Co to jest phishing i jak się przed nim bronić?

Phishing to socjotechnika polegająca na rozsyłaniu wiadomości elektronicznych przez oszustów podszywających się pod organizacje społeczne, banki czy różnego rodzaju zaufane instytucje. Część użytkowników mogła nie spotkać się jeszcze z określeniem „phishing”. Atak phishingowy to metoda wyłudzania danych wykorzystująca „przynętę” – fałszywe wiadomości. Co to znaczy?

Termin przypomina anglojęzyczne słowo „fishing” – łowienie ryb. Skojarzenie jest jak najbardziej trafne. Ten rodzaj oszustwa powstał wraz z internetem. Możesz się z nim spotkać, przeglądając media społecznościowe, pocztę elektroniczną czy strony internetowe.

Pozyskanie danych na temat użytkownika oznacza możliwość łatwego zarobku dla oszusta. Mając wrażliwe informacje, haker jest w stanie pobrać pieniądze z konta, wziąć szybką pożyczkę albo po prostu sprzedać Twoje informacje (jak np. numer karty kredytowej). Niektórzy cyberprzestępcy kradną dane poprzez wykorzystanie złośliwego oprogramowania, ale najwięcej skutecznych ataków phishingowych przeprowadza się dzięki kampaniom e-mailowym.

Przykład:
Dostajesz maila od swojego ulubionego sklepu internetowego. Mail wygląda przekonująco. Treść maila to przypomnienie o dokonaniu zapłaty za poprzednie zakupy. Do wiadomości dołączony jest link przekierowujący do płatności oraz załącznik z danymi dot. zakupów. Po kliknięciu linku i dokonaniu płatności pieniądze trafiają na konto hakera, a po otwarciu załącznika na Twoje urządzenie zostaje poprany plik ze złośliwym oprogramowaniem.

Powyższy przykład to połączenie phishingu oraz tzw. spoofingu, czyli bardziej zaawansowanej technologicznie formy oszustwa, która wykorzystuje podrobione adresy mailowe, a nawet fałszywe strony internetowe będące lustrzanymi odbiciami swoich godnych zaufania odpowiedników.

Jedną z pierwszych użytecznych funkcji, jakie internet odegrał w społeczeństwie, była poczta elektroniczna. Usługi takie jak Microsoft Outlook dały ludziom namiastkę szybkich usług komunikacyjnych – czegoś, co nigdy wcześniej nie było dostępne.

Wielu internautów chętnie przyjęło pocztę elektroniczną jako nową formę komunikacji i – co było do przewidzenia – podobnie postąpili cyberprzestępcy. Jeden z najbardziej efektownych i kosztownych ataków dekady miał miejsce w 1999 roku, kiedy to wirus Melissa zaczął rozprzestrzeniać się w skrzynkach pocztowych programu Outlook.

Złośliwe oprogramowanie przyszło w wiadomości e-mail o tytule „Ważna wiadomość”. Do maila dołączony był plik zatytułowany „list.doc”, który zawierał wirusa Melissa. Po otwarciu pliku złośliwe oprogramowanie instalowało się na urządzeniu i zaczynało sprawiać problemy.

Choć phishing nie do końca kojarzy się ze złośliwym oprogramowaniem, to historia cyberbezpieczeństwa pokazuje, że wirus nie zacząłby się rozprzestrzeniać, gdyby nie element socjotechniki – użytkownicy zaufali tytułowi maila „Ważna wiadomość” i bez namysłu kliknęli załączony plik.

• Nadawca wiadomości nakłania Cię do prędkiego działania – duża część przestępców internetowych opiera swoje ataki na ludzkich odruchach – między innymi strachu przed przegapieniem pozornie doskonałego interesu. Jeśli otrzymałeś maila, w którym zaproponowano Ci niepowtarzalną okazję, a nadawca sugeruje, że musisz odpowiedzieć natychmiast – zachowaj czujność i upewnij się, że to nie próba oszustwa.
• Nadawca używa ogólnych zwrotów okolicznościowych – organizacje i firmy zazwyczaj zwracają się do swoich klientów imieniem i nazwiskiem. Frazy takie jak „drogi kliencie” czy „drogi użytkowniku” mogą świadczyć o próbie uśpienia czujności.
• Dziwna gramatyka i błędy w wiadomości – przestępcy z zagranicy raczej nie zatrudniają profesjonalnych tłumaczy. Jeśli otrzymałeś wiadomość, która ewidentnie została automatycznie przetłumaczona na język polski i zawiera błędy – nie klikaj w żaden link i nie otwieraj żadnego załącznika.
• Nadawca próbuje Cię przestraszyć – wiadomości wzbudzające potrzebę szybkiej reakcji mogą zawierać zwroty w stylu „ktoś próbował zalogować się na Twoje konto” albo „z uwagi na brak aktywności Twoje konto zostanie niebawem usunięte”. Zawsze zachowuj czujność przy tego typu frazach – najedź kursorem na zawarty w mailu adres URL. Phishing często charakteryzuje się wykorzystywaniem dziwnych linków – krótkich, zawierających błędy lub ciągi znaków albo po prostu wyglądających podejrzanie. Otwieraj tylko bezpieczne adresy URL.

Spear phishing to bardzo niebezpieczna odmiana wyłudzania danych. Dlaczego jest groźna? Metoda nie polega na wysyłaniu maili przypadkowym osobom, ale precyzyjnie wybranej grupie użytkowników lub indywidualnych odbiorców. Przestępcy przeprowadzają wywiad środowiskowy, a następnie kierują wiadomości do ofiar, podszywając się pod zaufane organizacje. Dane o zwyczajach użytkowników czerpią między innymi z mediów społecznościowych oraz wycieków.

Whaling to odmiana spear phishingu, w której atakujący podszywa się nie tylko pod przedstawiciela zaufanej organizacji, ale również udaje, że zajmuje w niej wysokie stanowisko. Szefowie, członkowie zarządu czy udziałowcy są respektowani, dlatego ich ofiary będące na przykład pracownikami firmy mogą bez zastanowienia przekazać im istotne dane na swój temat.

Clone phishing to zaawansowana metoda wyłudzania informacji i pieniędzy. Przestępca z niej korzystający musi mieć dostęp do skrzynki elektronicznej swojej ofiary. Wykrada on wiadomość wysłaną przez legalnie działającą organizację i kopiuje ją. Zmienia tylko link, który przekieruje użytkownika na fałszywą stronę potencjalnie zawierającą malware. Jeżeli oryginalny e-mail zawierał fakturę, haker może zmienić znajdujące się na niej dane tak, by ofiara przelała pieniądze na jego konto.

Smishing oraz vishing to metody phishingu, które wykorzystują kolejno wiadomości SMS i połączenia telefoniczne zamiast poczty elektronicznej. Nie należy mylić tych pojęć z hakowaniem telefonu. Ofiara smishingu może otrzymać informację tekstową z przekierowaniem do złośliwej strony – na przykład takiej, która poprosi o podanie danych karty kredytowej pod pretekstem potwierdzenia zamówienia albo wzięcia udziału w loterii.

Vishing to działanie nieco trudniejsze do zrealizowania dla przestępcy, ale równie szkodliwe, co pozostałe formy phishingu. Oszust kontaktuje się z ofiarą telefonicznie, informując ją na przykład o zaległości w spłacie jakiejś usługi, a następnie prosząc o dane – informacje bankowe, PESEL, miejsce zamieszkania i inne.

Jeśli otrzymasz wiadomość e-mail lub wiadomość z prośbą o kliknięcie łącza lub pobranie załącznika, upewnij się, że znasz nadawcę lub firmę, która próbuje się z Tobą skontaktować, i kontynuuj dopiero po uprzednim sprawdzeniu.

Jeśli otrzymasz wiadomość e-mail od firmy, którą znasz, spróbuj skontaktować się z nią w inny sposób. Poszukaj ich numeru telefonu lub oficjalnego adresu e-mail i zapytaj, czy prośba jest uzasadniona.

Jeśli nie masz żadnych powiązań z firmą, która wysłała Ci wiadomość, wróć do wcześniejszej sekcji „Jak rozpoznać atak phishingowy?” i poszukaj oznak ataku phishingowego. Jeśli wiadomość e-mail jest podejrzana, jak najszybciej zgłoś ją do zespołu CERT Polska (www.cert.pl).

Nawet jeśli znasz najczęstsze oznaki phishingu, niektóre fałszywe strony internetowe są tak wyrafinowane, że możesz podać swoje dane osobowe lub finansowe, nie zdając sobie sprawy, że to oszustwo.

Musisz natychmiast zareagować, jeśli wprowadziłeś informacje bankowe do złośliwej strony internetowej z wiadomości e-mail phishingowej. Skontaktuj się z obsługą klienta swojego banku i zgłoś incydent. Bank szybko podejmie działania przeciwko nielegalnemu wykorzystaniu Twoich danych.

Jeśli podałeś dane osobowe, takie jak dane kontaktowe lub adres domowy, możesz zgłosić to na najbliższym komisariacie policji.

• Używaj filtrów spamu – uchronią Cię one przed potencjalnie niebezpiecznymi wiadomościami lądującymi w Twojej skrzynce elektronicznej.
• Używaj filtrów do przeglądarek internetowych – systemy ochronne skrzynek elektronicznych nie zawsze działają w stu procentach, a ataki phishingowe stają się coraz bardziej przemyślane. Dzięki NordVPN ze wbudowaną funkcją Threat Protection uchronisz się również przed tymi zagrożeniami, które nie zostały wychwycone przez inne zabezpieczenia. Threat Protection blokuje strony internetowe figurujące na liście potencjalnie szkodliwych witryn, a także chroni przed malware.
• Bądź czujny – jeśli Twoja kadra kierownicza zawsze podpisuje maile w specyficzny sposób, lepiej skontaktuj się z nadawcą wiadomości, gdy przeczuwasz, że coś jest nie tak. Podobnie postępuj w przypadku niecodziennie wyglądających listów elektronicznych – z brakującym logo, niepodpisanych, napisanych błędnie.
• Nigdy nie podawaj swoich danych osobom, które o to proszą – pracownik banku czy administrator serwisu nigdy nie poprosi Cię o podanie hasła lub konta użytkownika w celu weryfikacji. Jeżeli zadzwoni do Ciebie przedstawiciel placówki z informacją o nietypowej aktywności na koncie i poprosi o wrażliwe informacje – nie podawaj mu ich. Zamiast tego każ mu zablokować wszystkie działania i poinformuj, że osobiście udasz się do oddziału.
• Zawsze sprawdzaj witrynę, zanim klikniesz link – wielu przestępców korzysta ze skróconych linków, by ukryć swoje intencje. Zanim klikniesz odnośnik, najedź na niego i dokładnie obejrzyj adres, który pojawi się w rogu przeglądarki. Duże i zaufane witryny muszą mieć przedrostek „https” przed URL świadczący o posiadaniu certyfikatu bezpieczeństwa. Sprawdź także, czy w adresie nie ma błędów, literówek albo podejrzanie wyglądających znaków (np. cyfra „0” zamiast litery „O”).