Phishing – co to jest, jak działa, jak się przed nim chronić?
Spis treści
Jak szeroka i powszechna jest skala phishingu mogłem przekonać się osobiście. Pisząc ten artykuł, otrzymałem wiadomość phishingową. Była to dość standardowa treść. Kurier informuje o braku opłaty pełnej kwoty za przesyłkę towaru. Firma, pod którą próbowali podszyć się hakerzy, wysłała w bardzo krótkim odstępie czasu odpowiednie alerty o możliwości otrzymania wiadomości phishingowej, co z pewnością ograniczyło przeprowadzenie skutecznego ataku. Ale nie zawsze jest tak kolorowo.
Czym jest phishing?
Jeżeli chodzi o działania hakerów to należy zakładać, że wektory ich ataku nie są jednostkowe. Bardzo często zdarza się tak, że wyspecjalizowane grupy cyberprzestępców używają wielu ścieżek działania jednocześnie. Ma to zoptymalizować skuteczność ataków. Phishing jest zatem jedną z wielu form ataków hakerskich.
Wiadomości phishingowe stanowią punkt wyjścia dla około jednej trzeciej cyberataków, które widzimy, a które trafiają do organizacji każdego typu i wielkości. Firmy mogą zostać uwikłane w masową kampanię lub może być to pierwszy krok w bardziej ukierunkowanym ataku.
W bardzo dużym skrócie można powiedzieć, że phishing to jedna z form socjotechniki, która ma na celu uzyskanie wymaganych informacji lub działań poprzez manipulowanie odbiorcą.
Ostatecznym celem jest chęć uzyskania dostępu do konta ofiary i transferu środków finansowych na konta zarządzane przez atakujących.
Poza typowym scamem (oszustwem) phishingowym istnieje wiele rodzajów phishingu. Wymienię tylko kilka z nich, uważane obecnie za najbardziej powszechne i najniebezpieczniejsze.
Spear phishing
Zdecydowanie bardziej wyrafinowana odmiana typowego wyłudzenia danych. Dlaczego ta metoda jest tak niebezpieczna? Nie polega ona na wysyłaniu maili przypadkowym ofiarom, ale skrupulatnie wybranym grupom użytkowników lub pojedynczym odbiorcom. Atakujący przygotowują się do przeprowadzenia celowanego ataku poprzez wykonanie wywiadu środowiskowego. Następnym etapem jest dopiero kierowanie spersonalizowanych wiadomości. W obecnych czasach dane można uzyskać w bardzo prosty sposób chociażby na podstawie informacji zebranych z portali społecznościowych.
Whale phishing (whaling)
Odmiana spear phishingu, w której atakujący podszywa się pod „grubą rybę” ze znanej organizacji. Tutaj wykorzystywany jest kolejny zabieg socjotechniczny – osoby z wyższych stanowisk są darzone znacznie większym zaufaniem. Z drugiej strony jest to zabieg stosowany m.in. w korporacjach, w których bardzo istotne znaczenie ma poziom stanowiska. Przykładni pracownicy otrzymujący zlecenie od szefa mogą realizować wyznaczone zadania bez większego zastanowienia, chcąc szybko wykonać swoje obowiązki.
Clone phishing
Kolejny zaawansowany sposób wyłudzania informacji oraz środków finansowych. Przestępca uzyskuje dostęp do skrzynki pocztowej użytkownika. Wykrada wiadomości wysyłane z prawdziwego źródła i kopiuje je. W skopiowanej wiadomości zmienia tylko link, przekierowując użytkownika na fałszywą stronę, zawierającą złośliwe oprogramowanie. Oryginał wiadomości może zawierać faktury, umowy i inne dokumenty wskazujące na przelew pieniędzy na konto przestępców.
Vishing
Voice (głos) + phishing (oszustwo). Jest to forma kontaktu telefonicznego podobna do phishingu. Tego rodzaju oszustwa wykorzystują wyłącznie połączenia telefoniczne (a nie infrastrukturę IT). Coraz częściej dzwoni pracownik z naszego banku z informacją, że nasze konto jest narażone na atak, natomiast jedynym skutecznym zabezpieczeniem środków jest przelanie ich na specjalne techniczne konto banku.
W obecnych czasach vishing staje się jeszcze bardziej niebezpieczny z powodu istotnego rozwoju sztucznej inteligencji i technologii „deep fake”. Dzięki zastosowaniu takich rozwiązań każdy przestępca może naśladować głos osoby, którą znamy. Taką osobą będzie najczęściej członek rodziny lub szef. Tego rodzaju oszustwa są coraz trudniejsze do rozpoznania.
Smishing
Inaczej SMS phishing. To forma ataku polegająca na wysłaniu fałszywych wiadomości SMS na Twój numer telefonu. Treść najczęściej powiązana jest z niedopłatą kwoty za usługę, nadzwyczajną promocją „tu i teraz” lub powiadomieniami z banków. Dla przestępców jest to bardzo atrakcyjna forma ataku. Dlaczego smishing jest tak powszechnie wykorzystywany?
- Brak możliwości dodatkowej weryfikacji wiadomości – nadawcy SMS-ów nie są weryfikowani poza numerem telefonu.
- Szybkość odpowiedzi – zazwyczaj wysyłamy odpowiedzi na SMS-y szybko, co ułatwia nam omyłkowe otwieranie i klikanie fałszywych linków.
- Nieskończony wolumen potencjalnych ofiar – każdego dnia wysyłanych są miliardy SMS-ów. To ocean możliwości dla oszustów.
Jak rozpoznać phishing?
Błędy gramatyczne
Jedną z częstych (jeszcze) oznak fałszywych wiadomości są błędy ortograficzne i niepoprawna składnia zdania. Banki i inne duże korporacje dbają o swoją reputację, nie dopuszczając do występowania błędów ortograficznych i gramatycznych. Zagraniczni oszuści korzystają z różnego rodzaju translatorów. Co prawda coraz lepiej radzą sobie one z tłumaczeniami, jednak nie spełniają swojej roli w 100% i generowane przez nie treści wyglądają dość sztucznie.
Nieznane, długie adresy e-mail, nietypowe tematy wiadomości lub wiadomości bez tematów
Fałszywa korespondencja przychodzi z adresów mailowych przypominających poprawne adresy. W przypadku celowego stosowania „literówek” przestępcy generują nazwy adresów łudząco podobnych do swoich oryginałów. Czasami adresy mailowe są losowo rozdzielane przez komputery i wówczas mogą składać się z losowych cyfr i liter. W takim przypadku istnieje bardzo duża szansa, że mamy do czynienia z typowym phishingiem.
Ogólne pozdrowienia
Osoby z rodziny lub osoby z którymi współpracujesz znają Twoje imię i nazwisko, dlatego też nie będą zwracać się do ciebie w formie oficjalnej „Szanowna Pani/Szanowny Panie” lub „Drogi użytkowniku”. Jest to uniwersalny zwrot, który powoduje, że atakujący może rozesłać jeszcze większą liczbę wiadomości, docierając do szerszego grona odbiorców.
Podobne (ale nie identyczne) logo i nagłówki
Fałszywe wiadomości e-mail mogą zawierać obrazy, grafiki, logotypy, nagłówki itp. podobne do oryginału. Z uwagi na to, że oszuści nie zawsze dysponują odpowiednimi narzędziami, do ich preparowania używają mniej profesjonalnych rozwiązań. Skutkuje to powstaniem wytworów mniej lub bardziej różniących się od imitowanych oryginałów.
Poczucie pilności i chęć wzbudzenia reakcji
To jeden z najistotniejszych elementów skutecznego phishingu. Poczucie pilności, zagrożenia, konieczności podjęcia szybkiej decyzji, niewiarygodnej okazji występują praktycznie przy każdym ataku phishingowym – bez znaczenia jakiego rodzaju.
Wiadomości oparte na prawdziwych wydarzeniach
Hakerzy mają umiejętność wykorzystywania wydarzeń lokalnych lub światowych do wywoływania emocji i skłonienia ludzi do podjęcia działania. Mogą na przykład wysłać e-mail, w którym będą twierdzić, że znają lekarstwo na Covid-19 lub prosić o datki na rzecz lokalnego miasta zniszczonego przez pożary.
Gdzie zgłaszać phishing?
Aby skutecznie zgłosić phishing, a jednocześnie ograniczyć przestępcom dalsze rozpowszechnianie fałszywych wiadomości, warto przesłać zgłoszenie lub podejrzenie phishingu do CERT Polska. Jest to zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci. Formularz do uzupełnienia dostępny jest pod linkiem: https://incydent.cert.pl/.
Jeśli jesteś ofiarą ataku, zgłoś ten fakt również policji lub do prokuratury. Pamiętaj, że phishing to przestępstwo!
Jak się chronić przed phishingiem?
Asertywność wobec presji czasu
Jeśli wyczuwasz jakąkolwiek formę manipulacji i presji czasu podczas rozmowy telefonicznej – po prostu się rozłącz. Jeśli dotyczy to wiadomości e-mail, nie odpowiadaj.
Ograniczanie odbierania anonimowych połączeń
Kieruj się zasadzą ograniczonego zaufania. Jeśli wyczuwasz, że połączenie telefoniczne może być próbą wyłudzenia danych, to osobiście zadzwoń do instytucji, która rzekomo się z Tobą kontaktowała.
Organizacja szkoleń z zakresu bezpieczeństwa
Organizuj szkolenia w swojej firmie. Pamiętaj, że phishing to forma socjotechniki. Pracownicy powinni być wrażliwi na wszelkiego rodzaju manipulacje i podejrzane wiadomości.
Brak podawania poufnych danych
Żadna prawdziwa firma czy bank nie będą wymagały od Ciebie podania danych poufnych lub danych do logowania.
Aktualizacje systemów i oprogramowania
Nie odkładaj aktualizacji na później. W obecnych czasach hakerzy bardzo często wykorzystują luki w oprogramowaniu, które nie jest załatane najnowszymi aktualizacjami. Dotyczy to zarówno aktualizacji komputerów, jak i telefonów komórkowych.
Silne hasła
Wszędzie używaj możliwie silnych haseł. Z uwagi na to, że nie sposób zapamiętać wszystkich, używaj sprawdzonych managerów haseł.
2FA/MFA
Włącz uwierzytelnianie dwuskładnikowe/wieloskładnikowe wszędzie tam, gdzie jest to możliwe. Samo hasło nie jest wystarczające. Co więcej, używaj aplikacji do uwierzytelniania dwuskładnikowego, aby wyeliminować etapy weryfikacji za pomocą SMS-a i zwiększyć bezpieczeństwo. Dobre praktyki 2FA/MFA wskazują już na pewne wątpliwości w zakresie skuteczności wprowadzania drugiego składnika potwierdzającego, jakim jest zwykła wiadomość SMS. Może ona bowiem pochodzić z niezweryfikowanego źródła.
Ograniczenie informacji w mediach społecznościowych
Ilość poufnych informacji, które możemy znaleźć w mediach społecznościowych, jest ogromna. Zaczynając od imienia i nazwiska, kończąc na numerach i seriach dowodów osobistych, numerach PESEL, adresie zamieszkania, statusie społecznym, danych wrażliwych takich jak stan zdrowia, danych finansowych itp.
Korzystanie z sieci VPN
Aplikacja VPN ukrywa Twój adres IP. Dodatkowo szyfruje Twoje aktywności w sieci. Posiada też bardzo często funkcję ograniczające możliwość „wylądowania” na złośliwych stronach internetowych. Może również blokować moduły śledzące i pojawianie się natrętnych reklam.
Zakup ubezpieczenia od ryzyk cybernetycznych (ubezpieczenie CYBER)
Zabezpiecz się przed skutkami ataków cybernetycznych poprzez zakup polisy CYBER. Jest to ubezpieczenie, które odpowiada bardzo szeroko na potrzeby pojawiające się przed ofiarą ataku hakerskiego. Są to m.in. zwrot kosztów za wynajęcia informatyków śledczych, powołania zespołu do zarządzania kryzysowego/zarządzania incydentem cybernetycznym, koszty wynajęcia prawników oraz specjalistów w zakresie public relations i wiele innych.
Wielu ubezpieczycieli specjalizujących się w ryzykach cyber przeprowadza skanowania domen swoich potencjalnych klientów m.in. w zakresie otwartych portów, niezałatanych podatności CVE, zabezpieczeń HTTPS, weryfikacji niewspieranego oprogramowania oraz urządzeń sieciowych itp. Z takich raportów można dowiedzieć się, które z obszarów naszej infrastruktury wymagają niezwłocznej poprawy bezpieczeństwa, a którym przyda się jedynie kosmetyczne uszczelnienie.
Phishing – podsumowanie
Pamiętaj, że phishing jest przestępstwem! I tak samo jak nie się całkowicie wyeliminować prób dokonania typowych przestępstw jak kradzieże czy rozboje, tak samo nigdy nie wyeliminujemy w całości ryzyka związanego z atakami cybernetycznymi w tym phishingowymi. Najważniejsza jest więc skuteczna ochrona.
Piotr Cholewczyński
Dyrektor ds. Ubezpieczeń Majątkowych.
Od niemal dekady działa aktywnie w ubezpieczeniach dla branży IT. Odpowiada za ubezpieczenia majątkowe oraz likwidację szkód.
W ubezpieczeniach od 14 lat.