CybersecurityPhishingSocjotechnika

Phishing – co to jest i jak się bronić?

Safebit.pl | Phishing - Co To Jest I Jak Się Bronić

Włamanie na skrzynkę pocztową szefa sztabu Hillary Clinton, ataki na sieci energetyczne na Ukrainie, fałszywe e-maile i SMS-y od kurierów, poczty, banków czy sklepów internetowych, kradzieże krypto walut. Co łączy te sprawy? Phishing. Metoda ataku, dzięki której cyberprzestępcy nie muszą łamać cyfrowych zabezpieczeń. Wystarczy, że wyślą fałszywą wiadomość.

Co to jest phishing?

Phishing jest to metoda ataku, która ma na celu przekonanie użytkownika do zrobienia tego, czego chce atakujący. Może to być ściągnięcie i uruchomienia złośliwego załącznika lub kliknięcie w podany w fałszywym mailu link, który odsyła do sfałszowanej strony jakiegoś serwisu z prośbą o zalogowanie się.

Na początku działania Internetu, atakujący wykorzystywali fakt, że oprogramowanie wówczas pisane posiadało dużo różnych błędów bezpieczeństwa, które stosunkowo łatwo było wykorzystać. Nie trzeba było nakłaniać użytkowników do uruchomienia załącznika. W miarę upływu czasu oprogramowanie stawało się coraz bezpieczniejsze i ciężej było już wykorzystywać błędy w oprogramowaniu.

Cyberprzestępcy zdali sobie sprawę, że to i tak na końcu to człowiek jest tym najsłabszym ogniwem. Dlatego zaczęli oni wykorzystywać ten fakt i tak zaczęła się era ataków socjotechnicznych, czy mówiąc inaczej, ataków phishingowych. Łatwiej jest zmanipulować człowieka niż szukać błędów w oprogramowaniu, które staje się coraz bezpieczniejsze.

Mówiąc, że łatwiej zmanipulować człowieka mam na myśli to, że ludzie częściej działają pod wpływem różnego rodzaju emocji niż z zachowaniem zdrowego rozsądku. Wyróżniamy 4 emocje, na których najczęściej grają cyberprzestępcy, aby przekonać nas do wykonania danych czynności.

  • Strach – Jest to jeden z najpotężniejszych czynników motywujących. Jest to najprawdopodobniej najczęściej wykorzystywana emocja, jeżeli chodzi o ataki socjotechniczne. Niezależnie od tego, czy są to fałszywe wiadomości z informacją, że nasze konto bankowe zostało przejęte, czy wiadomość od urzędu skarbowego, oszustwa te stanowią zagrożenie dla użytkowników, co zmusza ich do szybkiego działania, aby uniknąć niebezpiecznej sytuacji.
  • Posłuszeństwo – Zdefiniowane jako przestrzeganie nakazów, wniosków, prawa lub posłuszeństwo wobec osób z wyższą pozycją. Emocja ta wykorzystywana jest jako e-mail, wiadomość SMS, a nawet jako rozmowa telefoniczna, gdzie atakujący podszywa się pod organy ścigania, służby skarbowe, naszych przełożonych lub kierownictwo firmy. Od najmłodszych lat uczymy się, żeby raczej ufać organom ścigania, a także mamy przekonanie, że należy wykonywać czynności, o które poproszą nas nasi przełożeni.
  • Chciwość / ciekawość – W przypadku ataków, które wykorzystują chciwość, najczęściej oferują one różnego rodzaju nagrody — zazwyczaj pieniężną — za wykonanie określonych czynności. Powszechną metodą jest tworzenie fałszywych profili na serwisach społecznościowych, które obiecują darmowy sprzęt elektroniczny, telefony, a nawet supersamochody (np. Facebook i samochód od Kuby Wojewódzkiego).
  • Współczucie – Cyberprzestępcy do ataków phishingowych wykorzystują nie tylko negatywne ludzkie cechy. Jedną z naszych cech jest chęć pomocy innej osobie lub grupie osób. Ataki te są często skierowane do działów obsługi klienta, ponieważ osoby te mają raczej skłonności do udzielania pomocy lub po prostu działają rutynowo i akceptują fakt, że ktoś prosi o pomoc w rozwiązaniu jakiegoś problemu.

Rodzaje phishingu

  • Spear phishing – Jest to bardziej wyrafinowana forma standardowego ataku phishingowego. Atak jest skierowany na konkretną osobę, który poprzedzony jest drobiazgowym rekonesansem, a nie jak ma to miejsce w klasycznym phishingu, gdzie atakujący wysyłają fałszywe wiadomości do całej grupy osób.
  • Vishing – Tradycyjny phishing do ataku wykorzystuje wiadomości e-mail. Natomiast vishing wykorzystuje telefon do manipulacji potencjalną ofiarą. Możliwe jest także podszycie się pod konkretny numer telefonu, jest na to kilka sposobów. Co jakiś czas pojawiają się informacje, że jakaś firma została ofiarą tego typu ataku (https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-rodzaj-oszustwa-w-ktorym-mozesz-stracic-swoja-pensje/). Jedną z ofiar była Polska Grupa Zbrojeniowa, która straciła kilka milionów złotych przez tego typu atak (https://technologia.dziennik.pl/internet/artykuly/590873,pgz-phishing-spolka.html). Przykłady można mnożyć.
  • SMiShing – Jest to rodzaj phishingu, który do oszustwa wykorzystuje wiadomości tekstowe SMS. Polega on najczęściej na nakłonieniu ofiary na do pobrania złośliwego oprogramowania lub kliknięcia w podany w wiadomości link.
  • Pharming – Jest to rodzaj przypominający phishing, ale w tym wypadku odwiedzający prawdziwą stronę są przekierowywani na tak samo wyglądające fałszywe strony, które instalują złośliwe oprogramowanie lub kradną poufne dane takie jak dane dostępowe.
  • Spoofing – Jest to atak, który polega na podszyciu się pod coś lub kogoś, aby wykraść ważne informacje lub zyskać dostęp do kont ofiary. Obejmuje spoofing adresu IP (wysyłanie komunikatów do komputera z adresu IP, który sugeruje, że wiadomość pochodzi z zaufanego źródła), spoofing e-mail (podrabianie nagłówka e-maila, aby wyglądał jakby pochodził od innej osoby lub z innego miejsca) i spoofing DNS (modyfikacja serwera DNS w celu przekierowania ruchu z konkretnej domeny na inny adres IP).
  • SPAM – Jest to niechciana wiadomość, która reklamuje produkt lub usługę. Jest to elektroniczna wersja ulotek, które codziennie docierają do naszych skrzynek pocztowych. Spamerzy, czyli osoby, które zajmują się wysyłaniem SPAM-u, tradycyjnie kierują swoje śmieciowe wiadomości na konta poczty elektronicznej, ale spam można znaleźć również na blogach, sieciach społecznościowych, takich jak Facebook. Przestępcy używają również SPAM-u do sprawdzenia, czy Twoje konto jest prawdziwe i go używasz.
  • SPIM – Jest to rodzaj spamu, który do wysyłania niechcianych wiadomości wykorzystuje komunikatory internetowe takie jak Messenger czy WhatsApp. Najczęściej wiadomości zachęcają do odwiedzenia stron, które są zainfekowane złośliwym oprogramowaniem.
  • SCAM – Istnieje wiele rodzajów oszustw internetowych, ale wszystkie one mają jedną wspólną cechę: próbują nakłonić Cię do ujawnienia swoich prywatnych informacji lub zapłacenia za coś, czego nie otrzymasz.

Dlaczego phishing jest tak niebezpieczny?

Ataki typu phishing są w tym momencie największym zagrożeniem dla przedsiębiorstw oraz zwykłych użytkowników, ponieważ łatwiej jest cyberprzestępcy zmanipulować i zaatakować człowieka, niż łamać coraz lepsze systemy zabezpieczeń.

Atakujący używają tematów, które są wrażliwe lub popularne w ostatnim czasie i mają nadzieję, że ludzie zareagują emocjonalnie, bez zastanowienia. Niezależnie od tego, czy jest to strach, chciwość, posłuszeństwo czy chęć bycia pomocnym, oszuści zawsze znajdą u kogoś emocjonalny wątek, który będzie można wykorzystać.

Oto kilka statystyk związanych z phishingiem ukazujący, dlaczego jest on tak niebezpieczny:

  • Około 90% ataków jest przeprowadzanych poprzez phishing lub jego odmiany
  • Ataki phishingowe rosną w tempie 65% rocznie
  • Prawie ⅓ wycieków danych na świecie była spowodowana atakiem typu phishing
  • Około 1.5 miliona stron phishingowych jest tworzonych każdego miesiąca
  • 76% przedsiębiorców deklaruje, że przynajmniej raz zostało ofiarą ataku phishingowego w ciągu ostatniego roku
  • 30% fałszywych wiadomości jest otwieranych przez nieświadomych użytkowników
  • 12% użytkowników kliknęło w złośliwy załącznik lub link

Jednym z przykładów udanego włamania, który miał za sobą poważne konsekwencje, był atak phishingowy na skrzynkę pocztową Johna Podesty, szefa kampanii prezydenckiej Hillary Clinton.

Chociaż atakujący podszywają się pod Google, to wiadomość nie wpada do SPAMu. Dodatkowo, odnośnik „Change Password” prowadzący na stronę https://bit.ly/1PibSU0, również umknął uwadze filtrów zabezpieczających.

Safebit | Phishing

Jedna ze wskazówek, która może powiedzieć nam, że to fałszywy e-mail jest adres, w którym można było zresetować hasło. Firmy takie jak Google, Facebook, Twitter NIGDY nie korzystają ze skracaczy linków dla własnych odnośników. Najczęściej to właśnie atakujący używają skracacza linków po to, aby ukryć docelowy adres. Jednak jak rozpoznać phishing omówimy sobie w kolejnym rozdziale.

Jak rozpoznać phishing?

No dobrze, ale jak wykryć to, że wiadomości, które dostajemy, są fałszywe? Aby dowiedzieć się, jak rozpoznać phishing, należy uzmysłowić sobie, jakich technik używają cyberprzestępcy, aby wykonać atak phishingowy. Jeżeli dobrze poznamy te techniki, będziemy wiedzieć, w jaki sposób wykrywać, że wiadomość, jaką dostajemy, jest fałszywa.

Zakres ataków phishingowych stale się powiększa, ale atakujący najczęściej wykorzystują następujące metody:

  • Atakujący w wiadomościach osadzają linki, które przekierowują użytkowników na fałszywą i niezabezpieczoną witrynę z żądaniem wpisania poufnych informacji, takich jak dane logowania.
  • Wysyłają złośliwe oprogramowanie poprzez załącznik wiadomości e-mail lub tworzą złośliwe reklamy, na których także umieszczają złośliwe oprogramowanie.
  • Wykorzystując złe zabezpieczenia poczty elektronicznej. Atakujący może podszywać się pod prawdziwy adres nadawcy, aby się uwiarygodnić i sprawić, aby ofiara podała mu wrażliwe dane.
  • Używając telefonu, atakujący podszywają się pod znaną firmę, kontrahenta, podwykonawcę lub dział IT. Atakujący mogą w ten sposób wyłudzać poufne informacje lub nakłonić ofiarę, na instalację złośliwego oprogramowania.
  • Wysyłają fałszywe SMS i nakłaniają do zainstalowania złośliwego oprogramowania lub do kliknięcia w link podany we wiadomości i podążanie za instrukcjami.
  • Przekierowują na fałszywą stronę w celu wyłudzenia danych logowania
  • Wymuszają kliknięcie w złośliwy załącznik
  • Podszywają się pod prawdziwy email i wyłudzają poufne informacje
  • Dzwonią do firmy podając się pod znaną firmę, klienta, kontrahenta, partnera biznesowego lub dział IT i wyłudzają poufne dane lub nakłaniają ofiarę na instalację złośliwego oprogramowania
  • Wysyłają fałszywe SMS w celu instalacji złośliwego oprogramowania na telefon lub nakłaniają ofiarę na wysyłanie płatnych SMS-ów

Jak się bronić przed atakami typu phishing?

Użytkownicy powinni być zawsze podejrzliwi i świadomi tego, że w każdej chwili możemy dostać fałszywą wiadomość, szczególnie jeżeli nie znają nadawcy. Oczywiście, nie możemy popadać w paranoje, nie musimy każdej wiadomości uznawać z góry za fałszywą.

Jeżeli dostaniemy maila z prośbą o kliknięcie w link, uruchomienie załącznika czy wypisanie poufnych danych, to należy w tym momencie zapalić się czerwona lampka i zacząć być podejrzliwym.

Przestępcy bardzo często wykorzystują to, że podchodzimy do różnych spraw emocjonalnie. Dlatego nigdy nie należy działać pod wpływem emocji, ponieważ atakujący tylko na to czekają.

Oto kilka praktycznych porad, jak wykryć i uniknąć zostania ofiarą ataku socjotechnicznego:

  • Zwracać zawsze uwagę na adres, z której przyszedł e-mail. Nie każdy e-mail jest fałszywą świadomością, dlatego nie należy popadać w paranoje. Należy jednak zawsze sprawdzić adres, z którego przyszła do nas wiadomość.
  • Zawsze należy sprawdzać, dokąd prowadzi podany w wiadomości link. Atakujący może napisać niewinnie wyglądający link np. www.facebook.com/change-password, jednak tak naprawdę link ten odsyła nas do strony, która jest kontrolowana przez przestępców. Jeżeli sam napis i prawdziwy link różnią się od siebie, to zawsze powinna zapalać się nam czerwona lampka, ponieważ na 99% jest to próba ataku. Tak samo, jeżeli w takiej wiadomości zobaczymy adres, który jest skrócony (np. https://bit.ly/2HTzWnH) to najprawdopodobniej również jest to próba ataku. Najlepiej nigdy nie klikać w podane linki, a wpisać je bezpośrednio do przeglądarki.
  • Jeżeli dostaniemy wiadomość od banku, że wymagana jest jakaś akcja na naszym koncie, to nie należy klikać w podany link, a właśnie otworzyć przeglądarkę i wpisać adres banku własnoręcznie i zalogować się na swoje konto. Jeżeli rzeczywiście, jest potrzebna jakaś akcja ze strony użytkownika, to dostaniemy taką informację już na swoim koncie.
  • Nie należy otwierać ani zapisywać żadnych podejrzanych załączników. Wiadomości, które mają w sobie załączniki z rozszerzeniem np. exe, bat, com, js od razu należy kasować lub zgłosić incydent bezpieczeństwa do odpowiedniej komórki czy osoby. Należy pamiętać o tym, że banki oraz zaufani odbiorcy nie wysyłają załączników w takich formatach.
  • Nigdy nie uruchamiać makr dokumentach Microsoft Office lub LibreOffice, które otrzymujemy w załączniku od nieznanych osób.
  • Należy być podejrzanym o każdą prośbę podania ważnych lub poufnych danych. Jeżeli dostaniemy wiadomość, w której jest prośba o przesłanie ważnego dokumentu, podania haseł czy w ogóle, prośba o  przesłanie poufnych danych, to najlepiej jest wysłać do tej osoby wiadomość, czy na pewno to dana osoba wysłała i czy na pewno potrzebuje takich danych.
  • Zwracaj uwagę na bezpieczeństwo stron internetowych. Jeżeli chcemy wysłać jakieś poufne informacje na stronie internetowej, należy zawsze zwrócić uwagę na to, czy strona działa na protokole HTTPS (który to szyfruje nam komunikację z daną witryną) czy na zwykłym HTTP (który nie szyfruje żadnych danych i każdy, kto podsłucha taką komunikację, jest w stanie wyciągnąć poufne informacje). Bardzo przydatne jest wyrobienie sobie nawyku takiego sprawdzania. Jeżeli logujemy się do banku, poczty elektronicznej to zawsze należy sprawdzić, czy dana strona działa na protokole HTTPS.

Podsumowanie

Dowiedzieliśmy się właśnie, co to jest phishing, jakie są jego rodzaje, jak go wykrywać oraz jak przeciwdziałać i chronić się przed atakami socjotechnicznymi. Podsumujmy sobie dotychczasową wiedzę na ten temat:

  • Phishing jest to metoda ataku, która ma na celu przekonanie użytkownika do zrobienia tego, czego chce atakujący. Może to być ściągnięcie i uruchomienia złośliwego załącznika lub kliknięcie w podany w fałszywym mailu link.
  • Ataki socjotechniczne mogą być także wykonywane za pomocą sieci społecznościowych, SMS (SMiShing), telefonu (Vishing) czy za pomocą złośliwego oprogramowania (Pharming).
  • Aby wykryć, czy dana wiadomość jest tak naprawdę atakiem socjotechnicznym, należy w pierwszej kolejności sprawdzić adres nadawcy. Jeżeli dostajemy informacje np. od poczty polskiej a w adresie jest adres, który nie należy do poczty polskiej to mamy pewność, że jesteśmy właśnie ofiara phishingu.
  • Nigdy nie należy podawać poufnych danych w wiadomościach e-mail. Jeżeli dostajemy wiadomość np. od naszego przełożonego i adres na to wskazuje (pamiętajmy: adres ten można sfałszować!) to należy wysłać nowego e-maila lub zadzwonić do takiej osoby z prośbą o potwierdzenie.
  • W żadnym wypadku nie należy otwierać nieznanych załączników, szczególnie, jeżeli mają końcówke .exe, .bat, .com, .js, .ps, .ps1.
  • Nie uruchamiać makr w dokumentach, które otrzymaliśmy od nieznajomych.
  • Kolejną rzeczą jest sprawdzenie linków. Jeżeli podany link w wiadomości nie zgadza się z jego nazwą, lub prowadzi on do dziwnej strony to również możemy uznać, że jest to atak phishingowy.
  • Kolejną wskazówką może być brak polskich znaków w wiadomości lub rażące błędy ortograficzne, zła stopka lub jej brak, także brak loga.
  • Należy zwracać uwagę na to, czy strona jest bezpieczna, tzn czy wchodząc na daną stronę, nasza komunikacja jest szyfrowana.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *