Dwudziesty pierwszy wiek niepozbawiony jest sprzeczności. Z jednej strony społeczeństwo jest coraz bardziej świadome czyhających w internecie zagrożeń, posiada ono również dostęp do zaawansowanych programów antywirusowych i innych zabezpieczeń, pozwalających na bezstresowe surfowanie w sieci.
Niestety, po przeciwnej stronie medalu znajdują się cyberprzestępcy, którzy także korzystają z najnowszych rozwiązań technologicznych, wykorzystując je przeciwko niewinnym użytkownikom internetu. Oprogramowania malware, takie jak trojan i jego wszystkie inne odmiany, to zaledwie wierzchołek góry lodowej. Arsenał hakerów bardzo często obejmuje także różnego rodzaju socjotechniki, w tym szczególnie popularny w ostatnich latach phishing.
Spis treści:
2. Rodzaje ataków phishingowych
3. Phishing | Jak się przed nim bronić?
Phishing | Co to jest?
Osoby stykające się z terminem phishing po raz pierwszy, bardzo często mylą go z angielskim słowem fishing, które oznacza łowienie ryb. Błąd ten jest całkowicie zrozumiały: oba zwroty wymawia się identycznie, można w nich również doszukać się pewnych analogii, chociażby udziału sieci (internet/sieć rybacka) oraz przynęty (na internautów/na ryby). Jednakże, o ile nad ideą wędkarstwa nie trzeba długo się rozwodzić, o tyle phishing może być dla wielu osób dość trudną koncepcją, wymagającą szerszych wyjaśnień. Zatem, czym jest wspomniany phishing?
Phishing | Definicja
Phishing to popularna socjotechnika wykorzystywana przez cyberprzestępców, mająca na celu oszustwo, manipulację lub kradzież poufnych danych od użytkowników internetowych. Atakujący, często zwani phisherami, podszywają się pod zaufane instytucje, firmy lub inne autorytety, by przekonać swoje ofiary do ujawnienia haseł, danych logowania, numerów kart kredytowych czy informacji osobistych.
Rodzaje ataków phishingowych
Phishing, jako jedna z najczęściej używanych przez cyberprzestępców socjotechnik, pozostaje trudnym wyzwaniem dla bezpieczeństwa w świecie internetowym. Ten podstępny proceder każdego dnia utrudnia bądź niszczy życia tysięcy ludzi, a hakerzy go stosujący najczęściej pozostają bezkarni. Zadziwiająca jest również różnorodność ataków phishingowych: od fałszywych e-maili, które niegdyś dominowały, po działania pokroju smishingu, whalingu czy spear phishingu – każde z nich posiada unikalne cechy i mechanizmy, które uczyniły je skutecznym w wykorzystywaniu ludzkiej naiwności i zaufania.
Phishing e-mail
Phishing e-mail (znany również jako e-mail phishingowy) to jedna z popularniejszych socjotechnik, w której to oszust podszywa się pod zaufaną instytucję, wysyłając fałszywe wiadomości e-mail do swoich potencjalnych ofiar. Celem tego cyberataku jest skłonienie odbiorcy do wykonania konkretnej czynności lub ujawnienia swoich poufnych danych.
Oszuści korzystający z tej metody często tworzą e-maile, które wyglądają autentycznie i imitują wiadomości od znanych organizacji, w tym banków, serwisów zakupowych czy firm. W treści zazwyczaj znajdują się alarmujące informacje, takie jak domniemane problemy z kontem, próby zweryfikowania tożsamości, zaległe płatności lub obietnice nagród, mające nakłonić odbiorcę do podjęcia pilnych działań. Co więcej, e-maile phishingowe często zawierają linki do fałszywych stron internetowych lub załączniki ze złośliwym oprogramowaniem. Po kliknięciu w nie ofiara może zostać przekierowana na fałszywą witrynę, która poprosi ją o podanie swoich danych logowania lub poufnych informacji – te niestety trafią prosto do cyberprzestępcy.
Smishing
Smishing (z ang. SMS + phishing) to forma phishingu, która wykorzystuje wiadomości tekstowe (SMS-y) jako narzędzie manipulacji i oszustwa. W ataku smishingowym przestępcy podszywają się pod zaufane źródła, w tym pod operatorów telefonii komórkowej lub firmy kurierskie, by w ich imieniu wysłać alarmujące komunikaty (np. o konieczności dopłaty kilku złotych za usługę lub o rzekomym ataku na konto bankowe).
Wiadomości smishingowe mają na celu zmuszenie odbiorcy do podjęcia konkretnego działania. Mogą zawierać numer telefonu hakera, który podszywając się pod pracownika wybranej instytucji, będzie próbował wyłudzić od ofiary osobiste informacje. Inna opcja zakłada wysłanie przez cyberprzestępców SMSa z linkiem do fałszywej strony internetowej lub załącznika z wirusem. Niestety, smishing to bardzo niebezpieczna socjotechnika, ponieważ SMS-y są uważane za bardziej osobiste w stosunku do e-maili, a to z kolei może skłaniać ofiary do szybszej reakcji i bardziej pochopnych decyzji.
Vishing
Vishing (voice phishing) to kolejna odmiana phishingu, która wykorzystuje rozmowy telefoniczne do popełniania przestępstw. Ten rodzaj oszustwa polega na dzwonieniu do potencjalnych ofiar jako rzekomy pracownik banku, instytucji finansowej, firmy telekomunikacyjnej lub innej zaufanej organizacji.
Podczas rozmowy telefonicznej oszuści starają się zdobyć poufne informacje od swojego celu, mogą go także przekonywać do wykonania przelewu pod wskazany numer konta bankowego. Przestępcy vishingowi często korzystają z technologii VoIP (Voice over Internet Protocol, która utrudnia identyfikację rozmówcy.
Spear phishing
Spear phishing to bardziej zaawansowana i ukierunkowana forma ataku phishingowego, która jest oparta na personalizowanych wiadomościach, skierowanych do konkretnych osób lub grup. Ten rodzaj socjotechniki, w przeciwieństwie do swoich poprzedników, koncentruje się na pojedynczych celach, które wcześniej są dokładnie typowane przez atakujących.
Oszuści przed przystąpieniem do działania skrupulatnie badają swoje cele, a informacje na ich temat zbierają za pomocą publicznie dostępnych źródeł (media społecznościowe, publikacje prasowe, biogramy, strony internetowe, blogi). Dzięki tym danym, cyberprzestępcy są w stanie personalizować wiadomości tak, aby wyglądały autentycznie i były przekonujące dla swoich odbiorców.
Wiadomości spear phishingowe są zazwyczaj dobrze spreparowane i zawierają szczegóły, które mają przyciągnąć uwagę celu, np. odniesienia do aktualnych projektów, zainteresowań czy innych szczegółów dotyczących pracy lub życia prywatnego. Oszuści mogą też podszywać się za współpracowników, dostawców lub pozostałe osoby z otoczenia ofiary. Cel ataku spear phishingowego jest taki sam, jak w przypadku tradycyjnego phishingu – zdobycie poufnych danych.
Whaling
Jedną z odmian spear phishingu jest whaling, który stanowi zaawansowaną i strategiczną formę cyberataku, skierowaną w “grube ryby” świata show biznesu. Whaling (w polskim tłumaczeniu “polowanie na wieloryby”) celuje w wysoko postawionych pracowników, menedżerów, dyrektorów wykonawczych oraz inne osoby na kluczowych stanowiskach w firmach i organizacjach.
Omawiana socjotechnika służy hakerom w celu zdobycia bardzo cennych danych, takich jak tajemnice handlowe, poufne raporty finansowe, hasła logowania do kont bankowych czy systemów wewnętrznych. Atakujący starają się wykorzystać pozycję i wpływy swoich ofiar by uzyskać dostęp do kluczowych informacji, które – jeżeli wykorzystane w celach szantażu, wyłudzenia lub innych oszust – mogą przynieść im znaczne korzyści. Ataki whalingowe są trudniejsze do wykrycia niż standardowe działania phishingowe, ponieważ oszuści działają wyjątkowo dyskretnie i ostrożnie. Z tego też powodu, w licznych firmach i organizacjach coraz częściej stawia się na cykliczne cyber-szkolenia, mające na celu podniesienie świadomości wśród personelu.
Phishing | Jak się przed nim bronić?
Zachowując odpowiednie środki ostrożności, każdy ma szansę uchronić się przed atakiem phishingowym. Przedstawiamy kilka kluczowych kroków, które pomogą Ci zabezpieczyć się przed tą formą oszustwa:
- Edukacja i świadomość: Zapoznaj się z zagrożeniami związanymi z phishingiem i pamiętaj, że ataki mogą przychodzić w różnych formach – e-maile, wiadomości tekstowe, rozmowy telefoniczne czy media społecznościowe. Naucz się rozpoznawać podejrzane sygnały i zawsze zachowuj czujność w komunikacji online.
- Używanie narzędzi anty-phishingowych: Wykorzystaj oprogramowanie antywirusowe, zaporę sieciową i narzędzia anty-phishingowe, które pomogą wychwycić potencjalnie niebezpieczne wiadomości lub strony internetowe.
- Unikanie podejrzanych linków i załączników: Nie klikaj w linki ani nie otwieraj załączników z nieznanych źródeł. Oszuści często ukrywają pod nimi złośliwe oprogramowanie lub przekierowują na fałszywe strony internetowe.
- Autoryzacja dwuskładnikowa: Włącz autoryzację dwuskładnikową wszędzie tam, gdzie jest to możliwe. Ta dodatkowa warstwa zabezpieczeń sprawi, że dostęp do Twoich kont będzie trudniejszy dla hakerów.
- Dbałość o dane osobowe: Nie udostępniaj swoich poufnych danych ani danych logowania na żądanie nieznanych osób lub firm. Zawsze potwierdzaj autentyczność prośby poprzez bezpośredni kontakt z odpowiednią organizacją.
- Aktualizacje oprogramowania: Upewnij się, że twój system operacyjny, przeglądarka internetowa i inne aplikacje są zawsze aktualne. Aktualizacje zawierają poprawki bezpieczeństwa, które pomagają chronić użytkowników przed zagrożeniami.
- Ostrożność na mediach społecznościowych: Uważaj z tym, co publikujesz na swoich profilach w mediach społecznościowych. Oszuści mogą wykorzystać zawarte tam informacje do spersonalizowanych ataków.
- Zgłaszanie podejrzanych wiadomości: Jeśli otrzymasz podejrzaną wiadomość, zgłoś ją odpowiedniej organizacji, np. zespołowi reagowania na incydenty komputerowe CERT Polska ( https://incydent.cert.pl/).
- Dbałość o pracowników w firmie: Jeśli jesteś pracodawcą, zadbaj o szkolenia dla pracowników w zakresie bezpieczeństwa cybernetycznego, aby unikać przypadkowych kliknięć na podejrzane linki czy otwierania podejrzanych załączników z ich strony.
Zachowanie ostrożności i dbałość o bezpieczeństwo w internecie są kluczowe w zapobieganiu phishingowi. Pamiętaj, że nawet jedno kliknięcie w podejrzany link lub podanie poufnych danych może spowodować poważne konsekwencje. Lepiej być przezornym, niż żałować potem swoich decyzji.
