Takie działanie polega na wysyłaniu przez osoby atakujące złośliwych e-maili, których celem jest częstokroć wyłudzenie informacji. Niejednokrotnie zależy im na skłonieniu użytkowników do ujawnienia danych finansowych, uwierzytelniających w rozmaitych systemach lub innych poufnych. Phishing jest przykładem socjotechniki - czyli zbioru technik, które oszuści wykorzystują do manipulowania ludzkim zachowaniem. Obejmują fałszerstwo, przeinaczanie i kłamstwo - wszystkie one mogą odgrywać znaczącą rolę w tego typu atakach. Na poziomie podstawowym takie wiadomości wykorzystują socjotechnikę, aby zachęcić Internautów do działania bez zastanowienia.
Termin "phishing" pojawił się w połowie lat dziewięćdziesiątych, kiedy hakerzy zaczęli wykorzystywać złośliwe wiadomości e-mail do "wyławiania" informacji od niczego niepodejrzewających użytkowników. Ponieważ ówczesnych hakerów często określano mianem "phreaków", termin ten stał się znany jako "phishing". Takie maile próbują zwabić ludzi i skłonić ich do złapania przynęty. A kiedy już połkną haczyk, zarówno bezpośrednia ofiara, jak i firma pod którą podszywają się przestępcy, mają kłopoty. Kiedy AOL (popularny amerykański dostawca usług internetowych) był wiodącym systemem treści z dostępem do Internetu, osoby atakujące wykorzystywały phishing i rozmaite komunikatory do podszywania się pod pracowników AOL, aby nakłonić Internautów do ujawnienia swoich danych uwierzytelniających w celu przejęcia kont.
W latach 2000 wyłudzacze zwrócili się w stronę kont bankowych. Wiadomości phishingowe były wykorzystywane do nakłonienia użytkowników do ujawnienia danych uwierzytelniających ich rachunków. Takie maile zawierały link odsyłający do złośliwej witryny, która wyglądała jak oficjalny portal bankowy, ale jej domena była jedynie zbliżona do oryginalnej (np. paypai.com zamiast paypal.com). Później oszuści wchodzili na inne konta, takie jak eBay czy Google, aby wykorzystać przejęte informacje do kradzieży pieniędzy, popełniania różnych oszustw lub w najłagodniejszym przypadku do spamowania innych użytkowników.
Cyberprzestępcy wykorzystują wiadomości phishingowe, ponieważ jest to metoda łatwa, tania i skuteczna. Adresy e-mail można łatwo zdobyć, a ich wysyłanie jest praktycznie bezpłatne. Przy niewielkim wysiłku i kosztach atakujący mogą szybko uzyskać dostęp do cennych danych. Osoby, które dadzą się nabrać na tego rodzaju oszustwa, mogą zostać zainfekowane złośliwym oprogramowaniem (w tym ransomware), doświadczyć kradzieży tożsamości i utraty danych.
Dane, na które polują hakerzy, obejmują także te umożliwiające identyfikację osób (PII) - takie jak informacje dotyczące rachunków finansowych, numery kart kredytowych oraz dokumentacja podatkowa i medyczna - a także poufne dane biznesowe, takie jak nazwiska i informacje kontaktowe klientów, zastrzeżone tajemnice produktów i inne.
Cyberprzestępcy wykorzystują ataki phishingowe w celu uzyskania bezpośredniego dostępu do poczty elektronicznej, mediów społecznościowych i innych kont lub uzyskania uprawnień do modyfikowania i narażania na szwank działania podłączonych systemów, takich jak terminale w punktach sprzedaży i systemy przetwarzania zamówień. Spora część z największych naruszeń, jak na przykład głośny atak Target z 2013 r., rozpoczyna się od wiadomości phishingowej. Wykorzystując pozornie niewinnego e-maila, cyberprzestępcy mogą zagnieździć się w odpowiednim miejscu i rozwijać z niego bardziej zaawansowane ataki.
Atakujący żerują na strachu i poczuciu zaufania użytkowników Internetu. Hakerzy często informują użytkowników, że ich konto jest ograniczone w funkcjonalnościach lub zostanie zawieszone, jeśli jego właściciel nie odpowie na wiadomość. Lęk sprawia, że często ignorują oni typowe znaki ostrzegawcze i zapominają o swojej edukacji w zakresie phishingu. Nawet administratorzy i eksperci ds. bezpieczeństwa czasami padają jego ofiarami.
Zazwyczaj taki email jest wysyłany do jak największej liczby osób, dlatego powitanie jest ogólne.
Przykład wiadomości phishingowej z literówkami i błędami gramatycznymi:
“W związkó z brakiem płatnosci za fakturę nr 1/22 za miesiąc czerwiec 2022 r. informujemy, że jeżeli nie zostanie ona uregulowana do dnia ….. w kwocie …. na rachunek nr….., to nastąpią przerwy w dostawie prądu. Zapłąć rachunek już teraz i kliknij ->tutaj Zespół Tauron”
W powyższej wiadomości nie jest wymienione imię użytkownika, a poczucie pilności ma na celu wykorzystanie strachu, aby nakłonić adresata do otwarcia załącznika.
Załącznikiem może być strona WWW, skrypt (np. PowerShell) lub dokument Microsoft Office zawierający złośliwe makro. Dwa ostatnie mogą zostać wykorzystane do pobrania złośliwego oprogramowania lub podstępnego nakłonienia ofiary do ujawnienia danych uwierzytelniających ich konta.
Atakujący rejestrują domeny, które wyglądają bardzo podobnie do oficjalnych, lub czasami używają ogólnodostępnych dostawców, takich jak Gmail. W przypadku protokołów poczty elektronicznej możliwe jest pojawienie się fałszywych nadawców, ale większość serwerów odbiorców stosuje zabezpieczenia poczty wykrywające podejrzane nagłówki. Kiedy pokrzywdzeni otrzymują e-mail, mogą one zawierać oficjalne logo firmy, ale adres nadawcy nie będzie zawierał oficjalnej domeny rzekomej firmy. Przy okazji jest on tylko jednym ze znaków ostrzegawczych, ale nie powinien być jedyną rzeczą, na podstawie której można określić wiarygodność wiadomości.
Cyberprzestępcy wykorzystują trzy techniki w wiadomościach phishingowych w celu kradzieży informacji: złośliwe łącza internetowe, załączniki oraz fałszywe formularze do wprowadzania danych.
Linki, znane również jako adresy URL, są często spotykane w zwykłych wiadomościach e-mail, ale także w tych phishingowych. Złośliwe odnośniki przenoszą użytkowników na fałszywe strony internetowe lub serwisy zainfekowane złośliwym oprogramowaniem, znanym również jako malware. Mogą wyglądać jak zaufane linki i często są osadzone jako hiperłącza w logo lub innych obrazach w wiadomości e-mail. W Polsce bardzo często złośliwe łącza internetowe dotyczą najpopularniejszych banków. Użytkownik otrzymuje e mail o zmianę warunków prowadzenia rachunku i klikając w post - zostaje odesłany na fałszywą domenę.
Wyglądają one jak związane z tematem załączniki, ale w rzeczywistości są zainfekowane złośliwym oprogramowaniem, które może zagrozić komputerom i znajdującym się na nich plikom. W przypadku ransomware - czyli złośliwej aplikacji - wszystkie pliki na komputerze mogą zostać zablokowane i stać się niedostępne. Może też zostać zainstalowany rejestrator naciśnięć klawiszy, który śledzi wszystko, co wpisuje użytkownik, łącznie z hasłami. Należy również pamiętać, że ransomware i inne podobne mogą rozprzestrzeniać się z jednego komputera na inne urządzenia sieciowe, takie jak np. zewnętrzne dyski twarde, serwery, a nawet systemy w chmurze. Złośliwe załączniki często są wykorzystywane przez oszustów na arenie międzynarodowej. Korporacja FeDex padła ofiarą oszustów, którzy wysyłając setki tysięcy maili do klientów w jej imieniu zachęcali odbiorców do wydrukowania kopii załączonego pokwitowania pocztowego i zaniesienia go do placówki FedEx w celu odebrania przesyłki, która nie mogła zostać dostarczona. Niestety, w załączniku znajdował się wirus, który infekował komputery odbiorców. Wariacje tego typu oszustw wysyłkowych są szczególnie częste w sezonie zakupów świątecznych, choć zdarzają się przez cały rok.
W takich wiadomościach Internauci proszeni są o wpisanie poufnych informacji, takich jak nr PESEL, login, hasła, dane kart kredytowych i numery telefonów. Gdy użytkownik poda te informacje, mogą one zostać wykorzystane przez cyberprzestępców do osiągnięcia osobistych korzyści.
Phishing stał się czymś więcej niż tylko zwykłą kradzieżą danych i poświadczeń. Sposób, w jaki atakujący przygotowuje kampanię, zależy od jego rodzaju. Można wyróżnić m.in.:
Ponieważ phishing jest skuteczny, osoby atakujące używają całych zestawów, aby uprościć procedurę. Są to dodatkowe komponenty wchodzące w skład kampanii. Zawierają m.in.:
Kolejnym składnikiem są zarejestrowane domeny. Przestępcy rejestrują dziesiątki witryn, które wykorzystują w phishingowych wiadomościach e-mail, aby szybko zmieniać je, gdy filtry antyspamowe oznaczą je jako złośliwe. Posiadając ich dziesiątki lub setki, przestępcy mogą zmienić domenę w adresie URL phishingu i ponownie wysłać wiadomości do kolejnych celów.
Zestaw phishingowy jest również zaprojektowany w taki sposób, aby uniknąć wykrycia. Skrypty blokują duże bloki adresów IP należące do specjalistów ds. bezpieczeństwa i organizacji antywirusowych, takich jak McAfee, Google, Symantec i Kaspersky, aby uniemożliwić im znalezienie domen phishingowych. Strony wykorzystywane do phishingu będą wyglądały dla takich podmiotów jak legalna, nieszkodliwa witryna, ale dla docelowego odbiorcy będą wyświetlały treści phishingowe.
Ważne jest, aby zdawać sobie sprawę z konsekwencji, jakie wiążą się z atakiem phishingowym, zarówno w domu, jak i w pracy. Oto kilka problemów, które mogą się pojawić w wyniku podstępnego wyłudzenia informacji:
Pandemia zmieniła sposób, w jaki pracuje większość organizacji i pracowników. Praca zdalna stała się standardem, więc urządzenia firmowe i osobiste znajdowały się w miejscu wykonywania obowiązków użytkownika. Ta zmiana dała atakującym przewagę. Ofiary nie mają w domu zabezpieczeń cybernetycznych na poziomie takim jak przedsiębiorstwa, więc filtry i firewalle poczty elektronicznej są mniej skuteczne, co daje hakerom większe szanse na przeprowadzenie udanej kampanii.
Ponieważ pracownicy pracują w domu, jeszcze ważniejsze jest, aby organizacje szkoliły ich w zakresie wiedzy o phishingu. Po pandemii wzrosła liczba przypadków podszywania się pod członków kierownictwa i oficjalnych sprzedawców. Zatrudnieni nadal potrzebują dostępu do systemów firmowych, więc cyberprzestępca może obrać za cel dowolnego pracownika przebywającego w miejscu zamieszkania, aby uzyskać zdalny akces do środowiska. Administratorzy byli zmuszeni do szybkiego skonfigurowania poświadczeń i autentykacji, więc cyberbezpieczeństwo zostało odsunięte na bok, aby jak najprędzej umożliwić wygodę. Ta wymuszona zmiana odsłoniła atakującym luki, które można było wykorzystać, a wiele z nich to po prostu błędy ludzkie.
W połączeniu ze słabym bezpieczeństwem cybernetycznym i użytkownikami łączącymi się za pośrednictwem własnych urządzeń, hakerzy zyskali wiele atutów. Phishing nasilił się zatem na całym świecie. Firma Google odnotowała 350% wzrost liczby stron wyłudzających informacje na początku 2020 r.
Celem większości złośliwych naruszeń jest zysk finansowy, dlatego przestępcy biorą na celownik głównie określone gałęzie. Celem może być cała organizacja lub jej poszczególni użytkownicy. Do najczęściej atakowanych należą:
Aby oszukać jak największą liczbę osób, atakujący wykorzystują znane marki, które wzbudzają zaufanie u odbiorców, a to zwiększa szanse powodzenia kampanii. Do phishingu można wykorzystać właściwie dowolną firmę, ale kilka najpopularniejszych to:
Ochrona jest ważnym środkiem bezpieczeństwa, który firmy mogą podjąć, aby zapobiec atakom phishingowym na swoich pracowników i organizację. Szkolenia z zakresu ogólnej świadomości i edukacja na temat znaków, na które należy zwrócić uwagę, gdy wiadomość e-mail wygląda lub wydaje się podejrzana, zdecydowanie pomagają ograniczyć liczbę udanych ataków. Ponieważ jednak zachowań użytkowników nie da się przewidzieć, wykrywanie phishingu oparte na typowych rozwiązaniach bezpieczeństwa ma kluczowe znaczenie.
Edukacja rozszerzona o rzeczywiste przykłady i ćwiczenia pomoże użytkownikom w rozpoznawaniu metod oszustw. Często organizacje współpracują z ekspertami, którzy wysyłają symulowane wiadomości do pracowników i śledzą, którzy z nich otwierają wiadomości i klikają na linki. Pracownicy ci mogą być dalej szkoleni, aby nie popełnili tego samego błędu przy kolejnych testach.
Niektóre rozwiązania oparte na filtrach bramki poczty elektronicznej mają możliwość wychwytywania i klasyfikowania wiadomości phishingowych na podstawie złej reputacji osadzonych w nich adresów URL. To, co umyka tym rozwiązaniom, to często dobrze spreparowane treści z linkami pochodzącymi z legalnych witryn, które nie mają słabej renomy w momencie dostarczenia wiadomości.
Najskuteczniejsze systemy identyfikują podejrzane maile na podstawie analizy specjalistycznej, która poszukuje nietypowych wzorców w ruchu w celu zdemaskowania podejrzanych wiadomości, a następnie oflagowuje osadzony adres URL i stale monitoruje go pod kątem exploitów i pobierania plików. Te narzędzia poddają taką zawartość kwarantannie, dzięki czemu administratorzy mogą badać trwające ataki phishingowe. W przypadku wykrycia dużej liczby komunikatów, administratorzy mogą ostrzec pracowników i zmniejszyć prawdopodobieństwo powodzenia ukierunkowanej kampanii.
Sektor cyberbezpieczeństwa nieustannie się rozwija, szczególnie właśnie w zakresie phishingu. Niezwykle ważne jest, aby korporacje zawsze komunikowały się z pracownikami i edukowały ich w temacie najnowszych metod ataków i socjotechniki. Uświadamianie podwładnych o trendach w zagrożeniach zmniejsza ryzyko i tworzy kulturę bezpieczeństwa cybernetycznego w organizacji.
Po wysłaniu informacji do osoby atakującej, zostaną one prawdopodobnie ujawnione innym oszustom. Prawdopodobnie będziesz otrzymywać wiadomości vishingowe i smishingowe, nowe wiadomości phishingowe oraz połączenia głosowe. Zawsze zwracaj uwagę na podejrzane treści z prośbą o podanie informacji lub danych finansowych.
Federalna Komisja Handlu prowadzi stronę internetową poświęconą kradzieży tożsamości, która pomoże Ci zmniejszyć szkody i monitorować Twoją historię kredytową. Jeśli kliknąłeś na URL lub otworzyłeś podejrzany załącznik, na Twoim komputerze może być zainstalowane złośliwe oprogramowanie. Aby je wykryć i usunąć, upewnij się, że Twoje aplikacje antywirusowe są aktualne i mają zainstalowane najnowsze poprawki.
Głównym celem phishingu jest kradzież danych uwierzytelniających (credential phishing), poufnych informacji lub nakłonienie do przesłania pieniędzy. Zawsze należy zachować ostrożność w przypadku e-maili czy SMS-ów, które proszą o podanie jakichkolwiek informacji lub zawierają linki wymagające uwierzytelnienia.