32 220 35 21
biuro@omegasoft.pl
Co to jest phishing?
Phishing to jedno z najpopularniejszych rodzajów oszustw internetowych, które może przybierać różne formy. Wiąże się z użyciem podstępu wobec użytkownika i podszywaniem się pod strony internetowe, którym ten najbardziej ufa, jak strony banku czy kont w mediach społecznościowych, często różniących się od tych prawdziwych ledwo zauważalną zmianą nazwy w linku. Najczęściej polega na wysłaniu wiadomości e-mail z prośbą o zalogowanie się na stronie swojego banku lub innego konta w celu weryfikacji lub potwierdzenia danych, wraz z linkiem przekierowującym do fałszywej strony. Pamiętaj jednak, że tego typu serwisy internetowe nigdy nie wymagają od nas takiego zachowania.
Przestępcom wykorzystującym ten rodzaj ataku zależy na Twoich osobistych danych, jak numery kart kredytowych, ubezpieczenia oraz hasła i loginy do Twoich kont w Internecie. To najchętniej i najczęściej wybierany atak cyberprzęstępczy, który jest dużo łatwiejszy i skuteczniejszy w porównaniu do m.in. przebijania się przez zapory bezpieczeństwa różnego rodzaju oprogramowania.
Jak rozpoznać phishing (wiadomość z phishingiem)?
Zazwyczaj ofiara dostaje maila od nadawcy, posługującego się podobnym do znanego mu adresem e-mail lub udającego znaną firmę, który zawiera link przekierowujący na zainfekowaną stronę. Może on też posiadać niebezpieczny załącznik, który po pobraniu instaluje na komputerze szkodliwy program. Jak więc rozpoznać takiego e-maila, który prawdopodobnie wykorzystuje logo znanej firmy i pod nią się podszywa lub adres, z którego przyszła wiadomość tylko przypomina ten dobrze Ci znany? Istnieje parę rzeczy, na które warto zwrócić uwagę i które powinny wzbudzić Twoje podejrzenie:
- Wiadomość zawiera linki z błędami w pisowni, do subdomen lub innych podejrzanych stron internetowych
- Nadawca korzysta z aliasów e-mailowych, udających przedsiębiorstwo lub usługę, w które należy kliknąć, aby poznać prawdziwy e-mail nadawcy
- Nadawca korzysta z ogólnodostępnych usług pocztowych, jak Gmail czy Onet.pl
- Wiadomość jest napisana w taki sposób, aby wzbudzić strach
- Nie zawsze, ale często wymaga od użytkownika weryfikacji danych osobowych, jak dane karty kredytowej lub hasło
- Język wiadomości jest prosty i może zawierać błędy lub literówki
Manipulowanie linkami
Celem ataków phishingowych jest przekierowanie użytkownika na fałszywe strony internetowe, na których poda on swoje cenne dane, np. loginy i hasła. W tym celu, aby wzbudzać jak najmniejsze podejrzenia, ich nadawcy niebezpiecznie manipulują linkami znajdującymi się w przesłanych wiadomościach, zwłaszcza powiązanymi z adresami banków.
W starszych, niezaktualizowanych przeglądarkach, jak Internet Explorer 6, cyberprzestępcy korzystają z możliwości ukrywania prawdziwych adresów stron internetowych. W wiadomościach wysyłanych mailem bardzo łatwo także schować prawdziwy link przez podlinkowanie fragmentu tekstu.
Ostatnią techniką, bazującą na Twojej nieuwadze, jest korzystanie z linku z literówką, np. paypai.com zamiast paypal.com. Często w linku miejsce ukośnika zajmuje kropka (np. nazwatwojegobanku.pl.login zamiast nazwatwojegobanku.pl/login) lub myślnik. Zdarza się również, że słowa są zamieniane miejscami, jak np. login-nazwatwojegobanku.pl. Zwykle taki błąd pozostaje niezauważony.
Wspólne dla tych wszystkich technik manipulacji linkami jest to, że każdy z nich kieruje do strony, na której będziesz musiał się zalogować lub podać dane swojej karty kredytowej, które następnie trafią do bazy danych hakerów.
Rodzaje phishingu
Hakerzy korzystają z wielu technik, aby zwiększyć swoje szanse na skuteczny atak, wzbudzenie strachu, wykorzystanie naiwności i popełnienia przez Ciebie błędu. Ze względu na zastosowaną przez cyberprzestępców metodę działania można wyodrębnić kilka rodzajów phishingu:
Spear phishing
Ten rodzaj ataku kierowany jest do konkretnej osoby lub przedsiębiorstwa po wcześniejszym zebraniu szczegółowych informacji na ich temat. Wykorzystuje się spersonalizowane wiadomości, aby zwiększyć ich skuteczność i wiarygodność. Tego typu maile często zawierają w treści informacje na temat współpracowników lub kadry kierowniczej w firmie, a także osobiste dane jak nazwisko, imię czy obecna lokalizacja oraz inne szczegóły.
Whaling
To rodzaj „spear-phishingu” kierowany do pracowników wyższego szczebla w przedsiębiorstwie, który ma na celu kradzież dużych sum. Przed przygotowaniem ataku hakerzy zbierają niezbędną ilość szczegółowych danych do stworzenia jak najbardziej wiarygodnego przekazu. Wszystko po to, aby zwiększyć szanse na jego powodzenie.
Clone phishing
Do tego rodzaju ataku wykorzystywana jest kopia autentycznej wiadomości zawierającej załącznik lub adres witryny internetowej, aby w łatwy sposób podmienić je na przygotowane przez hakerów fałszywe i niebezpieczne linki do stron lub pliki do pobrania. Zwiększa to ich szanse na oszukanie ofiary, która nieświadomie, bez sprawdzenia nadawcy oraz linku kliknie i pobierze zainfekowaną zawartość lub przekaże swoje dane.
Telefoniczny oraz SMS phishing
W przypadku prób przeprowadzenia phishingu drogą telefoniczną, nazywanego również ‘vishingiem’, osoba dzwoniąca do ofiary podaje się za przedstawiciela banku, policji, a nawet urzędu skarbowego. Jej celem jest zastraszenie, poinformowanie o poważnych kłopotach i wymuszenie podania swoich danych osobowych w celu weryfikacji lub natychmiastowego zapłacenia kary. Zwykle informuje, że płatność może zostać wykonana przelewem tradycyjnym lub kartą przedpłaconą, których nie można śledzić.
SMS phishing, znany również jako „smishing”, jest z kolei bardzo zbliżony do ataków mailowych i polega na przesłaniu złośliwego linka za pomocą wiadomości SMS.
Pharming
Jest to kolejny rodzaj phishingu – dużo groźniejszy i trudniejszy do wykrycia, który może przybierać dwie formy. Jedna z nich polega na wykorzystaniu globalnego serwera DNS w celu przekierowania z wybranej strony na wyglądającą identycznie stronę cyberprzestępców. W tym przypadku zainfekowany jest cały serwer DNS i każda osoba korzystająca z niego zostaje przeniesiona na fałszywą stronę, a dane wpisywane na niej zostają zapisane w bazie hakerów. Druga z nich działa na mniejszą skalę, ponieważ infekuje komputer poprzez wgranie złośliwego oprogramowania, które po wpisaniu do przeglądarki adresu np. swojego banku, otwiera stronę identycznie wyglądającą, należącą do oszustów.
419/Nigeryjskie oszustwa
Nazwa pochodzi od pierwszego tego typu ataku wciągającego ofiarę w grę psychologiczną, której celem jest wyłudzenie pieniędzy, numeru karty kredytowej lub danych konta bankowego. Prawdopodobnie każdy z nas kiedyś otrzymał wiadomość, z której wynika, że pewna osoba chce podzielić się z nami swoją wygraną lub przechować swoje pieniądze na naszym koncie, a za tę przysługę przekazać następnie nagrodę pieniężną. Aby skorzystać z takiej okazji, niezbędne jest jednak przekazanie przez odbiorcę maila danych lub wskazanych opłat, związanych zwykle z niezbędnymi formalnościami. Po ich przesłaniu nagroda jednak nigdy nie trafia na nasze konto, a pieniądze które zostały utracone w przypadku tego rodzaju ataku są praktycznie niemożliwe do odzyskania.
Obecnie w większości przypadków ataków phishingowych przestępcy dobierają konkretne osoby, które chcą oszukać, jednak wciąż zdarzają się przypadki, że wiadomości rozsyłane są masowo, aby trafić na osobę, która się na nią nabierze.
Przykłady phishingu – jak to działa?
W 2014 r. phiszerzy wykorzystali mistrzostwa świata w piłce nożnej i zamieszanie, które towarzyszyło temu wydarzeniu. Witryna idealnie udająca oficjalną stronę FIFA nakłaniała do podpisania petycji w sprawie obrony urugwajskiego piłkarza drużyny narodowej Luisa Alberta Suareza. Użytkownik chcący podpisać petycję musiał podać swoje osobiste dane, jak imię, nazwisko, kraj pochodzenia, numer telefonu i adres e-mail, dzięki czemu baza ofiar cyberprzestępców urosła. Druga witryna, która została stworzona przy tej okazji, oferowała sprzedaż biletów na mistrzostwa, co wymagało kliknięcia w link, który uruchamiał pobieranie na urządzenie trojana. Wirus był w stanie przechwycić wszystkie prywatne dane przechowywane na urządzeniu wraz z zapisanymi hasłami w przeglądarce oraz aplikacjach lub programach.
Ostatnio phishing szerzy się również na polskim rynku, wśród użytkowników wszystkich sieci komórkowych otrzymujących fałszywe SMSy. W 2020 r., wykorzystując pandemię koronawirusa, oszuści rozsyłali na większość telefonów wiadomości udające oficjalny komunikat Poczty Polskiej, w której informowali, że po dodatkowej opłacie przesyłka będzie dezynfekowana, a jej dostawa przyspieszona. Oczywiście żadna z tych usług naprawdę nie była oferowana, a SMSy rozsyłane były w celu wyłudzenia jak największej ilości pieniędzy od odbiorców.
W czerwcu użytkownicy polskich sieci komórkowych stali się ofiarami kolejnej próby oszustwa. Otrzymywali SMSy pozorujące komunikaty InPostu, które nakłaniały do ściągnięcia nowej aplikacji w celu odebrania dodatkowego kuponu oraz niespodzianki. Phiszerzy próbowali zyskać na nieuwadze, wykorzystując prowadzoną w tym samym momencie kampanię promującą aplikację internetową InPost i bezdotykowy odbiór paczek z paczkomatów. Fałszywy adres witryny internetowej w fingowanej wiadomości kierował na stronę oszustów i miał na celu przejęcie kontroli skrzynką odbiorczą SMS. Wbrew pozorom zagrożenie związane z dostępem do wiadomości SMS jest ogromne, ponieważ większość banków do zalogowania się do konta wymaga kodu autoryzującego przesłanego w treści SMSa, do której po skutecznym ataku mogą mieć dostęp phisherzy.
Jak usunąć phishing, jeśli stałeś się jego ofiarą?
Po pierwsze, zeskanuj swój smartfon, komputer czy tablet za pomocą oprogramowania antywirusowego w poszukiwaniu zagrożenia i usuń podejrzane pliki lub poddaj je kwarantannie, aby hakerzy nie szpiegowali Cię i nie przechwytywali Twoich kolejnych danych. Skorzystaj z najlepszej ochrony antywirusowej, która posiada pełne zabezpieczenia przed zagrożeniami online.
Po drugie, zaraz po skanowaniu programem antywirusowym zmień wszystkie swoje hasła, korzystając z trudnych i złożonych kombinacji liter, cyfr oraz znaków. Unikalne i silne hasło może być trudniejsze w zapamiętaniu, ale zapewni większe bezpieczeństwo w przyszłości.
Po trzecie, zgłoś problem wszystkim dostawcom usług bankowych, pocztowych oraz przekaż informację o tej sytuacji Europejskiej Komisji ds. Nadużyć Finansowych (OLAF). Wszystkie kroki, które podejmiesz zwiększą szanse na odzyskanie środków, jeśli znikną z Twojego konta bankowego i zmniejszą ryzyko kolejnych ataków.
Ochrona przed phishingiem. Jak zapobiegać atakom?
Jak pisaliśmy wcześniej, atak phishingowy jest zagrożeniem dla każdego urządzenia podłączonego do Internetu. Najważniejsza w ochronie przed zagrożeniem jest Twoja czujność. Pamiętaj o tym, że phisherzy czekają na Twoją nieuwagę i przeoczenie. Możesz dodatkowo skorzystać z wtyczek ochronnych przeglądarek oraz antywirusów, które ostrzegą Cię i ochronią Twój komputer i dane, jeśli jednak hakerom uda się Ciebie oszukać.
Poniżej znajdziesz najważniejsze praktyki, które zapewnią Ci bezpieczeństwo:
- Nie sprawdzaj i usuwaj wiadomości e-mail od nieznanych nadawców.
- Jeśli w podejrzanym mailu znajduje się link z adresem strony, najlepiej w ogóle w niego nie klikaj albo wejdź na nią, wpisując adres ręcznie w przeglądarce.
- Adres każdej strony, na którą wchodzisz, powinien zawierać „HTTPS”, gdzie „S” oznacza ochronę łącza i zabezpieczenie go odpowiednim protokołem oraz zmniejszone ryzyko ataków hakerskich. Unikaj stron posiadających tylko oznaczenie „HTTP” w adresie.
- Jeśli e-mail, który otrzymałeś, wydaje Ci się podejrzany, skopiuj treść lub nadawcę i sprawdź w wyszukiwarce internetowej, czy istnieją informacje na temat ataków związanych z tą wiadomością.
- Jeśli dostajesz informację o wygranej (np. nowego iPhona czy pieniędzy na loterii, w której nie brałeś/brałaś udziału) powinna zapalić Ci się czerwona lampka. Jeśli taka informacja jest zbyt obiecująca, aby była prawdziwa, najprawdopodobniej tak właśnie jest.
Historia phishingu
Nazwa phishing przypomina „fishing”, czyli z angielskiego „łowienie ryb”, a pierwsze litery „ph” prawdopodobnie mogą pochodzić od pełnej nazwy „password harvesting fishing”, czyli „łowienie haseł”. Phisher zarzuca przynętę do ogromnego morza odbiorców i liczy na to, że ktoś się na nią złapie. Z tego powodu jest to jedna z najgroźniejszych metod hakerskich, jak i najskuteczniejsza.
Nazwa ta została użyta pierwszy raz po ataku na największego operatora Internetu w latach 90. Crackerzy podjęli próbę przejęcia kont w serwisie AOL, wysyłając wiadomość do potencjalnej ofiary z prośbą o potwierdzenie „danych osobowych” lub „informacji w rachunku”. Gdy ofiara podawała dane, atakujący uzyskiwał dostęp do konta i wykorzystywał je dalej w nielegalnych celach, jak np. rozsyłanie spamu.
Obecnie phisherzy wykorzystują tę metodę w celach finansowych, dlatego zwykle korzystają z wizerunku banków czy internetowych portali aukcyjnych. Najczęściej spotykaną obecnie techniką jest wysyłanie informacji o nieaktywnym koncie bankowym i prośbą o ponowne zalogowanie, które następuje na fałszywej stronie przypominającej do złudzenia oryginalną witrynę Twojego banku. Miej się na baczności i korzystaj tylko z zaufanych stron, najlepiej zapisując je w zakładkach lub własnoręcznie wpisując adres w przeglądarce.
@OmegaSoft