Phishing jest obecny w naszej przestrzeni już od ponad 20 lat! Pierwszą próbę wyłudzenia poufnych danych tą metodą, odnotowaliśmy już w 2001 roku. Od tego czasu, techniki stosowane przez cyberprzestępców znacząco się rozwinęły. Oznacza to, że powinien zmienić się także sposób naszej reakcji. W poniższym artykule przedstawimy Ci aktualnie stosowane metody phishingu i wskazówki, w jaki sposób się przed nimi uchronić.
Czym jest phishing?
Według definicji:
„Phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań”.
Jest to jedna z najprostszych i najskuteczniejszych metod cyberataku. Hakerzy korzystają z szerokiej gamy socjotechnik, aby nakłonić nas do przekazania poufnych danych. Na ten typ ataku, narażeni są wszyscy użytkownicy Internetu! Bez względu na to, czy jesteś szeregowym pracownikiem, dyrektorem czy prezesem – musisz być czujny!
Każdy z nas, powinien mieć świadomość tego, jak bronić się przed phishingiem! Co roku, tysiące osób pada ofiarą tego typu przestępstw, niejednokrotnie tracąc przy tym oszczędności całego życia.
Jak wygląda typowy atak phishingowy?
Moglibyśmy zadać sobie pytanie „Dlaczego phishing jest tak groźny?”. Głównym powodem jest to, że większość tego typu ataków bazuje na bardzo głęboko zakorzenionych w nas emocjach, takich jak strach czy lęk. Takie odczucia wywołują w nas przymus szybkiej reakcji, pozbawiając nas jednocześnie czasu niezbędnego na zastanowienie się nad tym, czy nie stajemy się właśnie ofiarami przestępstwa.
Typowy atak rozpoczyna się niewinnie – od maila, sms-a czy połączenia telefonicznego. Przesłana wiadomość posiada zazwyczaj dwie główne cechy.
Po pierwsze jej nadawcą jest osoba lub instytucja wzbudzająca nasze zaufanie np. popularna platforma sprzedażowa, portal społecznościowy, dostawca energii, a nawet instytucje rządowe. Zdecydowana większość z nas regularnie korzysta z tego typu platform, dlatego nie zdziwi nas otrzymanie informacji dotyczącej jednego z naszych zakupów, lub kont w mediach społecznościowych.
Po drugie, wiadomość zawiera treść zachęcającą, lub wręcz zmuszającą nas do natychmiastowej akcji, np.:
„Tydzień atrakcji! Odbierz rabat na zakupy w wysokości 20%, ważny tylko do końca dzisiejszego dnia!”
„Nie odnotowaliśmy wpłaty za ostatnią fakturę! Opłać ją teraz, aby nie dopuścić do odcięcia energii elektrycznej”
„Wykryliśmy próbę nieautoryzowanego dostępu do twojego konta na platformie Facebook, kliknij poniższy link, aby zobaczyć szczegóły!”
„Zaakceptuj nową politykę prywatności, związaną z COVID-19!”
„Nowa faktura w załączniku!”
Przykłady tego typu treści, moglibyśmy przytaczać w nieskończoność. Jednak zawsze, w przypadku otrzymania tego typu SMS-a lub maila, w naszej głowie powinna zapalić się czerwona lampka.
Pamiętajmy!
Nadawca wzbudzający nasze zaufanie + treść zachęcająca / zmuszająca nas do określonej akcji = czerwona lampka!
Link w wiadomości zazwyczaj przenosi nas do fikcyjnej strony internetowej, łudząco przypominającej prawdziwą witrynę instytucji, pod którą podszywają się hakerzy. Po wpisaniu przez nas danych takich jak login, hasło, numer pesel czy nawet kod autoryzacyjny sms już nic nie stoi na przeszkodzie, aby złodziej mógł „cieszyć się” dostępem do naszych kont.
Przestępcy mogą posłużyć się także zainfekowanym plikiem! Dlatego ważne jest, aby nie pobierać załączników z niepewnych źródeł!
Istnieje jednak kilka podstawowych zasad, dzięki którym będziemy w stanie ustrzec się przed tego typu zagrożeniem.
Podejrzewasz że mogłeś stać się ofiarą phishingu? Zgłoś to na stronie CERT – https://incydent.cert.pl
Vishing – phishing telefoniczny
Zapewne niejednokrotnie słyszałeś o połączeniach telefonicznych, podczas których osoby podające się za pracowników banku wyłudzały dane logowania, czy nakłaniały do zainstalowania określonej aplikacji. Ten typ phishingu nazywany jest Vishingiem (voice-phishing). Niestety, jest to niesamowicie skuteczny sposób ataku – głównie przez wzgląd na to, że wymaga od przestępców dużo więcej pracy i przygotowań. Profesjonalny, podstawiony „konsultant” może być naprawdę przekonujący! Ma także przewagę nad tekstową formą tego procederu – może starać się na bieżąco łagodzić nasze obawy co do prawdziwości połączenia. Co gorsza, telefon wykonany przez hakerów, może być wykonany z numeru telefonicznego prawdziwej infolinii! Pamiętaj że, bank nigdy nie zażąda od Ciebie kodu jednorazowego, ani instalowania zewnętrznej aplikacji!
Jak bronić się przed phishingiem?
W sytuacji otrzymania przez nas podejrzanej wiadomości, najważniejsza jest czujność, i zdrowy rozsądek! Pamiętajmy, że tego typu atak wycelowany jest nie w słabe punkty systemu IT, jego oprogramowanie czy infrastrukturę! W tym przypadku celem ataku jesteśmy my sami! Dlatego, tak jak program antywirusowy skanuje podejrzane pliki, tak my powinniśmy „przeskanować” wszystkie wiadomości, wzbudzające w nas podejrzenia.
1. Bądź czujny!
To najważniejszy z kroków, zapewniających nam bezpieczeństwo! Lepiej zweryfikować e-maila, smsa lub połączenie o jeden raz za dużo, niż jeden raz za mało! Otrzymałeś niespodziewaną fakturę? Dostałeś smsa z informacją o nieplanowanym terminie szczepienia? Serwis społecznościowy przesyła wiadomość o zablokowaniu dostępu do konta? Jeżeli intuicja podpowiada Ci, że widzisz na ekranie swojego komputera lub smartfona cokolwiek, co może budzić podejrzenia – zweryfikuj to!
2. Sprawdź nadawcę wiadomości!
- Dokładnie prześledź adres nadawcy e-maila. W tym przypadku, każda litera czy znak ma znaczenie! Np. gdy zobaczysz że wiadomość została nadana nie z domeny @allegro.pl tylko @allegro-payment.me, oznacza to że stałeś się ofiarą phishingu! Dokładnie zobacz też, czy w domenie nadawcy nie występują znaki niespotykane w naszym języku, na przykład litery z dziwnymi ogonkami!
- Otrzymałeś wiadomość sms od podejrzanego nadawcy? Np. Czy informacja o „nadchodzącym terminie szczepienia” którego nie planowałeś, przesłana została przez nadawcę „MOBYWATEL” zamiast tak jak zazwyczaj „e-zdrowie”? Nie klikaj linku, jeżeli wiadomość wzbudza twoje podejrzenia!
3. Sprawdź adres linku!
- Treść wiadomości nakłania Cię do kliknięcia w link? Prześledź jego adres! Sprawdź w wyszukiwarce adres firmy która usiłuje się z tobą skontaktować, i porównaj czy domena jest taka sama! Dla przykładu – wiadomość od platformy zakupowej olx.pl nakłania Cię do kliknięcia w link „olx-fastpayment.de”. Oznacza to próbę oszustwa!
- Nie klikaj w linki zawarte w wiadomościach skłaniających Cię do potwierdzenia płatności, odblokowania dostępu do konta, lub konieczności zmiany loginu i hasła ze względów bezpieczeństwa!
4. Nie klikaj, i nie pobieraj załączników z niespodziewanych wiadomości!
Otrzymałeś wiadomość zawierającą niespodziewaną fakturę? A może „w twojej firmie” rozsyłana jest nowa polityka prywatności?
Zweryfikuj każde takie zdarzenie! Zadzwoń do firmy wystawiającej fakturę, skontaktuj się z przełożonymi! Pamiętaj że w takiej sytuacji, najważniejsza jest twoja reakcja!
5. Nie bój się pytać!
Pamiętaj że nie ma głupich pytań! Twoja czujność jest na wagę złota! Niespodziewana faktura, płatność, nowa polityka prywatności a może nad wyraz atrakcyjna oferta? Otrzymałeś wzbudzający Twoje podejrzenia telefon z banku? Nie odpisuj, nie pobieraj załączników, zakończ połączenie! Skontaktuj się z potencjalnym nadawcą, w celu weryfikacji!
6. Jedyna 100% ochrona przed phishingiem – klucz zabezpieczający!
Jeżeli pomimo stosowania powyższych zasad, nadal obawiasz się phishingu, zachęcamy Cię do zakupu klucza zabezpieczającego. To jedyna metoda chroniąca przed phishingiem w 100%! Dzięki stosowanym w kluczu metodom kryptograficznym, uwierzytelni on Twoje logowanie jedynie na prawdziwej stronie!
Podsumowanie
Wśród wielu zagrożeń czyhających na nas w sieci, od kilku lat prym wiodą właśnie ataki phishingowe. Wpływ na wzrost popularności tego typu ataków, miało przeniesienie dużej części naszego życia do przestrzeni Internetowej – głównie za sprawą koronawirusa. Mamy jednak nadzieję, ze po przeczytaniu naszego artykułu, będziesz pamiętał o kilku najważniejszych kwestiach mogących ochronić Cię przed tym specyficznym rodzajem zagrożenia!
Masz pytania? Jesteś zainteresowany testami penetracyjnymi w Twojej firmie? Skontaktuj się z nami!
