Zastanawiacie się, co to jest phishing? A pamiętacie konia trojańskiego? No właśnie… To taka współczesna wersja zasadzki, która potrafi doprowadzić do ogromnych szkód albo po prostu sporego bałaganu. Jak rozpoznać fałszywe maile i bronić się przed kradzieżą danych osobowych i innych cennych informacji?

Phishing: co to jest?

Każdy codziennie dostaje od kilku do kilkudziesięciu maili. Tych ważnych i mniej istotnych. Z informacjami, prośbami, potwierdzeniami. Klikamy w nie mechanicznie i czasem równie automatycznie wykonujemy zawarte w nich prośby. Kto z Was był ostatnio w oddziale banku? Założę się, że większość osób załatwia takie sprawy przez internet. Nie dziwi nas więc mail od banku i chętnie klikamy w link prowadzący do jego strony, a potem logujemy się na swoje konto, by wykonać działanie, o które nas poproszono. Tyle, że to nie jest strona banku, a przypominająca ją do złudzenia atrapa, a nasze logowanie miało na celu jedynie wykradzenie naszych danych osobowych. Właśnie staliśmy się ofiarą phishingu!

Phishing jest rodzajem ataku cybernetycznego. Bardzo prostym, bo nie wymaga szukania luk w zabezpieczeniach ani posiadania zaawansowanej wiedzy technicznej. Phishing bazuje na najsłabszym ogniwie ochrony sieci komputerowej – błędach użytkownika. Twórcy fałszywych maili podszywają się pod realnie istniejące instytucje nakłaniając nas do udzielenia osobistych informacji. Sami, dobrowolnie podajemy złodziejom danych nasze hasła, numery kart kredytowych oraz kont bankowych.

Skąd się wzięła nazwa “phishing”?

Jaki związek ma słowo “phishing” (z ang. łowienie ryb) z wyłudzeniem danych? To proste! Oszuści, którzy chcą wykraść cenne informacje zarzucają wędkę z przynętą i czekają aż ktoś chwyci. Czasem dłużej, innym razem krócej, ale zazwyczaj w końcu się udaje! Uważa się, że pierwszą osobą, która użyła słowa phishing był Khan C. Smith – znany spamer i haker z połowy lat 90. Jedna z pierwszych prób kradzieży danych osobowych również miała miejsce w latach 90., a konkretnie w 1996 roku, kiedy to oszuści podszyli się pod pracowników największego operatora internetu w Ameryce America Online (AOL) i poprosili użytkowników o weryfikację kont oraz przekazanie informacji rozliczeniowych. Ostatecznie firma AOL prawdopodobnie jako pierwsza zaczęła dodawać do swoich maili informację „żaden pracownik AOL nigdy nie będzie prosił o podanie hasła lub informacji rozliczeniowych”.

Jak rozpoznać fałszywe maile?

Rozpoznanie fałszywych maili czasami jest banalnie proste, ale zdarzało się, że oszuści dopracowali swoje metody do perfekcji. Podstawą jest jak zawsze zdrowy rozsądek i brak automatycznych, nieprzemyślanych działań. Zamiast z automatu klikać, zwróć uwagę na elementy wiadomości, które mogą wydawać się niezwykłe:

  • nie znasz nadawcy lub wręcz przeciwnie – znasz i kojarzysz, ale nie jest to osoba, z którą wcześniej miałeś kontakt/nawiązałeś komunikację e-mail;
  • wiadomość została wysłana o niezwykłej godzinie – 2:00 czy 3:00 w nocy to raczej nie jest pora, o której pracownicy firm wysyłają wezwania do zapłaty albo faktury;
  • treść maila została skonstruowana w taki sposób, że budzi Twoje przerażenie;
  • wręcz przeciwnie: treść maila jest tak korzystna, że aż zbyt piękna, by była prawdziwa;
  • mail jest niechlujny, a elementy graficzne źle rozplanowane;
  • wiadomość zawiera nietypowe załączniki;
  • wiadomość zawiera nietypowe łącza. Najedź na nie myszką, by zobaczyć adresy URL. Zwróć uwagę na ich treść oraz ewentualne literówki w nazwie firmy;
  • łącze, które można podejrzeć po najechaniu myszką nie jest tożsame z opisem łącza w elemencie graficznym lub opisie linku (np. Napis “Zaloguj się do banku” w rzeczywistości kieruje na adres w ogóle niezwiązany z bankiem);
  • jeśli mail jest napisany po polsku, zwróć uwagę na błędy stylistyczne, ortograficzne i gramatyczne – mogą sugerować próbę podszywania się;
  • adres nadawcy wiadomości nie jest tożsamy z osobą widniejącą w podpisie maila;
  • domena (czyli to, co jest po znaku “@” w adresie) nadawcy nie pasuje do nazwy firmy, którą przedstawia się nadawca;
  • rzekoma faktura lub potwierdzenie przelewu jest wysłane w pliku ZIP, RAR lub nawet TAR.GZ.

Phishing: przykłady metod działania cyberprzestępców

Metod działania cyberprzestępców może być wiele.Jak może wyglądać phishing? Przykłady znajdziecie poniżej!

Phishing typu spear

To jeden z najgroźniejszych i najbardziej kosztownych dla firm przykładów phishingu, bo opiera się na bardzo przemyślanym ataku. Zamiast wysyłać zbiorcze maile do ogromnej bazy osób, przestępca obiera sobie konkretną osobę, firmę lub szerzej – specyficzna branżę – i na niej skupia swoje działania. Tworzy maile tak, by jak najbardziej pasowały do specyfiki pracy tych konkretnych osób. Tego typu fałszywe maile mogą być bardzo mocno spersonalizowane, bo przed ich wysłaniem przestępca sprawdza, jaka jest struktura zatrudnionych w firmie osób i kieruje korespondencję tylko do wybranych pracowników zwracając się do nich z imienia i nazwiska. Przykład phishingu typu spear? Osoba wykonująca w firmie przelewy otrzymuje maila od (rzekomo) swojego przełożonego z prośbą o wykonanie konkretnych działań. Może to być podanie danych, ale też zrobienie przelewu na konto (rzekomego) dostawcy firmy, które tak naprawdę jest kontem przestępcy.

Wyłudzenie danych z użyciem klonów

Posługujący się tą metodą przestępcy tworzą kopie prawdziwych, wcześniej dostarczonych maili zawierających załączniki bądź odnośniki do stron. Następnie zastępują te załączniki lub linki własnymi. Nie trudno zgadnąć, że większość użytkowników klika w tego typu łącza nawet przez moment nie przeczuwając zagrożenia.

Nieco podobną metodą jest tworzenie maili bliźniaczo podobnych do maili banków czy urzędów. Co więcej znajdujące się w tych mailach link prowadzą do klonów stron danych instytucji. A stąd już dzieli nas jedynie krok od wyłudzenia danych osobowych. Najprostszą metodą by ustrzec się przed problemami jest nawyk sprawdzania adresów URL strony, na którą zostaliśmy przeniesieni po kliknięciu mail przed wykonaniem jakichkolwiek działań na tej stronie.

Zobacz: Przykład phishingu- ktoś podszywa się pod urząd skarbowy

Jak się ustrzec przed kradzieżą danych?

Oczywiście każdy komputer ma zainstalowane programy antywirusowe, a Twój program pocztowy w pewnym stopniu wyłapuje spam. To jednak za mało, by nie paść ofiarą wyłudzenia danych osobowych przez internet. Najważniejszym elementem zabezpieczeń komputera jest zawsze jego użytkownik. Dlatego:

  • nigdy nie otwieraj maili od nieznanych nadawców, szczególnie tych o obcobrzmiących nazwiskach lub kontaktu od których się nie spodziewasz;
  • nigdy nie klikaj łączy ani załączników w adresach e-mail, jeśli nie jesteś pewien dokąd prowadzą i co z ich pomocą pobierzesz na swój komputer;
  • chcąc przejść do łącza podanego w mailu, skopiuj jego adres i prześledź pod kątem literówek i ogólnej poprawności;
  • znajdź certyfikat cyfrowy strony internetowej i potwierdź, że został wystawiony dla danej firmy przez zaufany urząd certyfikacji;
  • gdy zostajesz przekierowany na stronę wymagającą podania danych, sprawdź, czy jej adres zaczyna się od HTTPS, gdzie “S” jest synonimem protokołu bezpieczeństwa; sprawdź adres witryny w pasku adresu przeglądarki;
  • jeśli logujesz się często np. do Office365, G-Suite czy innych serwisów – skonfiguruj wyświetlanie własnego logo na stronie logowania. Jeśli po kliknięciu w podejrzany link logo nie będzie – jest to pierwszy znak ostrzegawczy;
  • włącz uwierzytelnianie wieloskładnikowe (ang. multi-factor authentication, w skrócie MFA) w serwisach, do których się logujesz. Jeśli nawet przez przypadek staniesz się ofiarą phishingu, atakujący nie dostanie się do Twoich danych bez dodatkowego hasła z SMSa lub aplikacji mobilnej;
  • jeśli masz wątpliwości, czy dana wiadomość pochodzi od znanego Ci nadawcy np. banku, skontaktuj się z daną instytucją i potwierdź, czy wysłała mailing, który otrzymałeś;
  • dokładnie oglądaj wszystkie wiadomości z załącznikami lub linkami. Sprawdzaj adres nadawcy, domenę nadawcy i podpis. Czytaj szczegółowo treść w poszukiwaniu błędów w tekście. W razie dalszych wątpliwości spróbuj potwierdzić tożsamość nadawcy, np. dzwoniąc do firmy, z której dostałeś mail (telefonu nie bierz z podejrzanego maila, tylko z oficjalnej strony tej firmy);
  • pamiętaj, że nawet sprawdzenie dwa razy wszystkich tych punktów nie daje 100% pewności. W razie dalszych wątpliwości warto spytać swojego informatyka.

A co, jeśli ktoś naprawdę wysłał do mnie fakturę, a ja potraktowałem/am to jako spam?

Prawdopodobieństwo, że ktoś wysłał Ci fakturę do zapłaty w pliku ZIP, opisał to łamaną polszczyzną i przesłał maila z konta kolegi jest bardzo małe. A jeśli ktoś naprawdę wysłał Ci fakturę do zapłaty robiąc te wszystkie rzeczy opisane wyżej – zapewne zrobi to ponownie lub do Ciebie zadzwoni, gdy nie otrzyma płatności. Ostatecznie to nadawcy wiadomości zależy na tej płatności i powinien do wysyłki dokumentów podchodzić poważnie. Dla przykładu wszyscy pracownicy Kompanii Informatycznej używają elektronicznego podpisywania każdej wiadomości e-mail, aby odbiorca miał pewność, że mail naprawdę jest od nas. Jeśli kurier naprawdę ma dla Ciebie paczkę – z pewnością otrzymasz dodatkowe powiadomienie, zanim ją odeślą, a możesz to także sprawdzić uzyskując od nadawcy numer nadania i sprawdzając w systemie logistycznym na stronie firmy kurierskiej, czy dana paczka faktycznie na Ciebie czeka.

Jednym słowem: nie jesteś pewien/pewna – nie otwieraj!

Zobacz też:


Źródła;
“Phishing jako zagrożenie bezpieczeństwa osobistego w sieci” Igor Protasowicki
“Internet złych rzeczy” Julia Chmielecka