Takie działanie polega na wysyłaniu przez osoby atakujące złośliwych e-maili, których celem jest częstokroć wyłudzenie informacji. Niejednokrotnie zależy im na skłonieniu użytkowników do ujawnienia danych finansowych, uwierzytelniających w rozmaitych systemach lub innych poufnych. Phishing jest przykładem socjotechniki – czyli zbioru technik, które oszuści wykorzystują do manipulowania ludzkim zachowaniem. Obejmują fałszerstwo, przeinaczanie i kłamstwo – wszystkie one mogą odgrywać znaczącą rolę w tego typu atakach. Na poziomie podstawowym takie wiadomości wykorzystują socjotechnikę, aby zachęcić Internautów do działania bez zastanowienia.
Historia phishingu
Termin „phishing” pojawił się w połowie lat dziewięćdziesiątych, kiedy hakerzy zaczęli wykorzystywać złośliwe wiadomości e-mail do „wyławiania” informacji od niczego niepodejrzewających użytkowników. Ponieważ ówczesnych hakerów często określano mianem „phreaków”, termin ten stał się znany jako „phishing”. Takie maile próbują zwabić ludzi i skłonić ich do złapania przynęty. A kiedy już połkną haczyk, zarówno bezpośrednia ofiara, jak i firma pod którą podszywają się przestępcy, mają kłopoty. Kiedy AOL (popularny amerykański dostawca usług internetowych) był wiodącym systemem treści z dostępem do Internetu, osoby atakujące wykorzystywały phishing i rozmaite komunikatory do podszywania się pod pracowników AOL, aby nakłonić Internautów do ujawnienia swoich danych uwierzytelniających w celu przejęcia kont.
W latach 2000 wyłudzacze zwrócili się w stronę kont bankowych. Wiadomości phishingowe były wykorzystywane do nakłonienia użytkowników do ujawnienia danych uwierzytelniających ich rachunków. Takie maile zawierały link odsyłający do złośliwej witryny, która wyglądała jak oficjalny portal bankowy, ale jej domena była jedynie zbliżona do oryginalnej (np. paypai.com zamiast paypal.com). Później oszuści wchodzili na inne konta, takie jak eBay czy Google, aby wykorzystać przejęte informacje do kradzieży pieniędzy, popełniania różnych oszustw lub w najłagodniejszym przypadku do spamowania innych użytkowników.
Dlaczego phishing stanowi problem?
Cyberprzestępcy wykorzystują wiadomości phishingowe, ponieważ jest to metoda łatwa, tania i skuteczna. Adresy e-mail można łatwo zdobyć, a ich wysyłanie jest praktycznie bezpłatne. Przy niewielkim wysiłku i kosztach atakujący mogą szybko uzyskać dostęp do cennych danych. Osoby, które dadzą się nabrać na tego rodzaju oszustwa, mogą zostać zainfekowane złośliwym oprogramowaniem (w tym ransomware), doświadczyć kradzieży tożsamości i utraty danych.
Dane, na które polują hakerzy, obejmują także te umożliwiające identyfikację osób (PII) – takie jak informacje dotyczące rachunków finansowych, numery kart kredytowych oraz dokumentacja podatkowa i medyczna – a także poufne dane biznesowe, takie jak nazwiska i informacje kontaktowe klientów, zastrzeżone tajemnice produktów i inne.
Cyberprzestępcy wykorzystują ataki phishingowe w celu uzyskania bezpośredniego dostępu do poczty elektronicznej, mediów społecznościowych i innych kont lub uzyskania uprawnień do modyfikowania i narażania na szwank działania podłączonych systemów, takich jak terminale w punktach sprzedaży i systemy przetwarzania zamówień. Spora część z największych naruszeń, jak na przykład głośny atak Target z 2013 r., rozpoczyna się od wiadomości phishingowej. Wykorzystując pozornie niewinnego e-maila, cyberprzestępcy mogą zagnieździć się w odpowiednim miejscu i rozwijać z niego bardziej zaawansowane ataki.
Jak wygląda wiadomość phishingowa?
Atakujący żerują na strachu i poczuciu zaufania użytkowników Internetu. Hakerzy często informują użytkowników, że ich konto jest ograniczone w funkcjonalnościach lub zostanie zawieszone, jeśli jego właściciel nie odpowie na wiadomość. Lęk sprawia, że często ignorują oni typowe znaki ostrzegawcze i zapominają o swojej edukacji w zakresie phishingu. Nawet administratorzy i eksperci ds. bezpieczeństwa czasami padają jego ofiarami.
Zazwyczaj taki email jest wysyłany do jak największej liczby osób, dlatego powitanie jest ogólne.
Przykład wiadomości phishingowej z literówkami i błędami gramatycznymi:
“W związkó z brakiem płatnosci za fakturę nr 1/22 za miesiąc czerwiec 2022 r. informujemy, że jeżeli nie zostanie ona uregulowana do dnia ….. w kwocie …. na rachunek nr….., to nastąpią przerwy w dostawie prądu. Zapłąć rachunek już teraz i kliknij ->tutaj Zespół Tauron”
W powyższej wiadomości nie jest wymienione imię użytkownika, a poczucie pilności ma na celu wykorzystanie strachu, aby nakłonić adresata do otwarcia załącznika.
Załącznikiem może być strona WWW, skrypt (np. PowerShell) lub dokument Microsoft Office zawierający złośliwe makro. Dwa ostatnie mogą zostać wykorzystane do pobrania złośliwego oprogramowania lub podstępnego nakłonienia ofiary do ujawnienia danych uwierzytelniających ich konta.
Atakujący rejestrują domeny, które wyglądają bardzo podobnie do oficjalnych, lub czasami używają ogólnodostępnych dostawców, takich jak Gmail. W przypadku protokołów poczty elektronicznej możliwe jest pojawienie się fałszywych nadawców, ale większość serwerów odbiorców stosuje zabezpieczenia poczty wykrywające podejrzane nagłówki. Kiedy pokrzywdzeni otrzymują e-mail, mogą one zawierać oficjalne logo firmy, ale adres nadawcy nie będzie zawierał oficjalnej domeny rzekomej firmy. Przy okazji jest on tylko jednym ze znaków ostrzegawczych, ale nie powinien być jedyną rzeczą, na podstawie której można określić wiarygodność wiadomości.
Podstawowe mechanizmy wykorzystywane w atakach phishingowych
Cyberprzestępcy wykorzystują trzy techniki w wiadomościach phishingowych w celu kradzieży informacji: złośliwe łącza internetowe, załączniki oraz fałszywe formularze do wprowadzania danych.
Złośliwe łącza internetowe
Linki, znane również jako adresy URL, są często spotykane w zwykłych wiadomościach e-mail, ale także w tych phishingowych. Złośliwe odnośniki przenoszą użytkowników na fałszywe strony internetowe lub serwisy zainfekowane złośliwym oprogramowaniem, znanym również jako malware. Mogą wyglądać jak zaufane linki i często są osadzone jako hiperłącza w logo lub innych obrazach w wiadomości e-mail. W Polsce bardzo często złośliwe łącza internetowe dotyczą najpopularniejszych banków. Użytkownik otrzymuje e mail o zmianę warunków prowadzenia rachunku i klikając w post – zostaje odesłany na fałszywą domenę.
Złośliwe załączniki
Wyglądają one jak związane z tematem załączniki, ale w rzeczywistości są zainfekowane złośliwym oprogramowaniem, które może zagrozić komputerom i znajdującym się na nich plikom. W przypadku ransomware – czyli złośliwej aplikacji – wszystkie pliki na komputerze mogą zostać zablokowane i stać się niedostępne. Może też zostać zainstalowany rejestrator naciśnięć klawiszy, który śledzi wszystko, co wpisuje użytkownik, łącznie z hasłami. Należy również pamiętać, że ransomware i inne podobne mogą rozprzestrzeniać się z jednego komputera na inne urządzenia sieciowe, takie jak np. zewnętrzne dyski twarde, serwery, a nawet systemy w chmurze. Złośliwe załączniki często są wykorzystywane przez oszustów na arenie międzynarodowej. Korporacja FeDex padła ofiarą oszustów, którzy wysyłając setki tysięcy maili do klientów w jej imieniu zachęcali odbiorców do wydrukowania kopii załączonego pokwitowania pocztowego i zaniesienia go do placówki FedEx w celu odebrania przesyłki, która nie mogła zostać dostarczona. Niestety, w załączniku znajdował się wirus, który infekował komputery odbiorców. Wariacje tego typu oszustw wysyłkowych są szczególnie częste w sezonie zakupów świątecznych, choć zdarzają się przez cały rok.
Phishing i formularze wprowadzania danych
W takich wiadomościach Internauci proszeni są o wpisanie poufnych informacji, takich jak nr PESEL, login, hasła, dane kart kredytowych i numery telefonów. Gdy użytkownik poda te informacje, mogą one zostać wykorzystane przez cyberprzestępców do osiągnięcia osobistych korzyści.
Rodzaje ataków phishingowych
Phishing stał się czymś więcej niż tylko zwykłą kradzieżą danych i poświadczeń. Sposób, w jaki atakujący przygotowuje kampanię, zależy od jego rodzaju. Można wyróżnić m.in.:
- Spear phishing: e-maile są wysyłane do konkretnych osób w organizacji, zazwyczaj posiadaczy kont o wysokich uprawnieniach.
- Manipulacja łączami: wiadomości zawierają linki do fałszywej witryny, która wygląda jak oficjalna strona firmy.
- Oszustwo na stanowisku dyrektora generalnego: wiadomości te są wysyłane głównie do osób zajmujących się finansami w celu wywołania u nich przekonania, że dyrektor generalny lub członek zarządu prosi ich o przekazanie pieniędzy.
- Wstrzykiwanie treści: atakujący, który potrafi wstrzyknąć złośliwą treść na oficjalną stronę, oszukuje Internautów, którzy wchodzą na witrynę, aby wyświetlić im złośliwe okienko popup lub przekierować ich na inną domenę phishingową.
- Złośliwe oprogramowanie: użytkownicy, którzy zwabieni podstępem klikną link lub otworzą załącznik, pobiorą na swoje urządzenia złośliwe oprogramowanie.
- Smishing: wykorzystując wiadomości SMS, cyberprzestępcy nakłaniają adresatów do wchodzenia na złośliwe strony ze swoich smartfonów.
- Vishing: osoby atakujące przy użyciu oprogramowania zmieniającego głos, zostawiają wiadomość informującą ofiary, że muszą zadzwonić pod wskazany numer (jeśli to zrobią, to będą dalej wciągane w oszustwo).
- „Bliźniacze” Wi-Fi: podszywając się pod darmową sieć, hakerzy nakłaniają userów do łączenia się ze złośliwym hotspotem, co następnie umożliwia im wykonywanie exploitów typu man-in-the-middle (w skrócie podsłuchiwanie wymiany danych).
Co to jest zestaw phishingowy?
Ponieważ phishing jest skuteczny, osoby atakujące używają całych zestawów, aby uprościć procedurę. Są to dodatkowe komponenty wchodzące w skład kampanii. Zawierają m.in.:
- serwer WWW,
- elementy strony internetowej (np. obrazy i układ oficjalnej strony),
- pamięć masową wykorzystywaną do gromadzenia danych uwierzytelniających użytkownika.
Kolejnym składnikiem są zarejestrowane domeny. Przestępcy rejestrują dziesiątki witryn, które wykorzystują w phishingowych wiadomościach e-mail, aby szybko zmieniać je, gdy filtry antyspamowe oznaczą je jako złośliwe. Posiadając ich dziesiątki lub setki, przestępcy mogą zmienić domenę w adresie URL phishingu i ponownie wysłać wiadomości do kolejnych celów.
Zestaw phishingowy jest również zaprojektowany w taki sposób, aby uniknąć wykrycia. Skrypty blokują duże bloki adresów IP należące do specjalistów ds. bezpieczeństwa i organizacji antywirusowych, takich jak McAfee, Google, Symantec i Kaspersky, aby uniemożliwić im znalezienie domen phishingowych. Strony wykorzystywane do phishingu będą wyglądały dla takich podmiotów jak legalna, nieszkodliwa witryna, ale dla docelowego odbiorcy będą wyświetlały treści phishingowe.
Gdzie występuje phishing?
Ważne jest, aby zdawać sobie sprawę z konsekwencji, jakie wiążą się z atakiem phishingowym, zarówno w domu, jak i w pracy. Oto kilka problemów, które mogą się pojawić w wyniku podstępnego wyłudzenia informacji:
- Personalne, rodzinne,
- Kradzież pieniędzy z kont bankowych,
- Podejrzane opłaty na kartach kredytowych,
- Zeznania podatkowe wypełnione na nazwisko innej osoby,
- Pożyczki i kredyty hipoteczne otwarte na nazwisko danej osoby,
- Utrata dostępu do zdjęć, filmów, plików i innych ważnych dokumentów,
- Fałszywe wpisy w mediach społecznościowych wykonane na koncie ofiary,
- Problemy służbowe,
- Utrata funduszy firmowych,
- Ujawnienie danych osobowych klientów i współpracowników,
- Utrata dostępu do poufnej komunikacji, plików i systemów,
- Zablokowanie plików, dokumentów,
- Nadszarpnięcie reputacji pracodawcy,
- Kary finansowe z tytułu naruszenia przepisów,
- Utrata wartości firmy,
- Zmniejszone zaufanie inwestorów,
- Zakłócenie przychodów, wpływające na wydajność pracy.
Phishing i praca zdalna
Pandemia zmieniła sposób, w jaki pracuje większość organizacji i pracowników. Praca zdalna stała się standardem, więc urządzenia firmowe i osobiste znajdowały się w miejscu wykonywania obowiązków użytkownika. Ta zmiana dała atakującym przewagę. Ofiary nie mają w domu zabezpieczeń cybernetycznych na poziomie takim jak przedsiębiorstwa, więc filtry i firewalle poczty elektronicznej są mniej skuteczne, co daje hakerom większe szanse na przeprowadzenie udanej kampanii.
Ponieważ pracownicy pracują w domu, jeszcze ważniejsze jest, aby organizacje szkoliły ich w zakresie wiedzy o phishingu. Po pandemii wzrosła liczba przypadków podszywania się pod członków kierownictwa i oficjalnych sprzedawców. Zatrudnieni nadal potrzebują dostępu do systemów firmowych, więc cyberprzestępca może obrać za cel dowolnego pracownika przebywającego w miejscu zamieszkania, aby uzyskać zdalny akces do środowiska. Administratorzy byli zmuszeni do szybkiego skonfigurowania poświadczeń i autentykacji, więc cyberbezpieczeństwo zostało odsunięte na bok, aby jak najprędzej umożliwić wygodę. Ta wymuszona zmiana odsłoniła atakującym luki, które można było wykorzystać, a wiele z nich to po prostu błędy ludzkie.
W połączeniu ze słabym bezpieczeństwem cybernetycznym i użytkownikami łączącymi się za pośrednictwem własnych urządzeń, hakerzy zyskali wiele atutów. Phishing nasilił się zatem na całym świecie. Firma Google odnotowała 350% wzrost liczby stron wyłudzających informacje na początku 2020 r.
Najczęściej atakowane branże przez phishing
Celem większości złośliwych naruszeń jest zysk finansowy, dlatego przestępcy biorą na celownik głównie określone gałęzie. Celem może być cała organizacja lub jej poszczególni użytkownicy. Do najczęściej atakowanych należą:
- Sklepy internetowe (ecommerce),
- Media społecznościowe,
- Banki i inne instytucje finansowe,
- Systemy płatności,
- Firmy informatyczne,
- Firmy telekomunikacyjne,
- Firmy kurierskie.
Marki najczęściej używane do ataków
Aby oszukać jak największą liczbę osób, atakujący wykorzystują znane marki, które wzbudzają zaufanie u odbiorców, a to zwiększa szanse powodzenia kampanii. Do phishingu można wykorzystać właściwie dowolną firmę, ale kilka najpopularniejszych to:
- Google,
- Microsoft,
- Amazon,
- Chase,
- Wells Fargo,
- Bank of America,
- Apple,
- LinkedIn,
- FedEx,
- DHL.
Jak się chronić przed phishingiem?
Ochrona jest ważnym środkiem bezpieczeństwa, który firmy mogą podjąć, aby zapobiec atakom phishingowym na swoich pracowników i organizację. Szkolenia z zakresu ogólnej świadomości i edukacja na temat znaków, na które należy zwrócić uwagę, gdy wiadomość e-mail wygląda lub wydaje się podejrzana, zdecydowanie pomagają ograniczyć liczbę udanych ataków. Ponieważ jednak zachowań użytkowników nie da się przewidzieć, wykrywanie phishingu oparte na typowych rozwiązaniach bezpieczeństwa ma kluczowe znaczenie.
Edukacja rozszerzona o rzeczywiste przykłady i ćwiczenia pomoże użytkownikom w rozpoznawaniu metod oszustw. Często organizacje współpracują z ekspertami, którzy wysyłają symulowane wiadomości do pracowników i śledzą, którzy z nich otwierają wiadomości i klikają na linki. Pracownicy ci mogą być dalej szkoleni, aby nie popełnili tego samego błędu przy kolejnych testach.
Niektóre rozwiązania oparte na filtrach bramki poczty elektronicznej mają możliwość wychwytywania i klasyfikowania wiadomości phishingowych na podstawie złej reputacji osadzonych w nich adresów URL. To, co umyka tym rozwiązaniom, to często dobrze spreparowane treści z linkami pochodzącymi z legalnych witryn, które nie mają słabej renomy w momencie dostarczenia wiadomości.
Najskuteczniejsze systemy identyfikują podejrzane maile na podstawie analizy specjalistycznej, która poszukuje nietypowych wzorców w ruchu w celu zdemaskowania podejrzanych wiadomości, a następnie oflagowuje osadzony adres URL i stale monitoruje go pod kątem exploitów i pobierania plików. Te narzędzia poddają taką zawartość kwarantannie, dzięki czemu administratorzy mogą badać trwające ataki phishingowe. W przypadku wykrycia dużej liczby komunikatów, administratorzy mogą ostrzec pracowników i zmniejszyć prawdopodobieństwo powodzenia ukierunkowanej kampanii.
Sektor cyberbezpieczeństwa nieustannie się rozwija, szczególnie właśnie w zakresie phishingu. Niezwykle ważne jest, aby korporacje zawsze komunikowały się z pracownikami i edukowały ich w temacie najnowszych metod ataków i socjotechniki. Uświadamianie podwładnych o trendach w zagrożeniach zmniejsza ryzyko i tworzy kulturę bezpieczeństwa cybernetycznego w organizacji.
Co robić, jeśli padłeś ofiarą phishingu?
Po wysłaniu informacji do osoby atakującej, zostaną one prawdopodobnie ujawnione innym oszustom. Prawdopodobnie będziesz otrzymywać wiadomości vishingowe i smishingowe, nowe wiadomości phishingowe oraz połączenia głosowe. Zawsze zwracaj uwagę na podejrzane treści z prośbą o podanie informacji lub danych finansowych.
Federalna Komisja Handlu prowadzi stronę internetową poświęconą kradzieży tożsamości, która pomoże Ci zmniejszyć szkody i monitorować Twoją historię kredytową. Jeśli kliknąłeś na URL lub otworzyłeś podejrzany załącznik, na Twoim komputerze może być zainstalowane złośliwe oprogramowanie. Aby je wykryć i usunąć, upewnij się, że Twoje aplikacje antywirusowe są aktualne i mają zainstalowane najnowsze poprawki.
Jak rozpoznać wiadomość phishingową?
Głównym celem phishingu jest kradzież danych uwierzytelniających (credential phishing), poufnych informacji lub nakłonienie do przesłania pieniędzy. Zawsze należy zachować ostrożność w przypadku e-maili czy SMS-ów, które proszą o podanie jakichkolwiek informacji lub zawierają linki wymagające uwierzytelnienia.
