Czym jest phishing i jak się chronić przed atakiem?
Informacja to jedno z najważniejszych dóbr, jakie można posiadać w sieci. Ten, kto ma dostęp do odpowiednich danych, jest w stanie wiedzieć (i mieć) więcej. Choć wydawałoby się, że zwykli użytkownicy w sieci nie są właścicielami istotnych informacji, to oszuści internetowi są, bardzo często, innego zdania. Łupem hakerów padają dane, takie jak: numery dowodów osobistych, kody CVV kart kredytowych czy informacje dotyczące logowania do kont bankowych oraz do poczt elektronicznych. Mimo, iż wiedza dotycząca funkcjonowania oszustów w sieci jest w społeczeństwie całkiem duża, to i tak skala wyłudzeń tajnych danych osobistych sukcesywnie rośnie. Próba kradzieży informacji określana jest jako phishing.
Czym dokładnie jest phishing? W jaki sposób oszuści kradną dane logowania? Kiedy może dojść do ujawnienia informacji osobistych, z których przestępcy zrobią sobie użytek? Czy da się przed tym zjawiskiem skutecznie chronić? W niniejszym artykule poruszam te kwestie.
Phishing pozwala uzyskać oszustom dane logowania i dostęp do kont bankowych
Nie bez przyczyny słowo phishing brzmi niezwykle podobnie do anglojęzycznego określenia fishing. Nawiązanie do wędkarstwa pozwala internautom lepiej wyobrazić sobie przebieg ataków phishingowych w Internecie. Phishing poniekąd przypomina proces łowienia ryb. Oszuści wykorzystują szereg przynęt (tworzą fałszywy komunikat, który zachęci odbiorcę do kliknięcia), zarzucają haczyk (wysyłają wiadomość) i czekają, aż ofiara skusi się na uzyskanie iluzorycznej korzyści – często pod groźbą dezaktywacji konta lub wizji „przegapienia okazji życia”.
Łowienie ryb kojarzy się z miłym spędzaniem czasu na łonie natury. Phishing nie jest jednak działaniem ani przyjemnym, ani korzystnym z punktu widzenia ofiary. Oszuści, korzystając z wielu zróżnicowanych i podstępnych metod, kierują się chęcią zysku – nie bacząc na przykre konsekwencje dla użytkownika. Z tego tytułu phishing jest wyjątkowo nikczemnym sposobem na wykradzenie od drugiej osoby zasobów finansowych, w tym nierzadko oszczędności całego życia.
Phishing – definicja terminu
Phishing to próba zdobycia wrażliwych informacji od użytkownika w celu uzyskania korzyści przez przestępcę. To termin o wyjątkowo szerokim znaczeniu, który wraz ze zmieniającymi się sposobami działania hakerów nieustannie ewoluuje. Atak phishingowy będzie więc działaniem, w ramach którego przestępca próbuje nakłonić użytkownika (np. podszywając się pod wiarygodne instytucje finansowe) do kliknięcia w zawirusowany odnośnik, lub do podania poufnych informacji osobowych, tj. danych karty kredytowej czy danych logowania.
Mogłoby się wydawać, że podawanie ważnych danych w Internecie jest działaniem skrajnie nierozsądnym. Okazuje się jednak, że ofiarą phishingu może być dosłownie każdy – często nieświadomie, ulegając pewnym automatyzmom. Oszuści mogą m.in. wykorzystywać powszechne zaufanie użytkowników do wyglądu wiarygodnych witryn online, tworząc tym samym identyczną, ale fałszywą stronę internetową. Odbiorca może nie zorientować się, że adres strony www został przez oszustów podmieniony.
Rodzaje ataków phishingowych – jak działa phishing?
Wskazałem wyżej, że phishing to określenie bardzo szerokie i trudne do jednoznacznego zdefiniowania. Sam termin jest przedstawiany bardzo ogólnie, choćby ze względu na wielość podtypów ataków, do których mogą się posunąć cyberprzestępcy. Katalog rodzajów phishingu jest cały czas otwarty – co kilka lat przekonujemy się o kolejnych opracowanych sposobach kradzieży tożsamości w sieci. Co znamienne, ataki typu phishing mają na celu ominięcie dotychczasowych sposobów zabezpieczenia się przed nimi. Oszuści, wykorzystując swoją kreatywność, posuwają się do coraz bardziej wymyślnych działań. Oto przykłady phishingu ze względu na typ:
- Phishing e-mail – to najczęściej występujący rodzaj ataku. Wiadomości e-mail dystrybuowane są zwykle na masową skalę i wysyłane do dużego grona odbiorców. Atak polega na wysłaniu do potencjalnej ofiary wiadomości zawierającej odnośnik, który skłoni ją do kliknięcia w niebezpieczne łącze. Wówczas następuje ujawnienie informacji osobistych albo w wyniku pobrania złośliwego oprogramowania, albo przez wpisanie danych przez zmanipulowanego użytkownika.
- Spear phishing – przypomina uderzenie punktowe, ukierunkowane na konkretnego odbiorcę. Z tego powodu ataki skierowane są przede wszystkim do osób wcześniej wytypowanych, np. ze względu na wykonywany zawód czy pozycję społeczną. Ofensywa spear phishing ma charakterystykę indywidualną i jest przeprowadzana precyzyjnie. Taki rodzaj wysyłania podejrzanej wiadomości określany jest także mianem spear phishingu profilowanego.
- Vishing – przykład phishingu realizowanego za pośrednictwem kontaktu telefonicznego z ofiarą. Oszust działa w celu nakłonienia ofiary do realizacji określonych działań, np. na swoim koncie bankowym, w celu przejęcia do niego dostępu.
- Whaling – określany phishingiem wielorybniczym. Ofiarami whaling zostają przedstawiciele firm, dyrektorzy i osoby na kierowniczych stanowiskach. Sprawcy odnoszą się często do wartości, takich jak bezpieczeństwo, udając tym samym urzędników lub pracowników bankowych. Mogą także posługiwać się nazwami instytucji, które brzmią wiarygodnie, np. Wydział Gospodarczy, Filia Bezpieczeństwa lub wykorzystywać rzeczywistą nazwę organizacji.
Jak wyglądają podejrzane wiadomości phishingowe?
Ataki phishingowe polegają na wysyłaniu wiadomości zawierających informację o konieczności podjęcia danego działania przez użytkownika. Phishing może być realizowany zarówno za pomocą wiadomości e-mail, wiadomości SMS, jak i innych form docierania do odbiorcy. W przypadku treści wysyłanych na skrzynkę elektroniczną, wiadomości mogą zawierać zawirusowany załącznik.
Podstawową cechą wiadomości wyłudzających jest nachalne i stanowcze nawoływanie danego użytkownika do wykazania aktywności. Mogą być to różnego rodzaju przekazy, które nakłaniają do podania numerów kart kredytowych, zalogowania się do systemu bankowości internetowej czy sprawdzenia stanu bezpieczeństwa na koncie w mediach społecznościowych. Wiadomości SMS oraz wiadomości e-mail, które w swojej postaci przypominają phishing, stosunkowo łatwo rozpoznać (zazwyczaj, choć nie zawsze analiza będzie tak oczywista). Ataki phishingowe:
- mogą zawierać link (lub linki) prowadzący do wyłudzającej strony internetowej;
- mogą zawierać załącznik, którego format wydaje się podejrzany (np. plik tekstowy w formacie .rar);
- posiadają liczne błędy ortograficzne, a cała wiadomość przypomina treść wygenerowaną przez bota;
- wymuszają na użytkowniku wejście na określoną stronę www w bardzo ważnym celu;
- prowadzą użytkownika na fałszywe strony www, które do złudzenia przypominają wiarygodne witryny, np. popularne media społecznościowe;
- wykorzystują zmieniony adres nadawcy;
- mogą w swojej treści oferować usługi lub produkty w abstrakcyjnie korzystnych cenach.
5 historycznych przykładów phishingu
Pierwsze wzmianki o przeprowadzonych działaniach określonych phishingiem, odnotowywano jeszcze w latach 90. XX wieku. Dziś działania cyberprzestępców są znacznie bardziej rozbudowane i poważniejsze w skutkach. Można dodatkowo stwierdzić, że szkodliwe oprogramowanie będzie w najbliższych latach systematycznie rozwijane. Poniżej zamieszczam pięć przykładów oszukańczych działań określonych phishingiem.
- Hakerzy są w stanie tworzyć, za pośrednictwem specjalistycznych programów takich jak PhishX, falsyfikaty oryginalnych stron internetowych. Narzędzie pozwoliło wielu oszustom na sfabrykowanie wyglądu np. stron rządowych, portali społecznościowych i innych witryn posiadających pewną wiarygodność. Cyberprzestępcy w wiadomości zawierali odnośnik prowadzący na fałszywą stronę internetową, która wymuszała na ofiarach np. numery kart kredytowych.
- Innym programem wykorzystywanych przez przestępców na szeroką skalę był Phishing Frenzy. Oprogramowanie w zamyśle umożliwiało realizację testów penetracyjnych. Dzięki łatwej obsłudze aplikacja zyskała dużą popularność wśród hakerów czyhających na dane użytkowników.
- Na początku XXI wieku hakerzy wykorzystywali błąd w najpopularniejszej ówcześnie przeglądarce internetowej Internet Explorer. W aplikacji Windowsa można było zmienić adres strony internetowej, z czego bardzo chętnie korzystali przestępcy – podsuwając ofiarom linki, które wyglądały wiarygodnie.
- W styczniu 2009 roku nielegalne wiadomości, nakłaniające do dokonania płatności elektronicznych, były przyczyną utraty niemalże 2 milionów dolarów z kont Experi-Metals.
- Eksperyment z 2007 roku pokazał, że około 70% wszystkich ataków phishingowych kończy się mniejszym lub większym sukcesem cyberprzestępców. Uzmysławia to łatwość, z jaką oszuści są w stanie przechwytywać dane za pomocą, wydawałoby się, niewinnej wiadomości.
Przygotowanie spreparowanej strony internetowej nie stanowi obecnie wyzwania dla hakerów, którzy mają narzędzia umożliwiające wykonywanie kopii lustrzanych witryn. Przechodząc na daną stronę www możemy próbować weryfikować, czy posiada ona certyfikat SSL, czyli adres z kłódką. Ten sposób nie jest jednak absolutnym gwarantem naszego bezpieczeństwa – może on niekiedy zawodzić.
Jak nie zostać ofiarami phishingu? Zasady bezpieczeństwa
Głównym sprzymierzeńcem, w kontekście obrony przed działaniem cyberprzestępców, jest ostrożność. Sceptycyzm i wnikliwe czytanie poszczególnych wiadomości, przychodzących na naszą skrzynkę, w dużej mierze niweluje ryzyko zostania ofiarą phishingu. Aby zwiększyć swoją ochronę przed działalnością oszustów, pamiętaj o ustanawianiu haseł długich i skomplikowanych do odgadnięcia przez inne osoby. Jeśli masz problem z zapamiętaniem stworzonego przez siebie hasła bezpieczeństwa, możesz zapisać je na kartce lub skorzystać z bezpiecznych aplikacji do przechowywania takich danych.
- Korzystaj z dwuskładnikowego uwierzytelniania logowania.
- Ignoruj i blokuj podejrzane SMS-y.
- Nie otwieraj załączników pochodzących z niezaufanych źródeł – absolutnie nie należy otwierać załączników, które posiadają specyficzny i niewłaściwy format zapisu.
- Bądź ostrożny co do odnośników zawartych w wiadomości. Link powinien być przez ciebie dokładnie sprawdzony: czy nie prowadzi np. na stronę www.facebool.com zamiast www.facebook.com.
- Sprawdź dokładnie nazwę nadawcy, zarówno w wiadomościach SMS, jak i mailowych.
- Należy zachować ostrożność co do komunikatów zawartych w treści. Treść wiadomości phishingowych ma zwykle charakter nagłego komunikatu, zmuszającego użytkownika do działania.
- Chroń bezpieczeństwo konta – systematycznie zmieniaj hasła i sprawdzaj historię logowania do danej usługi.
- Zabezpiecz swoje urządzenie wykorzystując oprogramowanie antywirusowe posiadające funkcje anty-phishingowe.
Phishingowe wiadomości e-mail – krótkie podsumowanie
Całkowita ochrona przed phishingiem jest bardzo trudna. Ciężko, abyśmy analizowali każdą otrzymaną wiadomość pod kątem ewentualnego oszustwa. Takie działanie, z punktu widzenia osób trzecich, wydawałoby się co najmniej dziwne. Pomysłowość przestępców sprawia, że techniki wyłudzania informacji stają się coraz bardziej wymyślne.
W celu ochrony przed phishingiem warto zastosować dwie formy defensywy: dobre nawyki oraz zabezpieczenia techniczne. Sprawdzaj adres, do którego prowadzą linki, nie udostępniaj nigdzie swoich danych do konta bankowego (także samym instytucjom, które nigdy nie poproszą o tego typu dane przez wiadomość e-mail). Stosuj także programy antywirusowe, które powiadomią cię o ewentualnym zagrożeniu. Bądź bezpieczny!