By

Witold Chomiczewski

·

Phishing – co to jest i jak się przed tym bronić?

Phishing to metoda oszustwa stosowana przez cyberprzestępców, którzy podszywając się pod inną osobę bądź instytucję wyłudzają wrażliwe dane osobowe. Przedmiotem zainteresowania internetowych przestępców są zazwyczaj poufne informacje tj. numer PESEL, numer karty kredytowej, hasło do konta bankowego, dane do logowania na portal społecznościowy bądź pocztę e-mail.

Wraz z postępem technologii zjawisko phishingu staje się coraz bardziej powszechne i niebezpieczne. Cyberprzestępcy, stosując nowe narzędzia i udoskonalając metody przeprowadzania ataku, stają się coraz większym zagrożeniem dla nieuważnych użytkowników. Działalność przestępcza w cyberprzestrzeni nie zwolniła nawet na czas pandemii koronawirusa. Cyberprzestępcy, wykorzystując strach wywołany rozprzestrzenianiem się wirusa COVID-19, wysyłali do użytkowników wiadomości m.in. o następującej treści: „Informujemy, iż zgodnie ze specustawą dotyczącą koronawirusa Państwa środki na rachunku zostają przekazane do rezerw krajowych NBP. Zaloguj się, aby zatrzymać 1000 PLN”.  Biorąc pod uwagę fakt, że wiele osób niestety dała się nabrać na ten komunikat, warto przypomnieć, na czym polega phishing, żeby umieć zawczasu się przed nim obronić.

Rodzaje phishingu

W cyberprzestrzeni użytkownicy mogą spotkać się z różnymi odmianami phishingu. Najczęściej przybiera on formę masowych wiadomości wysyłanych za pośrednictwem poczty e-mail bądź SMS, w których to nadawca, podszywając się pod zaufany podmiot (np. bank, urząd, firma kurierska), zachęca użytkownika do kliknięcia w przesyłany link będący fałszywym adresem np. logowania do banku. Wiadomość od cyberprzestępcy jest często prośbą o aktualizację danych, zalogowanie się na konto bądź jego aktywację. Strona internetowa, do której użytkownik zostaje przekierowany, jest przeważnie łudząco podobna do oryginalnej strony banku czy portalu, na którym użytkownik ma konto. Nieostrożny użytkownik, logując się na fałszywej stronie, podaje swoje dane uwierzytelniające, nieświadomy, że padł ofiarą oszustwa. Występują jednak również specyficzne odmiany phishingu.

Spear phishing

Innym typem phishingu stosowanym w Internecie, jednocześnie najbardziej efektywnym jest tzw. spear phishing – spersonalizowany atak na konkretną osobę bądź instytucję. Do tego rodzaju phishingu, cyberprzestępcy przygotowują się dużo wcześniej, aby zwiększyć szanse na powodzenie ataku. W tym celu zbierają najpierw informacje na temat ofiary tj. ostatnio odwiedzane miejsca, zakupy czy informacje o znajomych. Następnie oszuści, wykorzystując znajomość informacji o danym użytkowniku, kierują do niego wiadomość, która w pierwszym odczuciu nie budzi żadnych podejrzeń. Użytkownik, uznając spreparowaną wiadomość za zaufaną, klika w podany link i podaje swoje dane uwierzytelniające.

Whaling

Niekiedy phishing wymierzony jest w określoną grupę docelową, np. kadrę zarządzającą bądź pracowników konkretnego przedsiębiorstwa, polityków czy znane postaci ze świata biznesu i jest to tzw. whaling. W tym przypadku cyberprzestępcy tworzą fałszywą wiadomość, uwzględniając stanowisko i pozycję ofiary. Tak spreparowana wiadomość przypomina zazwyczaj pismo z urzędu bądź kancelarii prawniczej. W rzeczywistości jednak taki e-mail zawiera załącznik w postaci złośliwego oprogramowania, które po zainstalowaniu pozwala oszustowi na dostęp do haseł, bądź ważnych dokumentów będących w posiadaniu ofiary.

Clone phishing

Trzecim rodzajem phishingu, jaki można wyróżnić, jest clone phishing, który w głównej mierze sprowadza się do przechwycenia wiadomości w drodze do jej adresata, następnie zamienienia treści na fałszywe (np. zostaje podany inny numer konta bankowego) bądź załączenia do wiadomości wirusa.

Jak się bronić przed phishingiem?

Najskuteczniejszą obroną przed phishingiem jest świadomość użytkownika w zakresie prawidłowego i bezpiecznego korzystania z poczty elektronicznej i wiedza, na jakie elementy zwrócić uwagę przy odbiorze podejrzanej wiadomości. Aby ustrzec się przed złowieniem przez atakującego phishera, należy przestrzegać kilku podstawowych zasad:

  1. W pierwszej kolejności warto zainstalować sprawdzony program antywirusowy na komputer oraz na telefon. Ponadto zaleca się regularnie uaktualniać system operacyjny i oprogramowanie.
  2. Należy pamiętać, że zazwyczaj serwisy internetowe (banku bądź portalu społecznościowego) nie wysyłają e-maili bądź SMS-ów z prośbą o odwiedzenie ich strony i logowanie. Taka wiadomość powinna wzbudzić czujność użytkownika. W takim przypadku przed kliknięciem w podany link warto skontaktować się z bankiem bądź administratorem strony i potwierdzić autentyczność otrzymanej prośby. Jeżeli zaś w treści wiadomości znajdzie się prośba o ujawnienie danych takich jak numer karty, hasło, login – to odbiorca może być pewny, że jest to próba wyłudzenia jego danych osobowych przez nieuprawniony podmiot. Banki i instytucje finansowe nigdy nie wysyłają bowiem e-maili czy SMS z prośbą o ujawnienie poufnych informacji.
  3. Logując się do swojego internetowego konta bankowego, należy zwrócić szczególną uwagę na adres strony serwisu. Tam, gdzie konieczne jest podanie swoich danych do logowania, banki i instytucje stosują protokół SSL, który użytkownik może rozpoznać dzięki skrótowi „https” znajdującemu się na początku adresu strony. Jeżeli więc adres strony z logowaniem rozpoczyna się od np. http, nie należy podawać na takiej stronie żadnych swoich danych uwierzytelniających.
  4. Należy zwrócić uwagę także na samą treść wiadomości – bardzo często fałszywe e-maile zawierają mnóstwo błędów ortograficznych, gramatycznych bądź interpunkcyjnych.
  5. Znaczenie ma także sama nazwa nadawcy wiadomości. Adres e-mailowy phishera może różnić się od autentycznego adresu zaufanego podmiotu – łatwym do przeoczenia szczegółem np. literówką w nazwie domeny bądź niepełną nazwą instytucji, pod którą oszust się podszywa.
  6. Nie należy wchodzić na podany link bezpośrednio z otrzymanego e-maila. Autentyczny z pozoru adres witryny może kierować do nieautoryzowanej, podszywającej się strony. Zanim użytkownik kliknie w link wskazany w podejrzanej wiadomości, powinien zastanowić się, czy w ogóle ma konto w rzekomym banku, bądź jeśli wiadomość jest wysłana np. przez kuriera to czy zamawiał w ostatnim czasie jakieś przesyłki.
  7. Należy pamiętać o tym, by odpowiednio zabezpieczać hasła służące do uwierzytelniania w ramach danej strony internetowej. Przede wszystkim nikomu ich nie podawać ani nie zapisywać w miejscu publicznie dostępnym. Najlepiej też by użytkownik miał różne hasła do różnych serwisów, w których wymagane jest logowanie. Posługiwanie się bowiem jednym hasłem do różnych kont zwiększa ryzyko możliwości włamania się na kolejne konta przy okazji wyłudzenia danych do jednego z nich.
  8. W sytuacji, jeżeli otrzymana wiadomość wyda nam się podejrzana, warto zajrzeć na stronę internetową podmiotu rzekomo przesyłającego tę wiadomość i sprawdzić, czy nie ma tam informacji o wysyłaniu fałszywych komunikatów elektronicznych.

Tags: