Cyberprzestępcy nie próżnują i praktycznie codziennie „zarzucają” sieć na Internautów celem pozyskania ważnych informacji. Użytkownicy bardzo często nie zdają sobie sprawy, że wiadomość email, którą przeglądają, jest próbą wyłudzenia danych poprzez phishing. Dobrze sfałszowana wiadomość powoduje, że w ciągu kilku sekund możemy utracić dane. Przykładowo, mogą to być dane zapisane na dysku, dostęp do konta pocztowego, a nawet konta bankowego. Współczesne próby wyłudzenia wrażliwych danych określa się właśnie mianem phishingu.
Oszustwa internetowe nie mają aż tak długiej historii. Pierwszy atak skojarzony z phishingiem pojawił się dopiero w 2001 roku za sprawą internetowej giełdy E-gold, oferującej wirtualne waluty. Do użytkowników serwisu wysłano wówczas mailing z prośbą o logowanie na konto. Umożliwiło to przechwycenie wielu danych, a w konsekwencji utratę wielu środków. Ten proceder spowodował, iż przestępstwa internetowe zyskały na popularności i z każdym rokiem liczba phishingowych prób wyłudzenia informacji rosła. Nie wszystkie ataki kończyły się sukcesem, aczkolwiek każdy udany proceder zachęca do wykonania kolejnego kroku. Jak prezentują się współczesne metody phishingowe i jak się przed nimi uchronić?
SPIS TREŚCI
Ponad 90% ataków phishingowych wykonywanych jest przez email
Bardzo ważna jest świadomość, iż zdecydowana większość prób wyłudzenia danych zaczyna się w spreparowanej wiadomości. Nie można oczywiście lekceważyć pozostałych metod, aczkolwiek to właśnie email jest główną bronią w rękach oszustów internetowych. Co ważne, ze względu na strukturę i budowę maila, oszust może wykonać atak na kilka sposobów. Kluczowy jest tutaj tytuł wiadomości, który zachęca do sprawdzenia zawartości. Jest on zazwyczaj związany z naszą codzienną działalnością, zarówno prywatną jak i biznesową. Nierzadko phishing zawiera mało wyszukane, aczkolwiek realistyczne treści. Mogą one dotyczyć np. naszego konta w banku, przesyłki kurierskiej lub samej skrzynki email, z której korzystamy. Samo odczytanie phishingowej wiadomości nie jest czymś złym, gdyż właściwe zagrożenie czyha w treści. Wiadomość może wezwać do podjęcia odpowiednich działań tj.:
- kliknięcie w odnośnik dodany w treści wiadomości,
- prośba o pobranie załącznika, najczęściej w formie archiwum,
- prośba o odesłanie odpowiedzi „TAK”/”NIE”,
Każda z powyższych metod otwiera oszustom drzwi do pozyskania danych. Po kliknięciu odnośnika mamy najczęściej do czynienia z żądaniem potwierdzenia loginu oraz hasła, załącznik zawiera archiwum z zawirusowanym plikiem .xls lub PDF, a odesłanie zwykłej odpowiedzi – choć na pierwszy rzut oka wygląda to niegroźnie – powoduje, że nasz adres email jest automatycznie zapisywany na wiele list mailingowych, z których otrzymamy spam.
Phishing to nie scam
Nie można phishingu utożsamiać ze scamem. De facto są to oddzielne zjawiska, które różnią się od siebie diametralnie jeżeli chodzi o działania oszustów. Phishing ukierunkowany jest na zdobycie konkretnych informacji tj. login, hasło do konta i zazwyczaj kończy się on na jednej próbie (w kontekście ataku). Scam z kolei zakłada, że celem są pieniądze ofiary, które ktoś wyśle na konto bankowe oszusta w wyniku zawiązania dłuższej korespondencji wzbudzającej zaufanie. Nie bez powodu sławę zyskały tzw. afrykańskie scamy, polegające na wysyłaniu maila o znalezieniu testamentu bogatego przodka np. z Nigerii. Oszust deklarował podjęcie odpowiednich działań prawnych, dzięki którym ofiara miała teoretycznie otrzymać kilkadziesiąt tysięcy dolarów w spadku. Aby to zrobić, wystarczyło przelać na konto prawnika-oszusta pewną kwotę.
Oczywiście, był to jeden z wielu przykładów scamu, który w przeciwieństwie do phishingu oferował realny kontakt z człowiekiem, odpisującym na nasze ewentualne pytania. Phishing z kolei ma za zadanie wyrządzić szkody „tu i teraz”, bez dodatkowej ingerencji osób trzecich.
Jak uchronić się przed phishingiem?
Skuteczność ataku phishingowego w 100% wiąże się ze świadomością samego użytkownika poczty email. Jeżeli nie posiadamy na ten temat choćby podstawowej wiedzy, tak naprawdę każdy atak może wyrządzić szkody. Na szczęście cyberoszuści, którzy nie posługują się na co dzień językiem polskim, popełniają bardzo dużo błędów ułatwiających identyfikację takiej próby. Przede wszystkim warto sprawdzić, czy dany mail został napisany poprawną polszczyzną. Zagraniczne phishingi charakteryzują się wieloma błędami w składni (w wyniku użycia translatorów), nie stosują odpowiedniej interpunkcji, na dodatek posługując się w podpisie polskimi imionami bez polskich znaków diakrytycznych (np. Pavel zamiast Paweł).
Drugi element zwiększający ochronę to świadomość, iż żaden bank nie prosi nigdy za pomocą wiadomości email o potwierdzenie danych do logowania. Bank nie powinien również prosić o hasło do Twojego konta w rozmowie telefonicznej. Tego typu dane nie są potrzebne do identyfikacji klienta.
Bardzo dobrym nawykiem jest również sprawdzanie nagłówków wiadomości – w ten sposób zweryfikujesz, czy pochodzą z zaufanego źródła. Jest to przydatne zwłaszcza w sytuacji, gdy phishing wygląda jak prawdziwa wiadomość od firmy X. W 2015 roku popularność zdobył atak, w którym oszuści podszyli się pod Pocztę Polską. W maili użytkownicy byli informowani o konieczności odebrania paczki, a po kliknięciu w link mieli być rzekomo poinformowani o statusie przesyłki. Odnośnik kierował jednak do szkodliwej aplikacji, która po instalacji szyfrowała dysk twardy. Sprawdzenie nagłówka wiadomości uchroniło wiele osób przed ogromnymi stratami.
MonitorFx
Prawnik od It http://monitorprawa.pl/