Czym jest phishing?
Phishing (ang. password harvesting fishing, czyli łowienie haseł) jest jedną z form fałszerstwa komputerowego i polega na podszywaniu się atakującego pod inny podmiot lub osobę, na przykład kontrahenta, bank, serwis zajmujący się płatnościami w sieci, instytucję publiczną, czy nawet znajomych osoby atakowanej, nakłanianiu jej do wykonania odpowiednich czynności oraz wyłudzaniu w ten sposób informacji osobistych, czyli haseł dostępu. Atakowany jest przy tym przekonany, że wykonuje instrukcje podmiotu działającego w sposób legalny. Celem działania cyberprzestępców jest uzyskanie dostępu do środków finansowych zgromadzonych na rachunku bankowym klienta banku przez kradzież jego tożsamości. Sprawcy dopuszczający się phishingu zazwyczaj preparują wiadomości e-mailowe w taki sposób, by były łudząco podobne do tych pochodzących z banku (chodzi tutaj o skopiowanie charakterystycznej szaty graficznej oraz treści). Tak podrobione wiadomości są wysyłane do potencjalnych klientów banku z prośbą o skorzystanie z załączonego linku, którego kliknięcie powoduje, że użytkownik zostaje przekierowany na stronę internetową hakera, która formą graficzną łudząco przypomina oficjalną stronę banku. Ofiara phishingu proszona jest o weryfikację danych (podanie hasła, loginu, numerów PIN, haseł jednorazowych), dzięki którym cyberprzestępca może uzyskać dostęp do środków finansowych zgromadzonych na prawdziwym koncie klienta[1]. Celem ataku phishingowego nie jest sprzęt czy oprogramowanie, ale sam człowiek. Do ataków typu phishing wykorzystywane są wszystkie formy komunikacji elektronicznej: wiadomości e-mail, SMS-y, wiadomości na komunikatorach (np. WhatsApp), wiadomości na platformach sprzedażowych (OLX, Vinted), wiadomości prywatne w serwisach społecznościowych (np. na Facebooku i Instagramie), a nawet rozmowy telefoniczne.
Typy phishingu
1. Spear phishing – ataki phishingowe typu spear są skierowane na konkretną osobę lub organizację, często z treścią dostosowaną do potrzeb ofiary lub ofiar. Wymagają przeprowadzenia rozpoznania przed atakiem, aby odkryć imię i nazwisko, numer telefonu, adres e-mail, tytuł stanowiska, a nawet numer ubezpieczenia ofiary i tym podobne. Następnie hakerzy wykorzystują te informacje, aby w większym stopniu uprawdopodobnić załączniki lub łącza phishingowe.
2. Clone – w przypadku takiego ataku przestępcy tworzą kopię – lub klon – wcześniej dostarczonych, ale zgodnych z prawem wiadomości e-mail, które zawierają łącze lub załącznik. Następnie przestępca zastępuje łącza lub załączniki złośliwymi fałszywkami. Nieostrożni użytkownicy albo klikają łącze, albo otwierają załącznik, co często pozwala na przejęcie kontroli nad ich systemami. Przestępca może sfałszować tożsamość ofiary w celu zamaskowania jej jako zaufanego nadawcy wiadomości do innych ofiar w tej samej organizacji.
3. Whaling phishing – próba ataku phishingowego na osobę na ważnym stanowisku w firmie czy instytucji, a nie na zwykłą osobę lub sieć małej firmy. Celem jest uzyskanie dostępu do danych wysokiego poziomu lub potencjalnie tajnych informacji.
4. Smishing – odbywa się za pośrednictwem wiadomości SMS. Ofiara otrzymuje w wiadomości tekstowej zawartość podobną do wiadomości phishingowej i łącze który należy kliknąć, lub załącznik do pobrania.
5. Angler phishing lub phishing społecznościowy – polega na podawaniu się za przedstawiciela działu obsługi klienta i nakłanianiu ofiar do przekazania danych osobowych.
6. Vishing – wiąże się z próbą wyłudzania danych przez telefon. Oszust dzwoni, twierdząc, że reprezentuje lokalny bank, policję, a nawet Skarb Państwa. Straszy odbiorcę jakimś problemem i nalega, aby go natychmiast rozwiązać. W tym celu domaga się udostępnienia informacji o koncie lub zapłacenia kary pieniężnej. Zwykle oczekuje zapłaty przelewem bankowym lub kartą przedpłaconą, więc płatności te nie są możliwe do prześledzenia.
Złośliwe oprogramowanie stosowane przez cyberprzestępców oraz skutki jego zastosowania
Cyberprzestępcy używają do popełniania przestępstwa phishingu złośliwego oprogramowania (tzw. malware), które może być zarówno aktywne (wyskakujące okienka pop-up, formularze dialogowe), jak również pasywne (keylogery, które przechwytują wprowadzane dane). Malware może zatem dezaktywować programy antywirusowe, zmienić zasady działania zapór sieciowych, instalować oprogramowanie umożliwiające dostęp do komputera oraz zapory sieciowe umożliwiające przekierowywanie połączeń z hosta na inny serwer pośredniczący.
Złośliwe oprogramowanie stosowane przez cyberprzestępców wobec użytkowników bankowości elektronicznej może spowodować następujące skutki:
• podmianę numeru konta docelowego oraz kwoty tuż przed zatwierdzeniem przelewu,
• podmianę aktualnego stanu konta,
• modyfikację danych na liście wykonywanych operacji,
• pojawienie się okienka internetowego proszącego o podanie kodów jednorazowych w celu aktywacji lub sprawdzenia funkcji bezpieczeństwa,
• pojawienie się okienka internetowego proszącego o podanie numeru telefonu oraz wybranie modelu aparatu,
• wyświetlanie użytkownikowi monitu proszącego o zwrot środków pochodzących z błędnego lub podejrzanego przelewu,
• wyświetlanie użytkownikowi monitu proszącego o wykonanie testowego przelewu w ramach aktywacji lub sprawdzenia nowych funkcji bezpieczeństwa[2].
Jak rozpoznać phishing?
Phishing bazuje na wciąż niewielkiej świadomości użytkowników Internetu co do możliwych zagrożeń cyfrowych. Rozpoznanie ataku phishingowego jest w praktyce bardzo trudne, jednak istnieją pewne wskazówki, na które warto zwrócić uwagę, aby uniknąć takiego ataku w przyszłości:
• dopóki odbiorca nie ma pewności, że nadawca jest prawdziwy, nie powinien klikać w żadne linki ani na nie odpowiadać,
• należy zwracać szczególną uwagę na nazwy stron internetowych, które przesyłane są w podejrzanych wiadomościach e-mail lub SMS (w fałszywych wiadomościach często wykorzystywane są tzw. tinyURL, czyli skrócone adresy stron internetowych). Ponadto często adres e-mail nadawcy jest zupełnie niewiarygodny lub nie jest tożsamy np. z podpisem pod treścią maila,
• wiele wiadomości phishingowych ma niepoprawną gramatykę, interpunkcję, pisownię, czy też nie występują w nich polskie znaki diakrytyczne,
• należy ocenić, czy wygląd i ogólna treść wiadomości e-mail może pochodzić od firmy, od której powinna pochodzić taka wiadomość np. użyte logotypy, stopki z danymi nadawcy itd.,
• należy sprawdzić, czy wiadomość e-mail jest adresowana z imienia i nazwiska, czy odnosi się do „cenionego klienta”, „przyjaciela” lub „współpracownika”. Może to oznaczać, że nadawca tak naprawdę nie zna osoby, do której kieruje wiadomość i że jest to część oszustwa typu phishing,
• zazwyczaj wiadomości tego typu zmuszają do pilnego i szybkiego działania oraz grożą nieprzyjemnymi konsekwencjami (zablokowanie lub usunięcie konta, wyłącznie prądu itd.),
• wiele wiadomości phishingowych zawiera załączniki w niestandardowym formacie (np. .zip, .xls, .xlsx, .rar, .iso),
• bank lub jakakolwiek inna instytucja publiczna nie powinna nigdy prosić o podanie w wiadomości e-mail danych osobowych, dlatego w przypadku wystąpienia takiej sytuacji należy zweryfikować nadawcę takiej wiadomości na przykład dzwoniąc do banku,
• należy zwracać uwagę na linki przekazywane również między znajomymi oraz sprawdzić czy link faktycznie prowadzi do właściwej strony. Coraz częściej przestępcy uzyskując w nielegalny sposób kontrolę nad naszymi kontami społecznościowymi podszywają się pod naszych znajomych i rodzinę,
• trzeba uważać na skrócone linki - jeśli nie mamy pewności, dokąd poprowadzi dany link, należy najechać wskaźnikiem myszy na link (nie klikając go), a na dole przeglądarki zostanie wyświetlony pełen adres linku.