Phishing – co to jest? Jak się bronić?

Phishing

W dzisiejszych czasach ciężko sobie wyobrazić funkcjonowanie jakiejkolwiek organizacji bez Internetu. Ludzie wykorzystują go w niemal w każdej dziedzinie życia. Umożliwia i usprawnia komunikację, służy do wymiany danych między użytkownikami, pozwala na swobodne operacje bankowe. Kto jeszcze niedawno pomyślałby, że będzie mógł zrobić zakupy przez stronę internetową? Było to nieprawdopodobne.

Dzisiaj za pomocą Internetu możemy słuchać muzyki, oglądać filmy, ściągać pliki i wysyłać wiadomości. Szerokie zastosowanie i ogromne zainteresowanie ludzkości wykorzystaniem nowego typu przestrzeni społecznej spowodowało również ogromny wzrost przestępczości z jej udziałem. Do najczęściej spotykanych zagrożeń możemy zaliczyć ataki socjotechniczne typu phishing, które przez wielu uważane są za największe zagrożenie Internetu.

Co to jest phishing?

Jest to oszustwo internetowe mające na celu wyłudzenie poufnych danych jak numery kart kredytowych, hasła dostępowe do serwisów internetowych lub inne dane przydatne do dalszych przestępstw. Zjawisko phishingu po raz pierwszy opisano już w roku 1987. Sama nazwa „phishing” pojawiła się jednak dużo później, w 1996 roku, w hakerskim magazynie „2600”. Phishing to zbitek słów „fishing” (rybołówstwo) i „phreaking” (czyli oszukiwanie systemów telekomunikacyjnych). Pierwszy odnotowany atak phishingowy miał miejsce już w drugiej połowie 1995 roku.

Dzisiaj dla cyberprzestępców kradzież danych przy użyciu phisingu okazuje się przedsięwzięciem coraz bardziej popularnym oraz dochodowym. Szeroki obraz tego, co naprawdę dzieje się w polskim Internecie przedstawia CERT Polska, gdzie według statystyk za 2012 rok około 50% zgłoszeń naruszeń bezpieczeństwa sieciowego obsłużonych ręcznie, stanowiły ataki z użyciem phishingu. Eksperci twierdzą, że ta forma ataku dopiero przybiera na sile.

Najczęściej wykorzystywanym atakiem przy pomocy metody phishingu jest maskowanie linku polegające na przygotowaniu przez phishera specjalnej strony internetowej, łudząco podobnej do docelowej, gdzie nieświadoma ofiara podaje swoje dane dostępowe. Nie tylko jej układ graficzny ma za zadanie wprowadzić użytkownika w błąd ale również sama nazwa domeny, która zazwyczaj jest bardzo zbliżona do oryginalnej (np. allegra.pl zamiast allegro.pl). Uzupełnione dane logowania, zamiast otworzyć dostęp konta, trafiają do hakera, który wykorzystuje je przeciwko nam.

W jaki jednak sposób cyberprzestępca zmusi nas do kliknięcia w tak spreparowany link? Istnieje na to bardzo prosta metoda – najczęściej przesyłana jest ofierze na adres poczty elektronicznej fałszywa wiadomość mailowa, gdzie przestępca, podszywając się pod jakąś instytucję lub osobę, zachęca do kliknięcia w dokładnie przygotowane wcześniej łącze. Zdobycie naszego służbowego adresu mailowego również nie powinno sprawić większego problemu – bardzo często udostępniany jest na stronie internetowej organizacji. Niestety wiele osób daje się na to nabrać.

Oczywiście phisherzy nie ograniczają się tylko do takiej formy ataku. Coraz popularniejsze stają się metody oszustwa polegające na wysłaniu krótkiej wiadomości tekstowej (SMS) do użytkownika z prośbą o pilny kontakt telefoniczny, np. z bankiem w celu reaktywacji karty kredytowej. Wykonując połączenie ofiara słyszy w słuchawce automat zgłoszeniowy, który dodaje realizmu całej operacji. Dodatkowo osoba jest proszona o podanie numeru CVV2/CVC2, daty ważności karty oraz jej numeru. W zależności od banku, na podstawie takich danych potencjalny oszust może już wykonać transakcje elektroniczne z użyciem środków na naszym koncie.

To może przytrafić się również Tobie…

Myślisz że Ciebie to nie dotyczy? Nic bardziej złudnego… Parę miesięcy temu przekonali się o tym klienci jednego z dużych polskich banków, którego fatalna decyzja o dezaktywowaniu swoim klientom autoryzacji przelewu internetowego za pomocą kodu z SMS przyczyniła się do ułatwienia kradzieży setek tysięcy złotych. Do wycieku danych autoryzacyjnych doszło właśnie poprzez phishing, polegający na rozesłaniu klientom banku fałszywej strony logowania. Dane autoryzacyjne oszukanych osób trafiały do zbioru danych przestępców, którzy natychmiastowo czyścili konta, kupując różne przedmioty w sklepach internetowych np. giełdy bitcoinowe (wirtualna waluta).

Do niedawna celem były zazwyczaj instytucje finansowe. Teraz każdy rodzaj organizacji – od banków, funduszy inwestycyjnych i różnej wielkości organizacji charytatywnych, po przedsiębiorstwa przemysłowe – musi się liczyć z tym, że jej nazwa może być wykorzystana w różnego rodzaju schematach wyłudzania wrażliwej informacji.

Jak się bronić?

Niestety nie możemy liczy na to, że nasz dział IT wprowadzi zabezpieczenia, dzięki którym będziemy mogli się czuć bezpiecznie. Ich działania mogą jedynie zminimalizować ryzyko, że na naszej służbowej skrzynce pocztowej pojawi się podejrzana wiadomość ale nigdy tego nie zagwarantują. Co nam pozostaje? Potrzeba przeprowadzania rzetelnej edukacji pracowników w tej dziedzinie. Oto kilka podstawowych zasad ograniczających ryzyko pozostania ofiarą phishingu:

  • Ignoruj podejrzane maile od nieznanych nadawców! W szczególności takich, która treść zachęca do szybkiego działania lub zawiera błędy ortograficzne i stylistyczne. Przy pomocy rozesłanych linków stron Internetowych, bardzo podobnych do docelowych, przestępcy wyłudzają nasze dane uwierzytelniające. Niech nie zmyli Cię podobna nazwa strony, kolorystyka, układ strony czy też zamieszczone tam logo firmy.
  • Upewnij się, że na Twoim komputerze zostało uruchomione oprogramowanie antywirusowe, firewall, a system operacyjny aktualizuje się automatycznie. Jeśli tak nie jest, zgłoś się do administratora systemów informatycznych.
  • Nie podawaj danych uwierzytelniających na stronach nieposiadających protokołu https. Przy adresie strony powinna znajdować kłódka, która informuje nas o tym, że połączenie jest szyfrowane, a dostawca zaufany.
  • Ignoruj prośby mailowe o przesłanie danych uwierzytelniających lub innych danych osobowych.
  • Nie otwieraj załączników wiadomości poczty elektronicznej od nieznanych nadawców.
  • Zachowaj zdrowy rozsądek!

Podsumowanie

Podsumowując, phishing to niebezpieczne zjawisko na skalę światową, które determinowane jest przez niski poziom świadomości użytkowników w zakresie metod wykorzystywanych przez oszustów do naśladowania autentycznych firm i organizacji. W konkluzji powyższych rozważań należy podkreślić, że nie ma na świecie rozwiązania, które zapewni nam pełny stan bezpieczeństwa teleinformatycznego, a to czym powinniśmy się kierować, poruszając się po sieci, to zasada ograniczonego zaufania i czujność na każdym kroku.

Powiązane case study:

phishing case study

Phishing – case study