Google szacuje, że co roku ofiarą phishingu pada ponad 12,3 mln osób. Pomimo faktu, że pierwsze ataki phishingowe odnotowano pod koniec ubiegłego wieku, a tradycyjne metody stopniowo schodzą na dalszy plan, ten rodzaj cyberoszustwa nadal stanowi dość poważne zagrożenie zarówno dla osób fizycznych, jak i firm.
Aby zminimalizować ryzyko stania się ofiarą phishingu, należy szczegółowo zapoznać się z tego rodzaju cyberoszustwami.
Co to jest phishing?
W zdecydowanej większości przypadków phishing to rozpowszechnianie listów w imieniu dość znanych firm o charakterze masowym. Takie wiadomości zwykle zawierają odsyłacz prowadzący do strony, która po wstępnej pobieżnej inspekcji nie różni się niczym od rzeczywistej. Wpisując poufne informacje w odpowiednich polach, które oszuści uzyskują za pomocą różnych sztuczek, użytkownik daje cyberprzestępcom dostęp do ich kont.
Jak to się wszystko zaczęło
Pierwsza wzmianka o phishingu związanym z AOL pojawiła się w 1996 roku.
Oszuści podszywając się pod pracowników firmy medialnej prosili użytkowników o podanie im haseł do kont, a po uzyskaniu dostępu wykorzystywali je do rozsyłania spamu. Dystrybucja do systemów płatności rozpoczęła się na początku XXI wieku, aw 2006 roku cyberoszuści dotarli do MySpace, kradnąc dane rejestracyjne użytkowników.
Cel phishingowy
Biorąc pod uwagę fakt, że ataki phishingowe mogą być przeprowadzane zarówno na osoby fizyczne, jak i na firmy, cele, do których dążą oszuści, również się różnią.
Tak więc w pierwszym przypadku celem jest uzyskanie dostępu do loginów i haseł, a także numerów kont użytkowników usług bankowych, a także systemów płatności i portali społecznościowych. Ponadto ataki phishingowe są często przeprowadzane w celu zainstalowania złośliwego oprogramowania na komputerze potencjalnej ofiary.
Wypłacanie kont, do których uzyskali dostęp oszuści, jest dość skomplikowanym procesem z technicznego punktu widzenia i znacznie łatwiej jest złapać osobę zaangażowaną w takie operacje.
Tym samym, po otrzymaniu informacji poufnych, oszust w zdecydowanej większości po prostu sprzedaje je innym osobom, korzystając ze sprawdzonych metod wypłaty środków z kont. W przypadku ataku phishingowego na firmę priorytetowym celem jest uzyskanie dostępu do konta jednego z pracowników, aby następnie zaatakować firmę jako całość.
Metody i schematy phishingu
Metoda inżynierii społecznej
W takim przypadku oszuści, podszywając się pod pracowników znanych firm, informują potencjalną ofiarę o konieczności aktualizacji danych osobowych lub ich udostępnienie, co zwykle tłumaczy się awarią lub utratą systemu.
Schemat ten wykorzystuje fakt, że ludzie zazwyczaj reagują na istotne zdarzenia, w związku z którymi organizatorzy ataku phishingowego starają się maksymalnie podniecić użytkownika, zmuszając go do natychmiastowego podjęcia akcji, której potrzebują oszuści. Powszechnie przyjmuje się, że list z frazą „przywrócić dostęp do konta, wejdź w link…” w nagłówku przyciąga uwagę użytkownika, zmuszając go do kliknięcia.
Proste oszustwo
Ten schemat, w którym oszuści wysyłają wiadomość e-mail w imieniu znanej firmy, w tym prośbę o skorzystanie z łącza, jest najczęstszy, umożliwiając rozesłanie milionów wiadomości spamowych w ciągu godziny. W celu kradzieży danych osobowych tworzone są strony phishingowe, które na pierwszy rzut oka nie różnią się od prawdziwych. W zdecydowanej większości przypadków używane są domeny, które różnią się od prawdziwych dosłownie jednym znakiem.
Wyłudzanie informacji za pomocą harpuna
W tym przypadku atak nie jest masowy, ale przeprowadzany jest na konkretną osobę. Zazwyczaj taki schemat służy do ominięcia ochrony firmy i przeprowadzenia ukierunkowanego ataku. Cyberoszuści wstępnie badają potencjalne ofiary za pomocą sieci społecznościowych, a także innych usług, dostosowując w ten sposób wiadomości, czyniąc je bardziej przekonującymi.
„Wielorybnictwo”
Podobną metodę stosuje się w ataku phishingowym na menedżerów najwyższego szczebla i kierownictwo firmy, a aby uzyskać maksymalne wyobrażenie o cechach osobistych potencjalnej ofiary, oszuści spędzają dużo czasu, próbując znaleźć najbardziej odpowiedni sposób kradzieży poufna informacja.
Dystrybucja wirusów
Często ataki phishingowe są wykorzystywane nie do kradzieży danych osobowych, ale do wyrządzenia szkody określonej grupie osób. W tym celu do wiadomości phishingowej wstawiany jest odsyłacz, którego kliknięcie powoduje pobranie szkodliwego programu na komputer ofiary, dzięki czemu można przejąć pełną kontrolę nad komputerem użytkownika.
Rolnictwo
Korzystając z tej metody, która jest dość nowa, oszuści uzyskują dane osobowe za pośrednictwem oficjalnych witryn internetowych. Taki phishing, w którym cyfrowy adres oficjalnej strony firmy na serwerze DNS zostaje sfałszowany, a użytkownik jest automatycznie przekierowywany na fałszywą stronę, jest znacznie bardziej niebezpieczny niż tradycyjne metody, ponieważ w tym przypadku fałszerstwa po prostu nie można zobaczyć. Ebay i PayPal już ucierpiały z powodu takiego schematu phishingu.
Vishing
W takim przypadku wykorzystywana jest komunikacja telefoniczna, a sam numer telefonu, na który należy zadzwonić, aby wyeliminować „problem”, jest wskazany w piśmie o charakterze powiadomienia. Co więcej, już bezpośrednio w trakcie rozmowy telefonicznej oszuści proszą użytkownika o podanie danych identyfikacyjnych w celu jak najszybszego rozwiązania problemu.
Jak chronić się przed phishingiem
Przede wszystkim powinieneś dowiedzieć się, jak samemu obliczyć phishing, a gdy otrzymasz listy z prośbą o „weryfikację” konta, natychmiast skontaktuj się z firmą w celu uwierzytelnienia wiadomości.
Zamiast korzystać z hiperłączy, należy ręcznie wprowadzić adres URL firmy w przeglądarce. Zdecydowana większość wiadomości pochodzących z prawdziwych usług zawiera pewne informacje, które nie są dostępne dla początkujących phisherów, takie jak imię i nazwisko czy ostatnie cyfry konta, chociaż to tylko nieznacznie zmniejsza ryzyko. Warto zauważyć, że odsyłacz do strony phishingowej może również znajdować się w wiadomościach od znajomych, których konta zostały zhakowane.
Techniczne metody minimalizacji ryzyka
Wiele przeglądarek już ostrzega internautów przed zagrożeniami typu phishing, dla których prowadzą własne listy takich stron. Usługi pocztowe również walczą, ulepszając filtry antyspamowe i analizując wiadomości phishingowe. Duże firmy w celu minimalizacji zagrożeń komplikują procedury autoryzacyjne i poprawiają ochronę danych osobowych.
Ekspert ds. bezpieczeństwa informacji, Michaił Tereshkov, reprezentujący JSC ER-Telecom Holding, podaje kilka dość prostych, ale skutecznych metod ochrony przed phishingiem. Należy zwrócić szczególną uwagę na to, czy witryna posiada certyfikat bezpieczeństwa, który wygląda jak https, a także zmienić domyślne hasła routera. Dokonując zakupów lepiej nie korzystać z publicznego Wi-Fi, a płacąc w nieznanym sklepie internetowym, zbierz więcej informacji na jego temat.
Wyjście
Biorąc pod uwagę fakt, że cyberataki od dawna wkroczyły w nasze życie, wykwalifikowana ochrona przed cyberprzestępcami stała się jednym z głównych zadań korporacji rozwijających usługi e-commerce, jednak zwykli użytkownicy nie powinni zapominać o środkach, które mogą zminimalizować ryzyko wpadki pułapka przestępców.
