiech i stres ludzi, którzy prawdopodobnie popełnią błąd, podając poufne informacje. Celowo wywierają presję na ofiarę, stwarzając pewnego rodzaju pilną sytuację, np. grożąc blokadą konta lub karą finansową, a następnie wykorzystują to, aby umożliwić ofierze podjęcie pospiesznej i nieprzemyślanej decyzji. Tego rodzaju ataki znane są również jako „inżynieria społeczna” czy „socjotechnika”, co oznacza, że atakujący manipulują ludźmi zamiast technologią.
Najlepszym sposobem na ochronę użytkowników przed atakami phishingowymi jest edukacja i świadomość.