04 grudnia 2019
Phishing – co to jest? Jakie sprawia zagrożenie? Przykłady phishingu
Cyberprzestępcy stosują dziś coraz bardziej wyrafinowane metody ataków, a do najpopularniejszych z nich należy phishing. Co to jest za sposób działania, jakie przynosi skutki i jak się przed nim zabezpieczyć? W artykule odpowiemy na te pytania oraz przedstawimy konkretne przykłady phishingu.
Co to jest phishing? Definicja pojęcia
Na początek warto wyjaśnić, co to phishing. Definicja tego pojęcia kładzie nacisk na zjawisko podszywania się pod inne osoby lub instytucje, które zwykle cieszą się sporym zaufaniem społecznym. Zaliczają się do nich na przykład: policja, banki, poczta, sądy, kancelarie prawnicze, ZUS, urząd skarbowy, operatorzy telefoniczni czy dostawcy energii elektrycznej. Oszuści podczas akcji phishingowych oddziałują na emocje swoich ofiar – wzbudzają w nich nadzieję szybkiego wzbogacenia się, strach, zaufanie czy wywierają na nich presję czasu, przez co ci w pośpiechu nie są w stanie racjonalnie przeanalizować całej sytuacji.
Cyberprzestępcy przyjmują fałszywą tożsamość w celu wyłudzenia od swoich ofiar ich poufnych danych. Mogą to być między innymi:
-
loginy,
-
hasła,
-
numery PESEL i PIN,
-
data urodzenia,
-
dane kart kredytowych,
-
informacje teleadresowe.
Nie bez przyczyny słowo „phishing” brzmi bardzo podobnie do „fishing”, które z angielskiego oznacza łowienie ryb. Przynętą w tym przypadku może być np. informacja o wygranej w konkursie. W rzeczywistości bogacą się jednak cyberprzestępcy, którzy handlują przechwyconymi danymi lub dokonują włamań na konta bankowe.
Phishing e-mail i inne techniki cyberprzestępcze
Internetowi oszuści w celu pozyskania wrażliwych danych najczęściej wysyłają do potencjalnych ofiar wiadomości mailowe. Phishing e-mail jest skuteczną metodą ze względu na to, że pozwala wykorzystywać tzw. efekt skali. Wiadomość zostaje wysłana automatycznie nawet do wielu tysięcy odbiorców. Istnieje więc spore prawdopodobieństwo, że przynajmniej niewielka część z nich da się oszukać – np. przez własną nieuwagę, pośpiech czy zmęczenie.
Cyberprzestępcy posługujący się phishingiem w treści maili zachęcają swoją ofiarę do tego, aby kliknęła w przesłany w wiadomości link lub pobrała plik w formie załącznika. W pierwszym przypadku zostanie przekierowana na fałszywą stronę z formularzem do wypełnienia. Witryny tego rodzaju mogą do złudzenia przypominać prawdziwe strony banku lub innej instytucji. Oszust może również poprosić o przesłanie poufnych informacji przez swoją ofiarę w treści maila zwrotnego.
Jeżeli natomiast użytkownik pobierze załącznik, wtedy najczęściej na używanym przez niego urządzeniu zostanie zainstalowane szkodliwe oprogramowanie, służące wyłudzaniu danych lub przejęciu kontroli nad komputerem czy telefonem. Internetowi przestępcy mogą również za pomocą odpowiednich programów zablokować urządzenie swojej ofiary, a następnie żądać wniesienia opłaty w celu jego odblokowania. Najczęściej podszywają się w tym przypadku pod policję, wyświetlając komunikaty o popełnieniu przez użytkownika przestępstwa – np. polegającego na pobieraniu z sieci nielegalnych filmów czy uzyskiwaniu dostępu do dziecięcej pornografii.
Phishing telefoniczny
Innym przykładem phishingu są ataki dokonywane z użyciem telefonu. Wirtualny przestępca może na przykład podszyć się pod firmę kurierską, aby zażądać od odbiorcy komunikatu symbolicznej kwoty dopłaty za realizowaną obecnie dostawę. Przestępcy wychodzą w tym przypadku z założenia, że z dużym prawdopodobieństwem ich ofiara będzie w chwili odczytania SMS-a oczekiwać na dostarczenie opłaconej przez siebie przesyłki. Nie chce więc, aby została anulowana, dlatego decyduje się na niewielką dopłatę. Klika w podany link do fałszywej strony banku czy systemu płatności online. Okazuje się jednak, że zamiast symbolicznej złotówki może stracić całe oszczędności – oszuści włamują się bowiem na konto bankowe.
Phishing w mediach społecznościowych
Cyberprzestępcy w celu przeprowadzania ataków phishingu wykorzystują również media społecznościowe i komunikatory. Zakładają w tym celu fałszywe profile, podszywając się np. pod atrakcyjne fizycznie czy bogate osoby. Nawiązują kontakt ze swoją ofiarą, flirtują z nią i starają się zdobyć jej zaufanie. Po pewnym czasie proszą o podanie prywatnych danych, dokonanie przelewu na określoną kwotę czy przesyłają podejrzane linki.
Phishing – przykłady
Przykład pierwszy phishingu
Cyberprzestępcy podszyli się pod administratora firmowej poczty, używanej przez wiele polskich firm. Do pracowników zostały wysłane maile, które informowały o przepełnieniu skrzynki pocztowej. Każdy odbiorca wiadomości został poproszony o przesłanie danych dostępowych do poczty w celu ponownego zweryfikowania konta. W przypadku zaniechania tego obowiązku konsekwencją miałaby być nieodwracalna dezaktywacja skrzynki. Pracownicy, chcąc tego uniknąć, podawali takie dane jak adres mailowy, hasło i numer telefonu. W ten sposób oszuści mogli przejmować dostęp do ich skrzynek pocztowych.
Przykład drugi phishingu
Inna akcja phishingowa polegała na przybraniu przez oszusta fałszywej tożsamości amerykańskiego żołnierza. Nawiązał on kontakt z Polką za pośrednictwem profilu w mediach społecznościowych. Stopniowo rozkochiwał ją w sobie i zdobywał jej zaufanie. Kobieta w końcu została poproszona o pożyczkę w kwocie kilku tysięcy złotych. Oszust obiecał szybkie zwrócenie pieniędzy ze sporą nawiązką. Ofiara po dokonaniu wpłaty utraciła jednak kontakt ze swoim wirtualnym ukochanym.
Jak chronić się przed phishingiem?
Skoro już wiemy, co to jest phishing, warto również poznać sposoby na zabezpieczenie się przed tym oszustwem. Aby nie paść ofiarą phishingu, warto przede wszystkim zachować ostrożność i ograniczone zaufanie podczas korzystania z internetu. Nie należy klikać w żadne linki, jeżeli nie jesteśmy pewni ich wiarygodności. Na strony banków najlepiej logować się poprzez bezpośrednie wpisanie adresu w polu przeglądarki. Warto zastanowić się, czy otrzymany w wiadomości odnośnik nie wygląda podejrzanie – może być np.:
-
przesadnie długi,
-
zawierać literówki,
-
znaki specjalne
-
czy w jakikolwiek inny sposób różnić się od prawdziwej domeny.
Fałszywe wiadomości mailowe często można zidentyfikować również na podstawie adresu nadawcy, a także niedbale przygotowanej treści – zawierającej liczne błędy gramatyczne.
W celu zmniejszenia ryzyka ataków phishingowych warto również na bieżąco aktualizować przeglądarkę internetową, system operacyjny, a także aplikacje na urządzeniu mobilnym. Równie ważne jest korzystanie z oprogramowania antywirusowego i blokującego podejrzane strony. Klienci Netii mogą zabezpieczyć przed phishingiem zarówno swój komputer, jak i urządzenie mobilne. Wystarczy razem z wybranym pakietem internetu lub telefonii komórkowej zdecydować się na pakiet Bezpieczny Internet lub Bezpieczny Smartfon.
Te osoby, które już padły ofiarą phishingu, powinny jak najszybciej zmienić przechwycone przez cyberprzestępców hasła i inne dane dostępowe. Warto również poinformować o zdarzeniu policję oraz bank – jeżeli istnieje ryzyko przejęcia dostępu do konta ofiary.
Phishing, czyli jedno z najpoważniejszych cyberzagrożeń dla firm
Phishing jest o tyle niebezpieczny, że jego ofiarami często zostają pracownicy wysokich szczebli w firmach, a preparowane, szkodliwe wiadomości bywają niemal identyczne z prawdziwymi – mowa tu m.in. o tzw. spear phishingu. O tym, jak phishing może wpłynąć na działanie firm, przeczytasz w naszym artykule o rodzajach ataków hakerskich na firmy (atak na BlackEnergy). Nie można dopuścić do podobnej sytuacji, dlatego warto wdrożyć w firmie odpowiednie usługi chroniące przed phishingiem. Jakie to są rozwiązania?
- Zadbaj o ochronę poczty wszystkich swoich pracowników. Filtry anty-malware, anty-SPAM czy anty-phishing to podstawa. Do tego warto mieć zaawansowaną ochronę przed wyciekami danych z poczty. Wszystko to znajdziesz w usłudze Netia Ochrony Poczty.
- Choć zagrożenia przychodzą często z zewnątrz, w wielu przypadkach to od pracowników zależy, czy hakerom uda się przeprowadzić zamierzony atak. Chcesz sprawdzić, czy twoi pracownicy są świadomi niebezpieczeństw czyhających w sieci i nie odpowiadają na podejrzane maile? Przeprowadź w pełni kontrolowany i bezpieczny atak hakerski przy pomocy usługi Netia Phishing-on-Demand. Nie tylko sprawdzimy gotowość pracowników, ale też przekażemy odpowiednie wnioski i doradzimy, jak lepiej chronić dane twojej firmy.
Sprawdź też nasze inne rozwiązania z zakresu cyberbezpieczeństwa!