Obecnie można chyba zaryzykować stwierdzenie, że phishing jest już nieodłączną częścią naszego życia. Prawdopodobnie każdy z nas miał już okazję zetknąć się z phishingiem, choć część może nawet nie być tego świadoma. A to właśnie świadomość nas wszystkich jest w zasadzie jedynym skutecznym mechanizmem obrony przed tym rodzajem ataku. Dlatego też w tym wpisie skoncentruję się na wyjaśnieniu czym jest oraz jak działa phishing. Przedstawię dlaczego phishing jest tak skuteczny oraz opiszę wykorzystywane przez przestępców mechanizmy podnoszące jego skuteczność. Omówię również w jaki sposób możemy bronić się przed tego typu atakiem. Dlatego też na wstępie zaznaczam, że ten wpis będzie wyłącznie wpisem teoretycznym, choć będzie on zawierał kilka konkretnych wskazówek. Za kilka dni opublikowany zostanie wpis omawiający sposoby rozpoznawania phishingu w praktyce – na konkretnych przykładach. Zapraszam!
Czym jest phishing?
Phishing to obecnie jedna z najskuteczniejszych i jednocześnie najczęściej wykorzystywanych metod ataku przez cyberprzestępców. Polega ona w dużym uproszczeniu na podszyciu się pod inną osobę czy instytucję. Cel takiego działania jest bardzo różny – kliknięcie w znajdujący się w mailu link, pobranie załącznika, wyłudzenie poufnych informacji (danych osobowych, kart płatniczych itp.) czy zmuszenie atakowanego do wykonania innej czynności.
Na co dzień najczęściej spotykamy się z phishingiem w formie maili, SMS-ów czy innych form wiadomości zawierających „złośliwy link”. W przypadku maili nierzadko możemy spotkać się również z dołączonymi do niego złośliwymi załącznikami. Naturalnie nie są to jedyne występujące formy phishingu. Ostatnio bardzo popularne były tzw. „oszustwa na BLIK”. Okrzyknięty w ten sposób przez media mechanizm wyłudzania pieniędzy za pomocą BLIK-a to również nic innego, jak phishing. Niekiedy możemy również spotkać się z różnego typu postami na mediach społecznościowych zawierającymi „niesamowite okazje”. iPhone za darmo, drogie gadżety za bezcen, czasowo ograniczone ogromne promocje – obecnie w internecie jest tego pełno. To również phishing – nakłaniający nas zazwyczaj do kliknięcia w jakiś link, przesłania „zaliczki” czy podania danych osobowych.
Nie można tutaj również nie wspomnieć o stronach podszywających się pod różne instytucje, często banki. Wiele osób nie zauważy przecież różnicy, gdy adres URL banku różni się jedną literą. Posługując się konkretnym przykładem zupełnie losowo wybranego polskiego banku – mbank.pl czy nbank.pl wygląda dość podobnie, prawda? Sama strona wygląda z reguły dokładnie identycznie jak ta prawdziwa. Logując się jednak na podstawionej złośliwej stronie nasz login oraz hasło trafią bezpośrednio do przestępców.
Niektórzy wyróżniają również różne odmiany phishingu. Ja z reguły nie stosuję tego typu podziałów – prościej wytłumaczyć na czym polega dany przykład phishingu niż oczekiwać zapamiętania wielu nazw dla różnych rodzajów phishingu. W zasadzie jedyną formą, dla której stosuję odrębną nazwę jest vishing – czyli phishing realizowany poprzez rozmowę telefoniczną. Tutaj idealnym przykładem może być bardzo głośna w ostatnich latach sprawa „przekrętów na wnuczka”.
Dlaczego phishing jest tak skuteczny?
Aktualnie chyba nie można mieć wątpliwości co do skuteczności phishingu, choć sam atak często nie wymaga nie wiadomo jakich umiejętności technicznych. Z czego więc bierze się tak wysoka skuteczność tego ataku? Zależy to od wielu czynników. Rodzajów phishingów, jak pisałem wyżej, mamy wiele. Mamy do czynienia z gorzej lub lepiej przygotowanymi atakami, rozsyłanymi na dużą skalę lub kierowanymi na jeden konkretny cel. Phishing przeważnie łączy jednak jedna wspólna cecha – odwołują się one do emocji, często tych silnych/skrajnych.
„Dopłać 1,23 zł, bo Twoja paczka nie dojdzie”, „członek Twojej rodziny miał wypadek, potrzebne są pieniądze”, „iPhone za darmo tylko przez najbliższe 30 minut!” – wszystkie te sytuacje odwołują się do emocji. Dodatkowo wytwarzana jest tutaj aura pośpiechu, a jak wiadomo pośpiech nie sprzyja przemyślanym decyzją. Dla podniesienia skuteczności phishingu przestępcy starają się zmusić nas do podjęcia jak najszybszej decyzji. To właśnie wywoływane w nas uczucie strachu, presji wynikającej z uciekającego czasu nakłania nas do wpadnięcia „w sidła” cyberprzestępców.
Brak świadomości i zrozumienia zagrożenia, silne emocje i masowa skala to przepis na sukces phishingu. Nawet w przypadku tzw. ataku „targetowanego”, czyli ukierunkowanego na konkretną osobę czy firmę, phishing będzie prawdopodobnie najskuteczniejszą metodą. Rozesłanie dobrze przygotowanego, poprzedzonego rekonesansem phishingu do wszystkich pracowników firmy jest też dużo tańsze i łatwiejsze niż przełamywanie skomplikowanych zabezpieczeń. A przy odpowiednio dużej grupie osób zawsze znajdzie się przynajmniej jedna osoba, która np. kliknie w wysłany w mailu link. Taka osoba staje się tym samym furtką do wejścia do firmy dla atakujących.
Jak można bronić się przed phishingiem?
Osoby zawodowo zajmujące się bezpieczeństwem przeważnie są w tej kwestii zgodne – najskuteczniejszą metodą obrony jest świadomość użytkowników. Nie ważne ile pieniędzy wydalibyśmy na różnego typu systemy czy ile pracy poświęcilibyśmy filtrowaniu niechcianych maili – zawsze znajdzie się taki czy inny sposób na przeprowadzenie takiego ataku oraz użytkownik, który nieświadomie przyczyni się do jego skuteczności.
Dlatego właśnie do skutecznej obrony niezbędna jest edukacja w zakresie zrozumienia zagrożenia i jego rozpoznawania. Aby obronić się przez tego typu atakiem każdy z nas musi rozumieć na czym on polega i jakie zabiegi mogą stosować atakujący, aby uśpić naszą czujność. Nie da się bronić przed czymś, czego nie znamy. Dlatego też postaram się w możliwie najprostszych słowach przedstawić, na co powinniśmy zwracać uwagę, aby skutecznie bronić się przez phishingiem:
1. Phishing poprzez e-mail
- Zwracaj uwagę na adres e-mail, z którego otrzymujesz wiadomość – jeżeli wydaje się on podejrzany, nie otwieraj go!
- Nigdy nie otwieraj/pobieraj załączników, których otrzymania się nie spodziewałeś! Często spotykanymi zabiegami jest rozsyłanie złośliwych załączników o bardzo interesujących nazwach. Czy aby na pewno wszyscy oprą się pokusie otwarcia załącznika o nazwie „wynagrodzenie zarządu” czy „lista zwolnień listopad 2020”?
- Jeżeli masz jakiekolwiek wątpliwości co do pochodzenia wiadomości, potwierdź to z jej nadawcą. Koniecznie wykorzystaj do tego inny kanał komunikacji (np. telefon). Nie ma nic złego w upewnieniu się, czy wiadomość faktycznie pochodzi od wpisanego tam nadawcy poprzez kontakt np. telefoniczny
- Pamiętaj, że w poczcie elektronicznej, tak jak w papierowej, można podszyć się za każdego nadawcę. Wysyłając list nikt nie weryfikuje, czy na kopercie znajdują się faktycznie nasze dane. Wpisujemy jedynie dane adresata listu, a w lewym górnym rogu możemy podać dowolne dane. W mailu jest podobnie – to że adresem nadawcy jest jakiś mail, nie znaczy, że pochodzi on właśnie od niego!
- Zwracaj uwagę na język. Zagraniczni przestępcy często nie mówią biegle w naszym języku. Tak przygotowany phishing może zawierać typowe dla tłumaczonego (np. za pomocą google translate) tekstu błędy. Dzięki temu staje się prostszy do rozpoznania
- Weryfikuj, czy adres email na który odpowiadasz, jest taki sam, jak adres nadawcy. Przestępcy podszywając się pod nadawcę często ustawiają inny (swój) adres email do odpowiedzi. Wykorzystując przycisk „Odpowiedz”/”Reply” na używanej poczcie jako adresat wiadomości może zostać wpisany adres przestępcy, a nie nadawcy
2. Phishing poprzez SMS
- Nie klikaj w żadne linki, które wydają Ci się jakkolwiek podejrzane
- Pamiętaj, że tak samo jak w przypadku maili czy poczty, tutaj również można podszyć się pod innego nadawcę. Zwykle SMS-y od tego samego nadawcy wpadają nam do tego samego wątku. Dzięki temu od razu widzimy wcześniej wymieniane wiadomości z danym nadawcą, co jest wykorzystywane przez przestępców do wzbudzenia wiarygodności.
3. Vishing (phishing przez telefon)
- Nigdy nie podawaj żadnych danych podczas rozmowy telefonicznej, dopóki nie zweryfikujesz swojego odbiorcy!
- Jeżeli jest to możliwe poproś o kontakt mailowy – w ten sposób będziesz mógł zweryfikować swojego rozmówcę
- Nie ulegaj wytwarzanej przez rozmówcę presji rzekomo nagłej, pilnej sytuacji – ma to uśpić Twoją czujność
- Jeżeli ktoś próbuje Cię zweryfikować w trakcie rozmowy telefonicznej, przed podaniem swoich danych potwierdź tożsamość rozmówcy. Przykładowo, jeżeli otrzymujesz telefon z banku możesz poprosić o imię oraz nazwisko rozmówcy oraz oddział w którym pracuje. Poproś go o telefon np. za 15 minut, a w między czasie sam zadzwoń do placówki banku i zapytaj, czy taka osoba faktycznie tam pracuje.
4. Fałszywa strona internetowa
- Dokładnie zweryfikuj adres strony sprawdzając, czy nie ma tam np. literówek
- Uważaj na linki prowadzące do takich stron. Zamiast korzystać np. z linku w mailu, który ma prowadzić do logowania do banku, sam przejdź na taką stronę.
- Nie wierz w mit zielonej kłódki! To, że strona posiada zieloną kłódkę oznacza jedynie, że ruch jest tam szyfrowany (HTTPS) oraz że strona posiada ważny certyfikat SSL. To, że nikt nie może podsłuchać ruchu nie znaczy, że na drugim końcu siedzi osoba, która nie ma złych zamiarów.
Słowo końcowe
Tak jak wspominałem na początku, ten wpis był wyłącznie częścią teoretyczną. Na dniach pojawi się druga część przedstawiające praktyczną analizę różnego rodzaju phishingu. Mimo wszystko już teraz zachęcam do stosowania wyżej wymienionych reguł. Rozpoczęcie zwracania uwagę nawet na część z wyżej wymienionych punktów pozwoli na podniesienie poziomu naszego bezpieczeństwa. Jednocześnie w dłuższym okresie czasu weryfikacja wiadomości pod tym kątem stanie się naszym nawykiem. A nawyk do weryfikacji każdej wiadomości i pozostawania czujnym i nieufnym to już duża część sukcesu.
Coś jest dla Ciebie niezrozumiałe? Chciałbyś wyrazić opinię na temat artykułu? Znalazłeś jakiś błąd? Koniecznie daj mi o tym znać wysyłając maila lub wypełniając formularz!