METODY I TECHNIKI PRZECIWDZIAŁANIA PHISINGOWI

Phishing jest metodą oszustwa, poprzez którą atakujący może ukraść dane lub rozprzestrzenić złośliwe oprogramowanie.
Przestępcy najczęściej opierają swoje działania o wiadomości e-mail lub SMS oraz media społecznościowe. Podają się za zaufane osoby i instytucje – wiadomości są spreparowane w ten sposób, aby użytkownik uwierzył w ich autentyczność. Nazwa pochodzi od słowa fishing (ang. wędkarstwo) – podobnie jak w łowieniu ryb, przestępcy wykorzystują różne „przynęty”, za pomocą, których próbują oszukać użytkownika.

Przy tej metodzie oszust nie musi przełamywać technicznych zabezpieczeń systemu. Zamiast tego atakuje najsłabsze ogniwo w łańcuchu bezpieczeństwa – człowieka. Atakujący automatyzują swoje działania tak, aby wiadomości trafiły do jak największej liczby osób. Zwiększa to prawdopodobieństwo, że ktoś „połknie haczyk”, a przestępcy odniosą sukces – np. zdobędą numery kart kredytowych, dane do bankowości internetowej, kont społecznościowych lub zainfekują urządzenie ofiary złośliwym oprogramowaniem.

Przykład phishingowej wiadomości e-mail. Po najechaniu kursorem myszki na przycisk wyświetla się adres URL strony, do której prowadzi łącze (na dole ekranu). Domena .br wskazuje, że serwer jest administrowany w Brazylii, co może być podejrzane.

Powyższy link prowadzi do strony, która przekierowuje użytkowania na inną domenę.

Nowa witryna może zawierać złośliwą zawartość. Bezpieczeństwo strony warto zweryfikować za pomocą serwisu VirusTotal (wykorzystuje wiele narzędzi do przeskanowania plików oraz zawartości stron internetowych pod kątem złośliwego oprogramowania i innych niebezpieczeństw).

Mechanizm ataku phishingowego opiera się o wykorzystanie inżynierii społecznej – wywołanie takiej reakcji użytkownika, jaką zaplanują atakujący. W jednym ze scenariuszy oszust podszywa się pod bank lub urząd i w wiadomości wymaga od osoby podjęcia określonych działań np. uregulowania należności za prąd. Użytkownik podejmuje działanie w strachu i obawie, że w razie niepodporządkowania się poleceniom mogą go spotkać poważne konsekwencje – np. dostawca energii elektrycznej zaprzestanie jej dostarczania. Pod wiadomością znajduje się link do serwisu z płatnościami – ofiara ataku ma za jego pośrednictwem dokonać wpłaty. Jest to specjalnie spreparowana strona, która wygląda jak oryginalna, jednakże w rzeczywistości jest stroną stworzoną przez oszustów – wszystkie wpisane dane (loginy i hasła) trafiają do przestępców. Dane te mogą później zostać wykorzystane do włamań do kont bankowych lub kradzieży tożsamości.
Istnieje wiele rodzajów phishingu. Jednym z nich mogą być ataki typu spear, czyli próba oszustwa konkretnej osoby lub organizacji. Treść wiadomości jest dostosowywana do odbiorcy z uwzględnieniem np. struktury firmy, nazwisk, stylu pisania. Clone phishing polega na skopiowaniu treści prawdziwej wiadomości, podmienieniu w niej łącza lub załącznika na szkodliwy, a następnie rozesłanie tak przygotowanej wiadomości do użytkowników. Innym typem jest jedno z najdłużej trwających oszustw w Internecie – tak zwane „Nigeryjskie oszustwa”. Przestępca podaje się np. za amerykańskiego lekarza, żołnierza, pracownika platformy wiertniczej czy nigeryjskiego księcia (skąd wzięła się nazwa) i nawiązuje relację z przyszłą ofiarą. W jednym ze scenariuszy oszust prosi o pomoc przy transferze pieniędzy w zamian za udział w zyskach. Nieświadoma ofiara przesyła pewną kwotę na rzekome uregulowanie opłat, prowizji itp. Pieniądze te przepadają i są właściwie nie do odzyskania.

W zapobieganiu atakom phishingowym najważniejsza jest ostrożność samego użytkownika oraz to, aby nie działać pochopnie – uleganie emocjom i pośpiechowi jest tym, na czym zależy atakującym. Przed kliknięciem w link należy upewnić się, że prowadzi on do poprawnej witryny – adres nie zawiera dodatkowych znaków, żadne litery nie zostały zamienione itp. Po najechaniu kursorem na łącze można poznać prawdziwy adres URL, do którego to łącze prowadzi. Fałszywe witryny mogą zawierać złośliwe oprogramowanie, które infekuje komputer, dlatego nie należy ich otwierać. Wiadomości phishingowe często brzmią bardzo atrakcyjnie np. informują o dużej wygranej w konkursie. Użytkownik musi ocenić możliwość zajścia takiej sytuacji – np. czy brał udział w jakiejś loterii. Często oszuści po włamaniu na konto w mediach społecznościowych rozsyłają do znajomych oszukanego informację w jego imieniu, że potrzebują pilnie pieniędzy. W takiej sytuacji warto potwierdzić tę informację na przykład dzwoniąc do znajomego. Jeśli nie jest się pewnym załącznika w wiadomości e-mail nie należy go pobierać – może zawierać szkodliwe oprogramowanie. Nie należy podawać swoich danych osobowych, jeśli nie ma się absolutnej pewności, że rozmówca nie jest oszustem. Rozpoznanie phishingu często nie jest łatwe, jednakże postępując w odpowiedni sposób można zdecydowanie zmniejszyć szanse oszustów na odniesienie sukcesu.

Witryna CERT Polska – zespołu zajmującego się reagowaniem na incydenty w sieci.

Wszystkie incydenty internetowe w tym złośliwe domeny, oszustwa, podejrzane e-maile można zgłaszać na stronie internetowej CERT Polska. W serwisie należy wypełnić odpowiedni formularz, a specjaliści zajmą się weryfikacją zgłoszenia. Jeśli witryna okaże się niebezpieczna, zostanie wpisana na listę ostrzeżeń. Wiadomości SMS należy przesyłać na specjalny numer telefonu podany na stronie CERT. W przypadku padnięcia ofiarą oszustwa należy udokumentować wszystko, co jest związane ze sprawą – zapisać domeny, zrobić zrzuty ekranu oraz zastrzec dokumenty, zmienić dane do logowania, a następnie zgłosić się na Policję.



Przykład fałszywej strony świadczącej usługi logistyczne oraz Escrow. Serwis wygląda bardzo profesjonalnie i wszystkie jego elementy zostały starannie przygotowane. Podejrzenia budzi fakt, że na stronie zostało wykorzystane znane logo innej firmy.

W rzeczywistości serwis zawiera szkodliwe oprogramowanie oraz wykryto na nim próbę phishingu.


pchor. Bartosz Słupczewski, Akademia Marynarki Wojennej - Cyfrowy Ambasador NCBC 


Źródła:

Ilustracje: Źródło własne.