Wyłudzanie i wykorzystywanie poufnych informacji oraz danych osobowych stało się plagą ostatnich lat. Działania ta realizowane są przez cyberprzestępców w różnych celach, a każdy może paść ich ofiarą. Z tego artykułu dowiesz się, co to jest phishing i jak wygląda atak phishingowy – jedno z popularniejszych zagrożeń cybernetycznych współczesnych czasów!
Czym jest phishing?
Utrata dostępu do konta poczty internetowej, serwisów społecznościowych, “wyczyszczenie” rachunku bankowego, a może wyciek poufnych informacji? Te i wiele innych nieszczęśliwych zdarzeń mogą być skutkiem przeprowadzonego ataku phishingowego. Dobrą informacją jest to, że można się przed nim skutecznie bronić. Zła informacja to konieczność ciągłego zachowywania czujności w sieci, w każdym przypadku – każdy może paść ofiarą phishingu.
Co to jest phishing? Zgodnie z definicją, phishing to rodzaj ataku internetowego polegającego na podszywaniu się pod inne osoby lub instytucje celem wyłudzenia danych, informacji poufnych lub zainfekowania komputera. Niektóre przypadki phishingu związane są także z działaniami ukierunkowanymi na skłonienie ofiary do wykonania poszczególnych czynności, np. przekazania przestępcom pieniędzy. Phishing jest jedną z najprostszych metod znanych współczesnej cyberprzestępczości, ale jednocześnie wciąż jest niezwykle zjadliwy. Skuteczność phishingu wynika z tego, że wykorzystuje on mechanizmy miękkie i to, że człowiek jest najsłabszym ogniwem wszystkich zabezpieczeń.
Jak wyglądają ataki phishingowe? Przykłady
Atak phishingowy najczęściej polega na przesyłaniu fałszywych maili, wiadomości poprzez serwisy społecznościowe oraz SMS-ów. Komunikaty te są przesyłane zbiorczo do bardzo dużej liczby odbiorców. Na podstawie tego mechanizmu utworzono nazwę tego cyberprzestępstwa, która celowo nawiązuje do słowa fishing, oznaczającego “łowienie ryb”. Hakerzy “zapuszczają sieci” na wielu użytkowników i czekają aż ktoś w nie wpadnie.
Wiadomości phishingowe charakteryzować się mogą manipulacjami, sensacyjnymi treściami i wieloma innymi sztuczkami, które mają za zadanie przykuć uwagę. Powszechne są materiały, które w bardzo dokładny sposób podszywają się pod zaufane instytucje prywatne i publiczne, np. banki, ministerstwa, urzędy skarbowe, szkoły i nie tylko. Wiadomości zawierają niebezpieczne załączniki lub odnośniki, które po kliknięciu mogą prowadzić do instalacji szkodliwego oprogramowania, np. programów szpiegujących (spyware). Mogą też kierować do stron podszywających się pod witryny zaufanych instytucji, żeby wyłudzić loginy i hasła lub dokonać kradzieży tożsamości.
W przeciwieństwie do innych działań cyberprzestępczych phishing nie zawsze wykorzystuje wirusy, luki systemowe, ani inne rozwiązania techniczne. Głównym źródłem skuteczności ataków phishingowych jest socjotechnika. Aby dokładnie zrozumieć, na czym polega atak phishingowy, warto przeanalizować najpopularniejsze przykłady tego typu działań:
- Wiadomość mailowa o niezapłaconej fakturze – maile tego typu adresowane są zbiorczo do przedsiębiorców (baza podanych adresów email jest publiczna) w celu uzyskania szybkiej płatności. Fikcyjna faktura jest stworzona tak, aby sprawiała wrażenie prawdziwej. Wiadomość taka wciąż może być zainfekowana i/lub posiadać odnośnik do strony wykradającej dane osobowe. Jednak w tym wypadku przestępcy liczą na pośpiech i błąd odbiorcy: otrzymując regularnie wiele faktur, przedsiębiorca może pomylić się i “automatycznie” dokonać płatności lub podać numer karty kredytowej.
- Akceptacja polityki prywatności – wiele oszustw phishingowych wykorzystuje praktykę stosowaną przez różne portale – obowiązek informacyjny powstający przy wprowadzaniu zmian do regulaminów korzystania usług. Oszuści podszywają się we wiadomościach pod popularne portale, a maile zawierają linki do fałszywych, zainfekowanych stron.
- Wiadomości od banków, sklepów internetowych i serwisów społecznościowych – kolejny popularny sposób oszustwa w Polsce i na świecie bazuje na zaufaniu wobec znanych firm i ich stron internetowych. Szczególnie powszechne są fałszywe wiadomości od Allegro i OLX, które zawierają szkodliwe oprogramowanie lub link prowadzący do niebezpiecznej strony internetowej, która wyłudza dane internautów.
Phishing z upublicznieniem hasła prywatnego
Wiadomość email z podanym hasłem użytkownika – to pojawiający się przykład phishingu, który wykorzystuje socjotechnikę. Jest połączeniem ataków phishingowych z oszustwem typu ransomware, nastawianym na uzyskanie okupu. Adresat wiadomości podaje hasło użytkownika, a następnie dodaje informacje o tym, co rzekomo robi on na komputerze. Bardzo często wykorzystywana jest narracja związana z oglądaniem stron pornograficznych.
Wynika to z faktu, że tak przygotowany scenariusz pasuje do wielu osób, dlatego stwarza możliwość “złowienia” większej liczby ofiar. Co istotne – hasło faktycznie może być ciągiem znaków wykorzystywanych przez odbiorcę wiadomości. Nie oznacza to jeszcze, że jest się pod obserwacją hakerów. W takiej sytuacji zaleca się spokój – prawdopodobnie nie doszło do żadnego ataku, a narracja wymuszeniowa jest całkowicie wymyślona.
Hasło zaś może pochodzić z ataku przeprowadzonego na dany serwis internetowy, z którego wykradziono dane wszystkich użytkowników. To znak, że jak najszybciej należy zmienić hasło na nowe. Korzystając ze strony haveibeenpwned.com, można sprawdzić, czy nasze hasło wpadło w ręce hakerów przy wycieku z jakiegoś serwisu internetowego. Dlatego warto korzystać z mocnych haseł i stosować zasadę, że do każdego serwisu internetowego stosuje się osobne hasło.
Phishing na pozyskanie danych – afrykański książę i służby mundurowe
Ciekawym i utartym już przykładem ataków phishingowych są maile kierowane rzekomo przez afrykańskiego księcia, polityka, bliskowschodniego szejka lub inną ciekawą personę. Wiadomości zawierają informacje o chęci przekazania dużych pieniędzy ofierze. Aby otrzymać środki i jednocześnie pomóc w potrzebie, zazwyczaj wystarczy podać swoje dane do rachunku bankowego. Oszustwo to może przybierać także formę krewnego piszącego ws. spadku lub wdowy wojennej, która potrzebuje odzyskać środki finansowe, dlatego musi je tymczasowo komuś przelać. Możliwe są różne scenariusze, których efektem ma być przekazanie przez ofiarę poufnych danych.
Nie brakuje również fałszywych maili phishingowych wysyłanych rzekomo przez instytucje powszechnego zaufania i urzędy oraz służby państwowe. Oszuści mogą wykorzystywać wizerunek banków, policji, służby celnej, sądownictwa, a nawet wojska. Wysyłają wiadomości z linkiem do fałszywej strony, która do złudzenia przypomina prawdziwy serwis internetowy instytucji, pod którą podszywa się przestępca. A od tego już prosty krok do przechwycenia danych konta bankowego czy numerów kart kredytowych.
Chociaż powyższe metody phishingu wydają się być zupełnie nieskuteczne, nie ma dnia, aby nie generowały dochodów dla cyfrowych terrorystów. Mailing ten wysyłany jest na skrzynki pocztowe milionów użytkowników z całego świata. Wciąż jakiś promil jest w stanie udostępniać w ten sposób swoje dane. Oczywiście phishing może przybierać także znacznie więcej form, a powyższe przykłady to wąski, wyselekcjonowany zbiór powszechnych praktyk.
Spear phishing – spersonalizowana forma phishingu
Spear phishing to znacznie bardziej wyspecjalizowana wersja phishingu, która jest kierowana do wybranych ofiar. W tej formie ataku wiadomości są spersonalizowane i wykorzystują bardzo dużo danych, które wcześniej zostały pozyskane na temat ofiary. Mogą być to dane zdobyte za pomocą białego wywiadu i technik OSINT lub pozyskane z wycieków z innych serwisów internetowych.
Przy spear phishingu ofiara otrzymuje tak spreparowaną wiadomość e-mail lub SMS, że znaczenie trudniej jest jej na pierwszy rzut oka wychwycić, że jest właśnie na nią przeprowadzany atak typu phishing.
Jak rozpoznać fałszywe wiadomości?
Fałszywe wiadomości można rozpoznać przede wszystkim po analizie ich zawartości. Jeszcze kilka lat temu zalecić można było zwracanie uwagi na różne błędy językowe. Choć wciąż się zdarzają, poziom językowy phishingowego spamu trafiającego do polskich skrzynek jest już znacznie wyższy. Podobnie materiały graficzne i znaki handlowe przedsiębiorstw, pod które podszywają się oszuści, mogą na pierwszy rzut oka wydawać się identyczne względem oryginalnych. Odróżnienie fałszywej wiadomości od prawdziwej staje się coraz trudniejsze. Analizując pocztę, warto zwrócić uwagę na:
- niepoprawną gramatykę i interpunkcję, brak stosowania polskich znaków językowych,
- adres email wiadomości – może być zupełnie niewiarygodny i sprzeczny z treścią lub zawierać wtrącone znaki,
- logotypy, stopki, materiały graficzne,
- podejrzane nagłówki szantażujące, proszące o pomoc, oferujące wsparcie.
Pamiętaj również, że:
- Twój bank nigdy nie będzie wysyłał wiadomości mailowych, w których konieczne jest kliknięcie na odnośnik. Wszystkie informacje sprawdzisz po zalogowaniu się do konta.
- Ministerstwa, urzędy, jednostki samorządowe i inne podmioty publiczne nie wysyłają wiadomości odsyłających do innych stron. W celu bezpieczeństwa nie zaleca się ich otwierać, w razie wątpliwości warto skontaktować się z wybranym urzędem.
- Ktokolwiek, kto żąda od Ciebie wpłacenia natychmiast pieniędzy, jest oszustem.
Jak rozpoznać fałszywe strony?
Jednym z najczęstszych celi phishingu jest zachęcenie użytkownika do kliknięcia w linki w wysyłanych wiadomościach. Dlatego bardzo ważne jest, żeby zwracać uwagę na adresy stron, które pojawiają się w mailach. I jeśli nie ma się pewności i takiej potrzeby, to nie klikać w linki w wiadomościach, co do których mamy podejrzenia że coś jest nie tak.
Najczęściej przestępcy wykorzystują domeny, które do złudzenia przypominają prawdziwe adresy stron instytucji, pod które się podszywają. Korzystają z tego, że wiele znaków jest podobnych i na pierwszy rzut oka nikt specjalnie dokładnie nie analizuje tego, czy adres strony internetowej jest prawidłowy. A to już prosty krok do wyłudzenia danych karty kredytowej, danych do logowania i innych wrażliwych informacji.
W linkach pewne znaki mogą być zamienione, np. zamiast litery O może pojawić się zero (0), a zamiast małej litery l, pojawi się cyfra 1. Na pierwszy rzut trudno to odróżnić. Adresy stron internetowych również mogą wyglądać dziwnie. Posiadać nazwę serwisu, ale mieć kilka dodatkowych znaków i kombinacji, które wprowadzają zamęt. Przykładowo:
- peka0.com.pl-enter.pl
- 0lx-pl.porta1.com
- mbank.pl-com1.com
Zasady odróżniania zawartości fałszywych witryn internetowych od prawdziwych co do zasady przypominają sposoby weryfikacji maili. W tym zakresie także kluczowe jest sprawdzenie materiałów graficznych, poprawności językowej i oczywiście pełnego adresu strony internetowej. Fałszywe strony mogą też mieć więcej podejrzanych reklam i linków. Jeśli na stronę banku przekierowani zostaliśmy po przeczytaniu wiadomości mailowej, znacznie bezpieczniej będzie wyjść ze strony i znaleźć oficjalną stronę logowania poprzez wyszukiwarkę, np. Google.
Jak bronić się przed phishingiem?
Głównym sposobem zabezpieczenia się przed phishingiem jest prewencja. Świadomość występowania takich zagrożeń cybernetycznych i ich charakteru pozwala uniknąć wielu stresujących sytuacji. W internecie zawsze powinniśmy kierować się zasadą maksymalnie ograniczonego zaufania. Nawet wtedy, gdy uznamy czasem prawdziwą wiadomość za oszustwo, konsekwencje takiego działania nie będą szkodliwe w przeciwieństwie do zbytniej ufności, która narazić nas może na wyciek danych lub utratę pieniędzy.
Warto również korzystać z dobrych programów antywirusowych, które posiadają zabezpieczenia dla używanych przeglądarek, warto też zadbać o działający na komputerze firewall. Ważnym aspektem jest rodzaj używanej skrzynki pocztowej. Niektóre systemy lepiej radzą sobie z filtrowaniem spamu i złośliwych wiadomości jak np. Gmail a inne znacznie gorzej. W razie potrzeby można także rozważyć zastosowanie sieci VPN, które coraz częściej pozwalają na opcjonalne włączenie filtrowania witryn ze złośliwym oprogramowaniem
Gdzie zgłosić phishing?
Phishing, jako próba umyślnego wprowadzenia w błąd w celu kradzieży danych lub mienia, jest przestępstwem, które powinno zostać zgłoszone na policji. Ze względu na specyficzny rodzaj takich działań w Polsce powołano także specjalną jednostkę zajmującą się tego typu cyberprzestępczością – CERT. To zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci, który funkcjonuje od 1996 roku.
Podejrzane wiadomości SMS i linki można przesyłać do analityków CSIRT NASK na numer 799 448 084. Zgłoszenia o atakach można także przesłać przez formularz online za pomocą oficjalnej strony CERT do zgłaszania incydentów: https://incydent.cert.pl/.