Haker

i

Autor: Canva

Cyberbezpieczeństwo

Co to jest phishing i jak działają cyberprzestępcy? Nie daj się złowić w sieci oszustów!

W dobie XXI wieku i błyskawicznego rozwoju nowych technologii, cyberprzestępcy mają szerokie "pole do popisu". Niemal każdego dnia jesteśmy narażeni na ataki hakerskie, wyciek danych czy próby oszustwa. Jedną z form cyberprzestępczości jest phishing. Na czym polega?

Zacznijmy od początku: czym jest phishing i jakie przybiera formy? 

Phishing to rodzaj cyberataku, podczas którego cyberprzestępca podszywa się pod zaufane źródło, by od nieświadomego i niczego nie podejrzewającego użytkownika wyłudzić jego poufne dane. I zagrożenie jest naprawdę poważne, bo cyberprzestępca może udawać nasz bank, firmę kurierską z której zawsze korzystamy, serwis społecznościowy, naszą firmę hostingową, czy dostawcę usługi internetowej, której jesteśmy subskrybentem.

Atakujący dokonując phishingu wysyła np. fałszywą wiadomość e-mail, przekierowując nas na spreparowaną przez siebie stronę internetową, która na pierwszy rzut oka nie wzbudza naszych podejrzeń, bo wygląda niemal identycznie jak znana nam domena dostawcy czy sklepu, z którego zwykle korzystamy. Ale i tu, jak w wielu życiowych przypadkach, diabeł tkwi w szczegółach, bo np. w adresie domeny zastąpiono jedną literę lub użyto znaków z innego języka, w pierwszej chwili bardzo trudnych do rozróżnienia i wyłapania. Finalnie fałszywa strona internetowa wygląda jak oryginalna, właśnie po to, by niczego nie świadomy użytkownik wykonał pożądaną przez oszustów akcję. Może być nią kliknięcie w link, zalogowanie się do panelu czy zapis na newsletter, gdyż zazwyczaj celem takich działań jest pozyskanie danych logowania. Ofiara poproszona o to w poleceniu wpisuje swój login i hasło, pewna, że podaje je właściwemu podmiotowi, ale w rzeczywistości dane trafiają do bazy danych atakującego.

Jaki jest cel phishingu? 

Phishing jest przeprowadzany z różnych powodów – ale zazwyczaj po to, by oszuści mogli uzyskać nieautoryzowany dostępu do poufnych informacji o użytkowniku lub dla osiągnięcia przez nich korzyści finansowych. 

Możemy wyróżnić najczęściej pojawiające się scenariusze:

  • Kradzież tożsamości – tu celem ataku jest pozyskanie poufnych informacji. Mogą to być hasła, dane logowania, numery kart kredytowych czy kont bankowych, adresy zamieszkania itp. Zdobyte dane mogą być następnie wykorzystane do kradzieży tożsamości, oszustw finansowych lub innych nielegalnych działań.
  • Dostęp do konta i danych wrażliwych – ataki phishingowe mogą być ukierunkowane także na firmy i organizacje. Wtedy celem jest zwykle uzyskanie dostępu do wrażliwych danych firmowych, takich jak informacje o użytkownikach, dane finansowe, dane logowania do systemów itp. Mając te informacje przestępcy mogą wykorzystać je w celu oszustwa, szantażu czy nawet sprzedaży (!!!) na czarnym rynku.
  • Korzyści finansowe – to, że celem oszustów jest uzyskanie przez nich korzyści finansowej nikogo nie dziwi. “Phishingowcy” podszywając się pod np. dobrze nam znane i zaufane firmy będą próbowali uzyskać dane płatnicze lub przekonać nas do dokonania płatności za fałszywe produkty lub usługi. Mogą również wykorzystać poufne informacje, takie jak numery kart kredytowych, do przeprowadzania nieuprawnionych transakcji.
  • Warto również wspomnieć o tym, że oszuści mogą wykorzystać skradzione konta lub pozyskane listy adresowe do wysyłania spamu, rozsyłania złośliwych linków lub kampanii phishingowych. Celem ataku może być dalsze rozprzestrzenianie się oszustw phishingowych lub promowanie innych szkodliwych działań.

Najczęściej stosowaną techniką oszustów jest przeprowadzanie ataku za pomocą poczty e-mail. Z badań wynika, że aż 94% tego typu ataków jest przeprowadzana przy pomocy skrzynki mailowej, ale to nie jedyne czyhające na nas zagrożenie.

E-mail phishing, czyli atak przeprowadzony za pośrednictwem poczty e-mail 

W tym przypadku oszust podszywający się pod znany nam podmiot, prosi o wykonanie określonej czynności. Tego typu wiadomości zawierają zazwyczaj linki prowadzące do fałszywych stron logowania, na których ofiary są proszone o podanie swoich danych uwierzytelniających.

Z takim zjawiskiem mierzył się choćby serwis olx. Zwłaszcza w trakcie pandemii, odnotowywano nasilenie tych działań. Podszywając się pod kupującego, oszuści wykazując zainteresowanie wystawionym na aukcji produktem nawiązywali kontakt ze sprzedawcą, prosząc w wiadomości o podanie adres e-mailowego. W tym celu posługiwali się również komunikatorem WhatsApp. Następnie informowali o tym, że dokonali transakcji. Wysyłali link, prosząc o jego kliknięcie i zaakceptowanie płatności. Ofiara podając numer karty płatniczej, a także 3 cyfrowy kod CVV straciła pieniądze. Oszuści uzyskali dostęp do rachunku bankowego ofiary, pobierając z niego pieniądze. Strony, jakimi posługiwali się były łudząco podobne do tych prawdziwych. Dotyczyło to również przesyłanych dokumentów. Dlatego też tak wiele osób dało się nabrać.

Spear (z ang. włócznia) phishing to z kolei ukierunkowana forma ataku, podczas którego oszuści personalizują próby wyłudzenia danych w odniesieniu do konkretnych osób lub grup osób. Przeprowadzenie go wymaga precyzyjnego przygotowania – by w ogóle mógł się on powieść. Oszuści muszą wcześniej uzyskać informacje o swojej ofierze, bo to na ich podstawie tworzą spersonalizowane, przekonywujące wiadomości, wyglądające jak te, które ofiara otrzymuje z zaufanych źródeł, jak np. kolega z pracy, klient czy przełożony.

Zatem mówiąc o spear phishingu, mówimy o bardziej wyrafinowanej pod względem planowania i realizacji metodzie, i niestety jednocześnie bardzo skutecznej. Ofiara jest przekonana, że otrzymana przez nią wiadomość pochodzi od zaufanej osoby czy instytucji, dlatego może być bardziej skłonna aby podjąć działania zgodne z oczekiwaniami oszustów. Z taką sytuacją mierzyło się Sony Pictures, kiedy oszuści podszywając się pod firmę Apple chcieli wyłudzić dane logowania do kont Apple ID – aby uśpić czujność pracowników Sony Pictures przedstawiali się jako pracownicy wysokiego szczebla w Apple. Byli na tyle skuteczni, że udało im się wykraść jakieś 100 TB danych.

Kolejną kategorią jest tzw. whaling (z ang. wielorybniczy) phishing. Tym mianem określamy dość wyrafinowany atak skierowany do konkretnej grupy społecznej. Jego ofiarą padają zwykle pracownicy wyższego szczebla – oszuści podszywają się pod nich i wykorzystując rangę i zaufanie pracowników, wysyłają fałszywe wiadomości e-mail do podwładnych. Celem takiej wiadomości jest skłonienie pracowników do podjęcia określonych działań, których wykonanie może doprowadzić do utraty danych finansowych i/ lub innych danych wrażliwych.

Z taką sytuacją zmierzył się największy na świecie producent zabawek (m.in. lalek Barbie) – firma Mattel. W tym przypadku pewna chińska grupa przestępcza wykazała się naprawdę ogromną skrupulatnością w przygotowaniu ataku. Po przestudiowaniu wewnętrznych procedur Mattel (a było to możliwe dzięki dostępowi do korporacyjnej sieci komputerowej) przestępcy poznali plany i aktualne decyzje biznesowe dyrektorów najwyższego szczebla. Obserwując poczynania firmy i znając plan rozwoju, zaatakowali w momencie zmian personalnych w kadrze dyrektorskiej. Przestępcy w imieniu nowego CEO napisali maila do jednego z pracujących w Mattel dyrektorów, aby ten zatwierdził przelew w wysokości…3 mln dolarów na rzecz jednego z dostawców. Przelew został wykonany, a firma nigdy nie odzyskała tych pieniędzy.

Zakupy w sieci na celowniku cyberprzestępców 

Coraz częściej ofiarami phishingu stają się firmy prowadzące działalność sprzedażową w internecie, o czym przekonał się w ostatnim kwartale największy polski marketplace – Allegro. Wizerunek firmy został wykorzystany w tak zwanej akcji na premię lojalnościową. O co chodziło? Otóż oszust podszywając się pod Allegro zasugerował w wiadomości e-mail, że jako klient serwisu użytkownik ma prawo do odebrania premii lojalnościowej, a warunkiem jej otrzymania była bardzo szybka reakcja na otrzymaną informację – miał on 72 godziny na kliknięcie w link w otrzymanej wiadomości. Tymczasem link prowadził do spreparowanej strony logowania, a użytkownik logując się na nią podawał swoje dane oszustom.

- Phishing w e-handlu opiera się na manipulacji psychologicznej użytkowników. Przestępcy stosują techniki socjotechniczne, takie jak tworzenie pilnych sytuacji, kreowanie ważnych powiadomień lub ofert specjalnych, aby skłonić użytkowników do podania swoich danych. Wykorzystując ludzką naturę i emocje, przestępcy próbują złamać naszą - jako użytkowników - czujność – komentuje Artur Pajkert, szef marketingu w jednej z największych polskich firm hostingowych – cyber_Folks. 

Jak dodaje Artur Pajkert, skala zjawiska phishingu w e-commerce jest znacząca i ciągle rośnie. 

Z uwagi na rozwój technologii i coraz większe zaangażowanie ludzi w zakupy online, cyberprzestępcy starają się wykorzystać tę sytuację i wyłudzić poufne informacje od użytkowników na różne sposoby. Okazuje się, że tuż obok mediów społecznościowych, bankowości i usług chmurowych, to właśnie e-commerce jest najbardziej narażoną na phishing branżą - dodaje ekspert cyber_Folks.

Jak rozpoznać, że ktoś nas phishinguje?

Artur Pajkert uczula, że rozpoznanie ataku phishingowego może być niestety naprawdę trudne. 

- Przestępcy coraz bardziej udoskonalają swoje metody. Globalna skala zjawiska jest ogromna, co pokazują badania: tylko w zeszłym roku liczba złośliwych wiadomości phishingowych wzrosła o 569% w porównaniu z rokiem 2021 - wyjaśnia Artur Pajkert i dodaje, że przestępcy wykorzystując socjotechnikę, chcą przekonać ofiarę aby uwierzyła w realność sytuacji.

- Mogą stosować techniki takie jak wywoływanie strachu, stresu, ciekawości, nagrody lub wątpliwości, aby manipulować zachowaniem i decyzjami potencjalnych ofiar. Gdy dorzucimy do tego potrzebę pilnej reakcji, czyli sytuację gdzie ofiara czuje presję lub ograniczenie czasowe na podjęcie danego działania – mamy gotowy przepis na skuteczny phishing. Siła ataku tkwi w detalach, jakich na pierwszy rzut oka możemy nie zauważyć. To nie tylko wspomniana już literówka w adresie domeny, ale też dziwne “znaczki” w e-mailu czy język wiadomości zawierający błędy językowe czy nawet ortograficzne.

 Zespół ds. certyfikatów bezpieczeństwa w cyber_Folks wymienił obszary, na które internauci powinni zwrócić największa uwagę: 

  • Weryfikuj nadawcę wiadomości. Skrupulatnie sprawdź adres e-mail nadawcy – nie tylko jego nazwę, czyli to co widzisz w polu nadawcy, ale również adres e-mail, jaki zobaczysz po najechaniu kursorem na nazwę. Przestępcy często używają podobnych adresów e-mail lub podrabiają nazwę nadawcy, aby sprawić, by wyglądała na autentyczną. Zwróć uwagę na literówki, nieznaną domenę lub jakiekolwiek inne podejrzane elementy.
  • Poprawność gramatyczna i językowa. Wiadomości phishingowe często zawierają błędy gramatyczne, literówki i niedopracowane, automatyczne tłumaczenia. Bądź czujny na takie oznaki, zwłaszcza jeśli otrzymujesz wiadomość od znanej firmy, która zazwyczaj dba o jakość komunikacji.
  • Linki. Zwróć uwagę na linki zawarte w wiadomościach. Phishingowcy często używają podobnie brzmiących lub wyglądających linków, które kierują do fałszywych stron internetowych. Przed kliknięciem na link najedź na niego kursorem myszy, aby zobaczyć pełny adres URL. Upewnij się, że jest zgodny z oczekiwaniami i nie zawiera podejrzanych lub przypadkowych znaków.
  • Treść wywołująca poczucie pilności. Oszuści często wykorzystują taktykę straszenia lub wywoływania poczucia pilności w celu nakłonienia ofiary do podjęcia pochopnych działań. Bądź czujny na wiadomości, które wywołują stres, grożą utratą konta lub innymi negatywnymi konsekwencjami.

Nie daj się złowić!

Jak podsumowuje Artur Pajkert z cyber_Folks, ataki phishingowe stanowią poważne zagrożenie zarówno dla właścicieli sklepów internetowych, jak i użytkowników.

- Dlatego konieczne jest, aby obie strony były świadome i stosowały skuteczne środki obronne. O tym ,na co zwracać uwagę dokonując zakupów on-line, powiedzieliśmy wcześniej. W przypadku dokonywania płatności, a także wymieniania korespondencji ze sklepem powinniśmy zachować zawsze wzmożoną czujność. Czerwona lampka powinna nam się zapalić, gdy dostajemy wiadomość, w której jesteśmy proszeni o aktualizację danych osobowych, podanie danych wrażliwych, czy numeru karty kredytowej – mówi ekspert i wyjaśnia, że istotnie jest też bezpieczne połączenie dlatego warto upewnić się, że przesyłanie danych pomiędzy przeglądarką internetową użytkownika a serwerem np. sklepu internetowego jest szyfrowane za pomocą protokołu HTTPS.

Jeśli dana witryna internetowa jest zabezpieczona certyfikatem ssl, w pasku z nazwą widoczny zobaczymy symbol kłódki. Natomiast nawet w takim przypadku warto sięgnąć po szczegóły (klikając w ikonę kłódki) i przeczytać, na kogo jest wystawiony certyfikat – w wypadku dużych sklepów czy banków będzie tam nazwa organizacji i jej adres. Z kolei jeśli po wejściu na daną www otrzymujemy komunikat, że strona jest niezabezpieczona, najlepiej po prostu z niej wyjść. 

Ponadto, tam gdzie tylko można, warto stosować dwuskładnikowe uwierzytelnianie (np. poprzez wpisanie hasła oraz kodu generowanego na podstawie aplikacji autoryzacyjnej i wysyłany sms-em do użytkownika).

Ochronie sprzyja też stosowanie tzw. menedżerów haseł, czyli programów, które przechowują bezpiecznie nasze hasła. Taki program automatycznie uzupełnia nasze hasło na zapisanej stronie. Fakt, że znajdziemy się na stronie, na które oprogramowanie hasła nie uzupełni mimo tego, że hasło wprowadziliśmy - powinien zapalić nam w głowie lampkę ostrzegawczą. W takim wypadku sprawdźmy, czy jesteśmy na stronie właściwej, czy tylko łudząco podobnej.

Źródło: materiały prasowe

Sonda
Czy padłeś kiedyś ofiarą kradzieży danych osobowych?
Pieniądze to nie wszystko Tadeusz Białek
Nasi Partnerzy polecają
Najnowsze