Nowoczesne technologie to jedno z największych dóbr, z którymi mamy do czynienia. Jednak rozwój technologii przynosi też rozwój związanej z nią przestępczości. W świecie wirtualnym także możemy spotkać przestępców, którzy nas okradną, wyłudzą nasze dane, naruszą naszą prywatność, itp. Dziś przyjrzymy się phishingowi, który jest chyba najczęściej występującym cyberzagrożeniem.
Phishing – definicja
Na początku zastanówmy się nad definicją i cechami phishingu. Czy sama nazwa nie kojarzy się Wam z fishingiem, czyli wędkowaniem? Coś jest na rzeczy, bo phishing to nic innego jak cyberatak, którego celem jest pozyskanie (złowienie) Twoich danych, np. danych logowania do banku, numerów kart kredytowych, loginów, a nawet całej tożsamości. Tak pozyskane informacje posłużą cyberzbójom do zwykłej, pospolitej kradzieży. Mogą posłużyć też do innych ataków, np. ataku na Twojego pracodawcę. Najgorsze w tym wszystkim jest to, że to Twoja nieświadomość zamieni Cię w ofiarę. Jak? Najczęściej to ofiary same podają swoje dane przestępcom umożliwiając im podszycie się pod ofiarę.
Phishing ma już wiele odmian, np. spear phishing, vishing, smishing, itp. Wszystkie one mają jeden cel: wejść w posiadanie Twoich danych osobowych i ukraść Ci jak najwięcej cennych rzeczy. Nie zawsze to będą pieniądze, jednak zawsze chodzi o dane.
Phishing – jak wygląda atak?
Chcesz wiedzieć jak wygląda phishingowy atak cyberzbója? Najprostszym atakiem jest klasyczny phishing przy pomocy e-maila lub SMS. Zajrzyj do swojej skrzynki pocztowej. Wpadła Ci ostatnio jakaś wiadomość od banku lub innej instytucji z załącznikiem, która Cię zaskoczyła? Na przykład bank X (w którym nie masz konta) przesyła Ci zestawienie transakcji w załączonym pliku. Wszedłeś zdziwiony i kliknąłeś w załącznik? Być może właśnie wtedy Twój komputer został zainfekowany złośliwym oprogramowaniem. To, co dalej się zadzieje w tej sytuacji zależy od tego czym jest to złośliwe oprogramowanie, które sobie zainstalowałeś. Może ono zbierać i przesyłać wszystkie dane, które wpisujesz na klawiaturze (dane do logowania), może szyfrować cały dysk, pliki i żądać okupu za ich odblokowanie, a może także przesyłać całą zwartość dysku do automatycznego wyszukiwania ciekawych informacji i danych.
Inny przykład? SMSy o konieczności dopłacenia do przesyłki, uiszczenia opłaty celnej, OLX, itp. Ciekawe jest to, co dzieje się później. Klikając na taki link przekierowujący do płatności ofiara jest przekonana, że znajduje się na prawdziwej stronie i dokonuje rzeczywistej transakcji. Tymczasem znajduje się na specjalnie spreparowanej przez przestępców stronie. Podaje wymagane dane i jest przekonana, że dokonuje transakcji. Jednak w rzeczywistości podaje swoje dane do logowania lub dane karty kredytowej oszustom, którzy komunikują się z bankiem ofiary przy pomocy pozyskanych danych, a następnie np. czyszczą konto, zaciągają na dane tej osoby kredyt, itp. Przez to, że ofiara nie czyta opisów transakcji, co do których przychodzą jej potwierdzenia do akceptacji sama akceptuje to, co robią przestępcy.
Jeszcze inny przykład to prośba od znajomego o pożyczkę BLIKiem przychodząca na profilu społecznościowym (na popularnych portalach bardzo łatwo podszyć się pod dowolną osobę).
Banalnie proste i niestety nadal straszliwie skuteczne. Koszty takiego ataku są znikome, a korzyści – mogą być ogromne. Dziś przestępcy mają zbudowane własne aplikacje do zbierania danych i okradania ludzi.
Spear phishing i whaling
Odmianami phishingu, które są celowane w konkretne osoby są spear phishing i whaling. To są ataki profilowane, których celem są albo organizacje, przedsiębiorstwa, celebryci, a w przypadku whalingu osoby na wysokich stanowiskach. Te ataki to już nie proste oszustwa na sms, ale ataki, których celem są własności intelektualne, tajemnice przedsiębiorstwa i inne cenne dane.
Przygotowanie takiego ataku z reguły trwa i wymaga zrobienia reaserchu na temat potencjalnej ofiary. Czasem przestępcy wykorzystują specyficzny żargon danego przedsiębiorstwa, pozyskują dane o strukturze, a następnie podszywają się pod kogoś z organizacji. Wszystko po to, by ugrać z tej nielegalnej działalności jeszcze więcej.
Jak się bronić?
Przede wszystkim – MYŚL!
Weryfikuj czy adres nadawcy się zgadza, korzystaj z menadżerów haseł i uwierzytelniania dwuskładnikowego. Nie klikaj w każdy link, który dostaniesz. Nie pobieraj podejrzanych załączników i olej niezamówione wiadomości. Zabezpiecz internet i komputer. Czytaj treść/opis transakcji, które zatwierdzasz. Jeśli masz dobre serce to zanim podasz komuś kod BLIK skontaktuj się z daną osobą przy użyciu innego kanału kontaktu i potwierdź jej prośbę (jeśli prośba przyszła na facebooku to zadzwoń do tej osoby). Nie loguj się do kont bankowych i firmowych przy użyciu darmowych wi-fi i w miejscach publicznych. Używaj różnych haseł do różnych kont i zmieniaj je regularnie. Zapoznaj się z zasadami tworzenia silnych haseł (piszemy o tym w tym artykule).
