Czym jest phishing?
Phishing to forma cyberprzestępczości, w której przestępcy próbują uzyskać poufne informacje od użytkownika za pośrednictwem wiadomości e-mail z fałszywymi linkami, zachęcając do wypełnienia formularza z danymi osobowymi. Następnie mogą wykorzystać te informacje do uzyskania danych uwierzytelniających do profili w mediach społecznościowych, kont bankowych i innych.
Jak działa phishing?
Phishing może odbywać się za pośrednictwem wiadomości e-mail, połączeń telefonicznych lub wiadomości tekstowych. Oszuści wysyłają wiadomości, które wyglądają na prawdziwe i pilne, prosząc osobę o podjęcie działań. Przykładowo, wiadomość e-mail może wyglądać tak, jakby pochodziła od zaufanego banku i nakazywała zaktualizowanie danych konta w celu uniknięcia problemów. Ponieważ wiadomość wydaje się pilna i prawdziwa, ludzie mogą udostępniać poufne informacje, takie jak hasła i numery kart kredytowych, które oszuści mogą następnie niewłaściwie wykorzystać.
Atakujący, podszywając się pod legalny podmiot, zwabia ofiary na fałszywą stronę internetową, gdzie są one nakłaniane do wprowadzenia poufnych informacji. Ta dobrze przygotowana fasada, w połączeniu z poczuciem pilności, umożliwia oszustwu phishingowemu skuteczne zbieranie cennych danych osobowych, pozostawiając niczego niepodejrzewającą ofiarę podatną na kradzież tożsamości i straty finansowe.
Nadawca: W ataku phishingowym nadawca naśladuje (lub "podszywa się") pod kogoś godnego zaufania, kogo odbiorca prawdopodobnie by znał. W zależności od rodzaju ataku phishingowego może to być osoba fizyczna, na przykład członek rodziny odbiorcy, dyrektor generalny firmy, w której pracuje, a nawet ktoś sławny, kto rzekomo coś rozdaje. Wiadomości phishingowe często naśladują wiadomości e-mail od dużych firm, takich jak PayPal, Amazon lub Microsoft, a także banków lub urzędów państwowych.
Wiadomość: Pod przykrywką zaufanej osoby atakujący prosi odbiorcę o kliknięcie linku, pobranie załącznika lub przesłanie pieniędzy. Gdy ofiara otworzy wiadomość, znajdzie w niej przerażającą wiadomość, która ma na celu pokonanie jej zdrowego rozsądku poprzez napełnienie jej strachem. Wiadomość może wymagać, aby ofiara weszła na stronę internetową i podjęła natychmiastowe działania lub zaryzykowała jakieś konsekwencje.
Miejsce docelowe: Jeśli użytkownicy skorzystają z przynęty i klikną link, zostaną przekierowani do imitacji legalnej strony internetowej. Stamtąd są proszeni o zalogowanie się przy użyciu swojej nazwy użytkownika i hasła. Jeśli są na tyle łatwowierni, by się zgodzić, dane logowania trafiają do atakującego, który wykorzystuje je do kradzieży tożsamości, kradzieży kont bankowych i sprzedaży danych osobowych na czarnym rynku. Docelowy adres URL w wiadomości phishingowej często wygląda bardzo podobnie do legalnego adresu URL, co może dodatkowo zmylić ofiarę.
Jak rozpoznać phishing?
Próby phishingu to oszukańcze działania, w których oszuści wykorzystują wiadomości e-mail lub wiadomości tekstowe w celu nakłonienia osób do ujawnienia poufnych informacji, takich jak hasła, numery kont bankowych lub numery Social Security . Rozpoznanie phishingu można osiągnąć, zwracając uwagę na pewne czerwone flagi.
Zazwyczaj wiadomości phishingowe mogą wydawać się pochodzić z renomowanych źródeł, takich jak banki, firmy obsługujące karty kredytowe lub znane platformy internetowe. Często stwarzają poczucie pilności, sugerując podejrzaną aktywność lub problemy z kontem, wzywając do szybkiego działania.
Niektóre typowe oznaki phishingu obejmują nieoczekiwane wiadomości z prośbą o podanie danych osobowych lub finansowych, nieznane adresy e-mail nadawców, ogólne pozdrowienia, błędy ortograficzne i gramatyczne oraz zwodnicze adresy URL. Zachowując ostrożność i weryfikując wszelkie podejrzane wiadomości bezpośrednio z zaangażowanymi instytucjami przed udzieleniem odpowiedzi, osoby fizyczne mogą lepiej chronić się przed próbami phishingu. Teraz chcemy bardziej szczegółowo omówić oznaki phishingu i pomóc w ich wykryciu.
Oznaki phishingu
Wykrywanie prób phishingu może być wyzwaniem, ale dzięki czujności, podstawowym wskazówkom i zdrowemu rozsądkowi można znacznie zmniejszyć ryzyko. Szukaj nieprawidłowości lub osobliwości w wiadomości e-mail. Skorzystaj z "testu węchu", aby określić, czy coś Ci nie pasuje. Zaufaj swojemu instynktowi, ale trzymaj się z dala od strachu, ponieważ oszustwa phishingowe często wykorzystują strach, aby osłabić twoją ocenę sytuacji.
Oto dodatkowe oznaki prób phishingu:
Znak 1: Wiadomość e-mail przedstawia ofertę, która wydaje się zbyt dobra, aby mogła być prawdziwa.
Może twierdzić, że trafiłeś jackpota, wygrałeś ekstrawagancką nagrodę lub inne nieprawdopodobne nagrody.
Znak 2: Nadawca jest rozpoznawalny, ale nie jest to osoba, z którą zwykle wchodzisz w interakcje.
Nawet jeśli rozpoznajesz nazwę nadawcy, zachowaj ostrożność, jeśli nie jest to ktoś, z kim regularnie się komunikujesz, zwłaszcza jeśli treść wiadomości e-mail nie jest związana z Twoimi zwykłymi zadaniami zawodowymi. Podobnie, zachowaj ostrożność, jeśli jesteś w wiadomości e-mail jako DW obok nieznanych osób lub współpracowników z niepowiązanych działów.
Znak 3: Wiadomość wywołuje strach.
Zachowaj ostrożność, jeśli wiadomość e-mail wykorzystuje naładowany lub alarmujący język, aby wzbudzić poczucie pilności, zachęcając do kliknięcia i "natychmiastowego działania", aby zapobiec zamknięciu konta. Pamiętaj, że legalne organizacje nie proszą o podanie danych osobowych za pośrednictwem poczty elektronicznej.
Znak 4: Wiadomość zawiera nieoczekiwane lub dziwne załączniki.
Załączniki te mogą zawierać złośliwe oprogramowanie, oprogramowanie ransomware lub inne zagrożenia internetowe.
Znak 5: Wiadomość zawiera linki, które wydają się wątpliwe.
Nawet jeśli powyższe wskaźniki nie wzbudzają podejrzeń, nigdy nie należy ślepo ufać osadzonym hiperłączom. Najedź kursorem na link, aby wyświetlić rzeczywisty adres URL. Zwracaj szczególną uwagę na subtelne błędy ortograficzne w pozornie znanym adresie URL witryny, ponieważ jest to czerwona flaga oszustwa. Zawsze bezpieczniej jest ręcznie wprowadzić adres URL do przeglądarki zamiast klikać osadzony link.
Kto jest celem phishingu?
Phishing stanowi zagrożenie dla wszystkich, atakując różne osoby i branże, od kadry kierowniczej korporacji po codziennych użytkowników mediów społecznościowych i klientów bankowości internetowej. Szeroki zakres phishingu sprawia, że kluczowe jest zachowanie ostrożności w Internecie i stosowanie środków zapobiegawczych. Bycie czujnym i proaktywnym może znacznie zmniejszyć ryzyko padnięcia ofiarą oszustw phishingowych, zapewniając wszystkim bezpieczniejsze korzystanie z Internetu.
Jak chronić się przed atakami phishingowymi
Jak wspomniano wcześniej, phishing to zagrożenie o równych szansach, które może pojawić się na komputerach stacjonarnych, laptopach, tabletach i smartfonach. Większość przeglądarek internetowych ma sposoby na sprawdzenie, czy link jest bezpieczny, ale pierwszą linią obrony przed phishingiem jest twój osąd. Naucz się rozpoznawać oznaki phishingu i staraj się ćwiczyć bezpieczne korzystanie z komputera za każdym razem, gdy sprawdzasz pocztę e-mail, czytasz posty na Facebooku lub grasz w ulubioną grę online.
Malwarebytes Labs podzielił się kilkoma kluczowymi praktykami, aby chronić się przed atakami phishingowymi:
- Nie otwieraj wiadomości e-mail od nadawców, których nie znasz.
- Nigdy nie klikaj linków w wiadomościach e-mail, chyba że dokładnie wiesz, dokąd prowadzą.
- Jeśli zostaniesz poproszony o podanie poufnych informacji, sprawdź, czy adres URL strony zaczyna się od "HTTPS" zamiast po prostu "HTTP". "S" oznacza "bezpieczny". Nie jest to gwarancja, że witryna jest legalna, ale większość legalnych witryn korzysta z protokołu HTTPS, ponieważ jest on bezpieczniejszy. Witryny HTTP, nawet te legalne, są podatne na ataki hakerów.
- Włącz uwierzytelnianie wieloskładnikowe (MFA): W miarę możliwości korzystaj z uwierzytelniania wieloskładnikowego, aby dodać dodatkową warstwę zabezpieczeń. Nawet jeśli phisherzy uzyskają twoje hasło, będą musieli ominąć dodatkowe kroki weryfikacji, aby uzyskać dostęp do twojego konta.
- Zwróć uwagę na cyfrowy certyfikat strony internetowej.
- Aby wzmocnić tę ochronę, jeśli otrzymasz wiadomość e-mail ze źródła, którego nie jesteś pewien, przejdź do podanego linku ręcznie, wpisując adres legalnej witryny w przeglądarce.
- Najedź kursorem na link, aby sprawdzić, czy jest on prawidłowy.
- Jeśli podejrzewasz, że wiadomość e-mail nie jest legalna, wybierz nazwę lub tekst z wiadomości i wpisz go w wyszukiwarkę, aby sprawdzić, czy istnieją znane ataki phishingowe przy użyciu tych samych metod.
Zdecydowanie zalecamy korzystanie z zaufanych rozwiązań antywirusowych/anty-malware, takich jak Malwarebytes Premium w celu zwiększenia bezpieczeństwa cyfrowego. Większość nowoczesnych narzędzi cyberbezpieczeństwa, wyposażonych w inteligentne algorytmy, może identyfikować złośliwe linki lub załączniki, zapewniając czujną ochronę nawet przed sprytnymi próbami phishingu.
Jeśli taktyka phishingowa umknie Twojej uwadze, nasze solidne oprogramowanie zabezpieczające zapewni Ci bezpieczną kontrolę nad Twoimi danymi. Oferujemy bezpłatną wersję próbną Malwarebytes, która pozwala wypróbować doskonałą ochronę przed dokonaniem zakupu.
Różne rodzaje ataków phishingowych
Ataki phishingowe wykorzystują zwodnicze metody do nielegalnego gromadzenia poufnych informacji i występują w różnych formach, z których każda ma swoje unikalne cechy. Oto konkretne sposoby, w jakie atakujący phishing chcą oszukać swoje cele:
Wyłudzanie informacji
Spear phishing to ukierunkowana forma phishingu, w której atakujący dostosowują wiadomości do konkretnych osób lub organizacji, wykorzystując zebrane dane, aby oszustwo było bardziej przekonujące. Wymaga rekonesansu przed atakiem w celu odkrycia nazwisk, stanowisk, adresów e-mail itp.
Hakerzy przeszukują Internet, aby dopasować te informacje do innych zbadanych informacji o współpracownikach celu, wraz z nazwiskami i relacjami zawodowymi kluczowych pracowników w ich organizacjach. Na tej podstawie phisher tworzy wiarygodną wiadomość e-mail.
Przykład: Oszuści mogą podszywać się pod kadrę kierowniczą, aby nakłonić pracowników do autoryzacji oszukańczych płatności.
Phishing wielorybów
Celem phishingu wielorybów są wysoko postawione osoby, takie jak kadra kierownicza, celebryci lub biznesmeni wysokiego szczebla. Próbuje nakłonić je do ujawnienia danych osobowych lub szczegółów zawodowych.
Zrozumienie i zidentyfikowanie różnych form ataków phishingowych ma kluczowe znaczenie dla wdrożenia skutecznych środków ochronnych, zapewniających bezpieczeństwo i integralność zasobów osobistych i organizacyjnych.
Email phishing
Powszechnie spotykane od początku istnienia poczty elektronicznej, wiadomości phishingowe obejmują zwodnicze wiadomości e-mail, które wydają się pochodzić z renomowanych źródeł (np. banków, sprzedawców internetowych), zachęcając odbiorców do klikania linków lub pobierania załączników.
Przykłady:
- Naruszenie bezpieczeństwa biznesowej poczty e-mail (BEC): Atak typu business email compromise (BEC) jest wymierzony w kogoś z działu finansowego organizacji, często dyrektora finansowego, i próbuje nakłonić go do wysłania dużych sum pieniędzy. Atakujący często stosują taktyki socjotechniczne, aby przekonać odbiorcę, że wysłanie pieniędzy jest pilne i konieczne.
- Clone phishing: W tym ataku przestępcy tworzą kopię lub klon wcześniej dostarczonych, ale legalnych wiadomości e-mail zawierających link lub załącznik. Następnie phisher zastępuje linki lub załączone pliki złośliwymi substytutami przebranymi za prawdziwe. Niczego niepodejrzewający użytkownicy klikają link lub otwierają załącznik, co często pozwala na przejęcie ich systemów. Następnie phisher może sfałszować tożsamość ofiary, aby podszywać się pod zaufanego nadawcę dla innych ofiar w tej samej organizacji.
- Oszustwa 419/Nigeryjskie: Wyczerpująca wiadomość phishingowa od osoby podającej się za nigeryjskiego księcia jest jednym z najwcześniejszych i najdłużej działających oszustw internetowych. Ten "książę" albo oferuje pieniądze, ale mówi, że musisz najpierw wysłać mu niewielką kwotę, aby je odebrać, albo mówi, że ma kłopoty i potrzebuje funduszy, aby je rozwiązać. Numer "419" jest powiązany z tym oszustwem. Odnosi się ona do sekcji nigeryjskiego kodeksu karnego dotyczącej oszustw, opłat i kar dla przestępców.
Vishing (Voice Phishing)
Atakujący podszywają się pod autorytety (np. urzędników bankowych, organy ścigania) przez telefon, aby przestraszyć osoby do udostępnienia poufnych informacji lub przelania środków.
Smishing (SMS Phishing)
Podobne do vishingu, ale przeprowadzane za pośrednictwem wiadomości SMS, smishing wysyła oszukańcze wiadomości nakłaniające odbiorców do kliknięcia złośliwych linków lub udostępnienia danych osobowych.
Catphishing
Zwodnicza taktyka, w ramach której atakujący tworzą fałszywe osoby online, aby zwabić osoby do romantycznych relacji w celu wykorzystania finansowego lub dostępu do danych osobowych.
Przykłady ataków phishingowych
Oto przykład próby phishingu, która podszywa się pod powiadomienie od PayPal, prosząc odbiorcę o kliknięcie przycisku "Potwierdź teraz". Najechanie myszką na przycisk ujawnia prawdziwy adres URL w czerwonym prostokącie.
Oto kolejny obraz ataku phishingowego, tym razem podający się za pochodzący od Amazon. Warto zwrócić uwagę na groźbę zamknięcia konta w przypadku braku odpowiedzi w ciągu 48 godzin.
Kliknięcie linku prowadzi do tego formularza, zachęcając do oddania tego, czego phisher potrzebuje do splądrowania twoich kosztowności:
Dlaczego phishing jest skuteczny?
Phishing jest szczególnie skuteczny ze względu na wykorzystywanie ludzkiej psychologii, a nie poleganie na zaawansowanych taktykach technicznych. Oszustwa phishingowe, często podszywające się pod pilne wiadomości od autorytatywnych osób, żerują na zaufaniu i strachu jednostek.
Adam Kujawa, były pracownik Malwarebytes Labs , podsumowuje: "Phishing wyróżnia się jako najprostszy, a jednocześnie najsilniejszy cyberatak, ukierunkowany głównie na najbardziej podatny, a jednocześnie potężny element: ludzki umysł". Brak wyrafinowania technicznego i potencjał wywoływania natychmiastowych reakcji podkreślają, dlaczego phishing pozostaje powszechnym i poważnym zagrożeniem internetowym.
"Phishing to najprostszy rodzaj cyberataku, a jednocześnie najbardziej niebezpieczny i skuteczny".
Phisherzy nie próbują wykorzystać luki technicznej w systemie operacyjnym urządzenia - wykorzystują inżynierię społeczną. Od Windows i iPhone'ów po komputery Mac i Android - żaden system operacyjny nie jest całkowicie bezpieczny przed phishingiem, bez względu na to, jak silne są jego zabezpieczenia. W rzeczywistości atakujący często uciekają się do phishingu, ponieważ nie mogą znaleźć żadnych luk technicznych.
Po co tracić czas na przedzieranie się przez kolejne warstwy zabezpieczeń, skoro można oszukać kogoś i przekazać mu klucz? Często najsłabszym ogniwem w systemie bezpieczeństwa nie jest usterka ukryta w kodzie komputerowym, ale człowiek, który nie sprawdza dokładnie, skąd pochodzi wiadomość e-mail.
Teraz, gdy zbadaliśmy, czym jest phishing i jak działa, przyjrzyjmy się, gdzie wszystko się zaczęło, wracając do lat 70. z hakowaniem systemów telefonicznych, znanym również jako "phreaking".
Historia phishingu
Termin "phishing" porównuje próby oszustwa do wędkarstwa, gdzie przynęta jest używana do zwabienia ofiar. Uważa się, że wywodzi się z kultury "phreakingu" z lat 70-tych, która polegała na hakowaniu systemów telefonicznych. Zanim termin "phishi
ng", podobna technika została zaprezentowana na konferencji technicznej w 1987 roku. Pierwsze znane użycie tego terminu datuje się na 1996 r. i wiąże się z hakerem Khanem C Smithem, który dokonał oszustwa na użytkownikach America Online (AOL), wykorzystując popularność AOL poprzez podszywanie się pod pracowników AOL w celu zebrania informacji o użytkownikach.
W 2000 roku phisherzy skupili się na systemach płatności online, bankowości i platformach mediów społecznościowych. Tworzyli przekonujące fałszywe domeny, w szczególności podszywając się pod eBay i PayPal, nakłaniając użytkowników do udostępniania poufnych informacji. Pierwszy atak phishingowy ukierunkowany na banki został zgłoszony w 2003 roku. W połowie XXI wieku phishing stał się głównym zagrożeniem cybernetycznym dzięki wyrafinowanym, zorganizowanym kampaniom, powodującym znaczne straty finansowe.
Szkody eskalowały na przestrzeni lat, z godnymi uwagi incydentami, w tym kampanią sponsorowaną przez państwo w 2011 roku, masowym naruszeniem danych Target w 2013 roku i głośnymi politycznymi próbami phishingu w 2016 roku. Trend ten utrzymał się w 2017 roku, a oszustwo doprowadziło do przekierowania ponad 100 milionów dolarów od gigantów technologicznych, takich jak Google i Facebook.