Od lat, niezmiennie, dużą popularnością wśród cyberprzestępców cieszy się tzw. phishing. Jest to nic innego jak próba oszustwa, w której przestępca podszywając się pod tożsamość innej osoby lub instytucji próbuje wyłudzić cenne informacje, wrażliwe dane np. hasła do konta bankowości elektronicznej, numery kart kredytowych, dostęp do systemów obsługujących udzielanie świadczeń medycznych by uzyskać wgląd do danych, lub zmanipulować odbiorcę tak, aby w ostateczności otrzymać korzyść materialną, konkretną sumę pieniężną – np. przy pomocy fałszywej faktury. Powyższe działania opierają się na inżynierii społecznej. Z pomocą mniej lub bardzie skomplikowanych działań socjotechniczny cyberprzestępca dąży do zmanipulowania odbiorcy swojej wiadomości. Może to być e-mail bądź sms. Z perspektywy popełniającego przestępstwo liczy się oczywiście efekt końcowy, dostęp do cennych informacji.

Zgodnie z danymi Zespół reagowania na incydenty cyberbezpieczeństwa – CSIRT NASK w 2019 roku odnotował 6484 incydentów, wśród których 4100 było atakami typu „fraud”, czyli oszustw internetowych. Do oszustw w cyberprzestrzeni wykorzystywane są przede wszystkim ataki typu phishing. Za podłoże do działań phishingowych służą cyberprzestępcom często bieżące wydarzenia, które uwiarygodniają ich pociągnięcia, a zarazem stwarzają za każdym razem nowe możliwości wyłudzenia pożądanych danych. Wiadomości phishingowe mają za zadanie skłonić odbiorcę do ujawnienia poufnych danych przez zmanipulowanie w taki sposób, aby skorzystał on np. z załączonego linka do strony internetowej rozprzestrzeniającej szkodliwe oprogramowanie lub otwarcie zainfekowanego załącznika.  Cyberprzestępcy używają podobnych do autentycznych nazw witryn, tak aby wzbudzić zaufanie odbiorcy wiadomości. Należy podkreślić, że wyglądające na autentyczne, to jednak w rzeczywistości witryny te są fałszywe. Szczególnie niebezpiecznym rodzajem phishingu jest tzw. spear phishing, czyli spersonalizowany phishing, w którym cyberprzestępca przez określony czas zbiera konkretne dane dotyczące ofiary planowanego ataku, przez co zwiększa szansę jego powodzenia. Tego typu działanie bywa bardzo skuteczne. Przekonała się o tym chociażby Hillary Clinton, podczas kampanii prezydenckiej w 2016 r. Podszywanie się pod partnerów biznesowych ofiary bądź instytucje z którymi współpracuje ofiara, za pomocą wcześniej wyłudzonych danych, daje sprawcy przestępstwa dużą szansę powodzenia jego niecnych poczynań. Jednym słowem wcześniej zgromadzone dane dają sprawcy czas na takie przygotowanie wiadomości, np. poprzez odwołanie się do relacji łączących ofiarę phishingu z jej partnerami biznesowymi, które uwiarygodni jej autentyczność.

Innym rodzajem phishingu jest clone phishing. W tego typu phishingu, autentyczny e-mail zostaje użyty przez cyberprzestępcę jako wzór przy tworzeniu wiadomości na potrzeby wyłudzenia. W takim e-mailu załączniki lub linki zostają zastąpione zawirusowanymi wariantami. Następnie wysłane przy wykorzystaniu sfałszowanego adresu e-mail, wyglądającego identycznie lub łudząco podobnie, jakby należał do autentycznego nadawcy wiadomości.

Obrona przed phishingiem.

Metody obrony przed phishingiem, a szczególnie przed jego bardzo groźną odmianą spear phishingiem, łączą w sobie techniki sieciowe, heurystycznej analizy oraz budowania świadomości. Szczególnie ta ostatnia jest istotna w architekturze bezpieczeństwa, gdzie zabezpieczeniem na ostatniej warstwie ochrony jest znajomość zagrożeń przez użytkownika systemu informatycznego.

  1. Przede wszystkim, jeżeli odbiorca e-maila, sms’a nie ma pewności, że wiadomość jest przesłana przez prawdziwego nadawcę, to nie powinien klikać w jakikolwiek załączony do wiadomości link lub też odpowiadać na tego typu wiadomość.
  2. Należy zwrócić szczególną uwagę na nazwy stron internetowych, które są przesyłane w tego typu e-mailach czy sms’ach.
  3. Następnie trzeba ustalić czy wiadomość e-mail jest autentyczna. Zwrócenie uwagi na poniżej opisane szczegóły pozwoli skutecznie zidentyfikować fałszywkę.
  • Po pierwsze należy zwrócić uwagę na treść wiadomości. W wielu przypadkach wiadomości phishingowe mają niepoprawny zapis gramatyczny, błędy językowe związane z interpunkcją, jak również nie posiadają polskich znaków diakrytycznych tj. „ą”, „ę”.
  • Należy zweryfikować nadawcę wiadomości, gdyż adres mailowy nadawcy może być niewiarygodny, a w dodatku różnić się od podpisu pod treścią wiadomości. Weryfikacja wiadomości pod kontem zgodności nadawcy jest tutaj kluczowa.
  • Należy sprawdzić czy adresat wiadomości jest wymieniony z imienia i nazwiska i czy pokrywa się to z rzeczywistością, czy być może nadawca wiadomości stosuje ogólniki zwracając się do adresata, używając słów typu współpracownik, ceniony klient itp., co może wskazywać, że nie zna odbiorcy wiadomości, czyli próbuje wyłudzić dane.
  • Ważna wydaje się ocena wyglądu wiadomości: stopki z danymi nadawcy, logotypy. Należy zadać sobie pytanie czy tak wyglądająca wiadomość może pochodzić od firmy czy też instytucji, od której powinna pochodzić taka wiadomość.Jeżeli w wiadomości są zwroty wymuszające szybkie działanie np. „Administrator musi zmienić twoje hasło. Kliknij tutaj.” Odbiorca takiej wiadomości powinien stać się podejrzliwy i wzmóc czujność, nie podejmując przy tym pochopnych decyzji, a w żadnym wypadku nie wykonując tak sformułowanego polecenia. Jeśli nie masz pewności, dokąd poprowadzi Cię link, najedź wskaźnikiem myszy na link (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.
  • Nim gdzieś się zalogujesz sprawdź najpierw nazwę domeny pod kontem literówek. Następnie zweryfikuj, czy stoi przed nią kłódka, a jej adres zaczyna się od https://.
  • Należy pamiętać, że wiadomości zbyt dobrze brzmiące, aby mogły być prawdziwe, w których padają np. oferty szybkiego wzbogacenia się, to część socjotechniki mającej w ostateczności wyłudzić poufne informacje lub pieniądze.
  • Należy pamiętać, że bank lub jakakolwiek inna instytucja nigdy nie powinna prosić Cię o podanie w wiadomości e-mail danych osobowych np. poprzez klikniecie na załączony link i podanie danych służących do logowania się do konkretnego systemu np. bankowości elektronicznej. Należy zweryfikować wszelkie polecenia lub pytania w wiadomości e-mail na przykład dzwoniąc do banku z pytaniem czy rzeczywiście wysłana została do nas tego typu wiadomość.
  • W związku z możliwością przejęcia kontroli nad kontami społecznościowymi, istnieje możliwość podszywania się cyberprzestępców pod osoby, które znamy, naszych bliskich lub przyjaciół. W związku z powyższym należy również weryfikować linki przekazywane tą drogą, czy nie prowadzą na niewłaściwe strony.
  • Natychmiast zgłaszaj każda próbę phishingu do działu bezpieczeństwa/oddziału informatycznego swojej organizacji lub dostawcy poczty e-mail.

Jednocześnie, jeżeli masz uzasadnione podejrzenie, że jesteś ofiarą oszustwa lub wykryłaś/eś podejrzenie oszustwa, zgłoś niezwłocznie ten fakt także Policji lub do prokuratury.

Zgodnie z informacjami zawartymi w „Global Threat Landscape Report” firmy Fortinet z sierpnia 2020 r., zwrócono uwagę na fakt, iż rosnąca popularność pracy zdalnej przyciągnęła uwagę cyberprzestępców. Mianowicie, w pierwszej połowie 2020 r. odnotowano ciekawy trend, liczba kampanii phishingowych, gdzie próby wyłudzeń danych były dokonywane za pomocą stron internetowych, przewyższyła liczbę ataków tego typu dokonywanych tradycyjnie poprzez zwykłą pocztę e-mail. Ta metoda w pierwszych dwóch miesiącach bieżącego roku znalazła się na pierwszym miejscu, aby w marcu spaść na czwartą lokatę, następnie powrócić na drugą pozycję w miesiącach kwietniu i maju, a w czerwcu spaść na pozycję szóstą. Analiza tego trendu może wskazywać na zwiększony ruch w sieci spowodowany przez osoby pracujące w domu.

Pokazuje to, jak szybko cyberprzestępcy są w stanie zareagować na wydarzenia mające wpływ na społeczeństwa na całym świecie, aby zwiększyć siłę rażenia ataków.

Mając na uwadze nieustanną popularność ataków phishingowych wśród cyberprzestępców, każdy potencjalny odbiorca zmanipulowanej wiadomości powinien wiedzieć jak reagować na tego typu działanie.

Autor: Radosław Aniszczyk