Co to jest phishing?
Phishing jest naruszeniem bezpieczeństwa, w którym sprawca podszywa się pod prawdziwą firmę lub poważaną osobę w celu uzyskania prywatnych i poufnych informacji, takich jak numery kart kredytowych, osobiste numery identyfikacyjne (PIN) i hasła.
Phishing opiera się na podstępie technicznym i socjotechnice. Ma na celu zmanipulowanie ofiary i nakłonienie do podjęcia określonych działań w imieniu atakującego, np. kliknięcia złośliwego linku, pobrania i/lub otwarcia złośliwego załącznika do wiadomości e-mail czy ujawnienia informacji, które atakujący wykorzysta w przyszłym ataku.
Według wspólnego projektu, który prowadzi amerykańska Agencję ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), 90% wszystkich cyberataków rozpoczyna się od phishingu. Jednym z kluczowych powodów powszechności ataków phishingowych jest wszechstronność ataku i wysoki zwrot z inwestycji dla cyberprzestępców.
Aby zmniejszyć ryzyko związane z phishingiem, osoby fizyczne i organizacje muszą bardziej koncentrować się na edukacji na temat phishingu, wdrożyć solidne filtrowanie wiadomości e-mail, rozważyć korzystanie z zapobiegających phishingowi usług w chmurze i przestrzegać najlepszych praktyk dotyczących bezpiecznego zachowania w Internecie.
Jak działa phishing: Oznaki ataku phishingowego
W udanej próbie phishingu jednym z głównych celów oszusta jest zdobycie zaufania ofiary. Wykorzystuje więc zarówno taktyki techniczne, jak i psychologiczne, aby komunikacja z potencjalnymi ofiarami wyglądała na wiarygodną.
Aby zabezpieczyć się przed oszustwami phishingowymi, należy umieć rozpoznać wskazówki ataku phishingowego w wiadomościach mailowych, głosowych i tekstowych. Zawsze zachowuj szczególną ostrożność, gdy otrzymasz wiadomość z prośbą o podanie danych osobowych, takich jak dane logowania czy numery kart kredytowych lub ubezpieczenia społecznego. Głównym znakiem ostrzegawczym jest niespodziewana komunikacja i prośba o poufne informacje lub ich weryfikację. Rzetelne organizacje zwykle nie wysyłają takich próśb za pośrednictwem poczty elektronicznej, wiadomości tekstowych lub głosowych.
Jeśli dane kontaktowe nadawcy nie wyglądają dokładnie tak, jak powinny w przypadku rzetelnego źródła, jest to kolejny sygnał, który wskazuje na próbę phishingu. Phisherzy często używają mylących adresów e-mail, które na pierwszy rzut oka bardzo przypominają adresy prawdziwych podmiotów i numerów telefonów. Np. numer kierunkowy nie odpowiada temu, który posiada prawdziwa firma.
Niektórzy do przeprowadzania ataków wykorzystują jednak przejęte konta e-mail lub numery telefonów. Utrudnia to wykrycie rozbieżności w informacjach kontaktowych.
Dlatego przy ocenie autentyczności komunikacji warto wziąć pod uwagę też inne czynniki, takie jak treść wiadomości, jej wygląd i ogólny kontekst żądania. Każdą niespodziewaną komunikację, która wymaga weryfikacji poufnych informacji, należy traktować jako możliwą próbę phishingu.
Rodzaje i przykłady phishingu
Ataki phishingowe można dostosować w zależności od rodzaju ofiary i celu, jaki ma on wyegzekwować. Właśnie ta wszechstronność pozwala cyberprzestępcom wybrać medium komunikacyjne dopasowane do odbiorców i celów oraz zarzucić szeroką sieć, która zwiększa szanse na znalezienie podatnej ofiary, albo wąską, zaprojektowaną w celu złapania konkretnej osoby czy firmy.
Popularne rodzaje ataków phishingowych obejmują:
Phishing e-mail
Phishingowe wiadomości e-mail są najpopularniejszym rodzajem tego typu ataku. Oszust wysyła maila, który wydaje się pochodzić z rzetelnego źródła, takiego jak bank, firma obsługująca karty kredytowe lub agencja rządowa. Wiadomość ta często zawiera link, który po kliknięciu przenosi ofiarę na fałszywą stronę internetową, która przypomina prawdziwą. Gdy ofiara wprowadzi swoje dane logowania lub inne poufne informacje w takiej witrynie, oszuści mogą je ukraść.
Chatboty GenAI ułatwiły phisherom tworzenie wiadomości e-mail, które wyglądają tak, jakby pochodziły z rzetelnego źródła.
Oto kilka przykładów phishingowych wiadomości e-mail:
- Oszustwo na fakturę: Oszust wysyła maila, która wydaje się pochodzić od prawdziwej firmy, np. z branży użyteczności publicznej lub obsługującej karty kredytowe. Wiadomość ta zwykle zawiera informację, że ofiara ma niezapłaconą fakturę i prosi o kliknięcie łącza w celu uiszczenia opłaty. Link przenosi ofiarę na fałszywą stronę internetową, która wygląda jak prawdziwa. Gdy wprowadzi dane płatnicze na fałszywej stronie, oszuści je wykradają.
- Oszustwo na reset hasła: Oszust wysyła wiadomość e-mail, która wydaje się pochodzić od zwykłej firmy, takiej jak bank lub portal społecznościowy. Zawiera informację, że hasło ofiary zostało zresetowane. Prosi o kliknięcie linku w celu zmiany hasła. Link przenosi ofiarę na podrobioną stronę internetową, która wygląda jak prawdziwa. Gdy osoba wprowadzi nowe hasło, oszuści je przechwycą.
- Oszustwo na pomoc techniczną: Oszust wysyła e-mail, który wydaje się pochodzić od prawdziwej firmy zajmującej się pomocą techniczną. Wiadomość zawiera informację, że komputer ofiary działa nieprawidłowo i prosi o kontakt pod określonym numerem telefonu w celu uzyskania pomocy. Jeśli ofiara zadzwoni pod ten numer, połączy się z oszustem, który spróbuje przekonać ją do udzielenia mu zdalnego dostępu do jej komputera. Gdy go uzyska, wykradnie dane osobowe lub instaluje złośliwe oprogramowanie.
Spear phishing
Jest to bardziej ukierunkowany rodzaj ataku phishingowego, w którym atakujący tworzy komunikację specjalnie dostosowaną do ofiary. E-mail phishingowy może np. dotyczyć tematu, którym ofiara wykazała wcześniej zainteresowanie, ponieważ jest istotny dla jej pracy. Gdy do personalizacji wykorzystuje się sztuczną inteligencję (AI) i uczenie maszynowe (ML), zwiększa się prawdopodobieństwo, że wiadomość zostanie otwarta, a ofiara nabierze się na oszustwo.
Oto kilka przykładów oszustwa spear phishing:
- Ukierunkowane oszustwo e-mail: Oszust wysyła e-mail specjalnie dopasowany do danej ofiary. Wiadomość może zawierać imię i nazwisko ofiary, nazwę firmy lub inne dane osobowe. Personalizacja zwiększa prawdopodobieństwo otwarcia wiadomości, a ofiara wówczas łatwiej nabiera się na oszustwo.
- Atak Business Email Compromise (BEC): Oszust wysyła wiadomość e-mail, która wydaje się pochodzić od prawdziwego partnera biznesowego, np. sprzedawcy lub klienta. Zawiera prośbę o dokonanie płatności lub zmianę hasła. Oszust często wykorzystuje presję czasu, aby zmusić ofiarę do szybkiego działania.
- Oszustwo na autorytet: Oszust wysyła wiadomość e-mail, która wydaje się pochodzić od kierownika wysokiego szczebla, którego nazwisko ofiara prawdopodobnie zna. W wiadomości znajduje się prośba o przelanie pieniędzy na określone konto, zazwyczaj zagraniczne. W tym przypadku oszust również często wykorzystuje presję czasu, aby zmusić ofiarę do szybkiego działania.
Whaling
Ten rodzaj ataku spear phishing ma na celu wykorzystanie „grubej ryby”, takiej jak dyrektor finansowy (CFO) dużego przedsiębiorstwa lub inny członek kadry kierowniczej wyższego szczebla.
Oto kilka przykładów whalingu:
- Oszustwo na CEO: Oszust wysyła e-mail do wiceprezesa ds. finansów, który wydaje się pochodzić od dyrektora generalnego firmy. Wiadomość wzywa potencjalną ofiarę do natychmiastowego podjęcia określonych działań (w imieniu oszusta), które ostatecznie spowodują straty finansowe lub nieautoryzowane ujawnienie poufnych informacji.
- Oszustwo na sprzedawcę: Oszust wysyła wiadomość do wiceprezesa ds. zaopatrzenia, która wygląda tak, jakby pochodziła od kogoś, z kim firma ofiary prowadzi interesy. Fałszywy mail zawiera prośbę o autoryzację płatności za fakturę, która jest rzekomo „przeterminowana”, albo zmianę adresu dostawy dla dużego zamówienia.
- Oszustwo na wewnętrznego pracownika: Oszust celuje w wiceprezesa ds. sprzedaży i wysyła wiadomość e-mail mającą na celu nakłonienie go do podjęcia określonych działań, które zapewnią atakującemu dostęp do poufnych informacji o klientach.
Smishing
Ten rodzaj phishingu wykorzystuje wiadomości tekstowe SMS do komunikacji z ofiarą. Wiadomości tekstowe często zawierają link, po którego kliknięciu ofiara zostanie przeniesiona na fałszywą stronę internetową lub prośbę o podanie poufnych informacji.
Oto niektóre przykłady smishingu:
- Oszustwo na paczkę: Oszust wysyła wiadomość tekstową, która wydaje się pochodzić od firmy kurierskiej, takiej jak DPD lub InPost. W ten sposób informuje ofiarę, że czeka na nią paczka i prosi o kliknięcie linku w celu jej śledzenia. Łącze przenosi ofiarę na fałszywą stronę internetową, która wygląda jak prawdziwa witryna firmy spedycyjnej. Gdy ofiara wprowadzi tam swoje dane osobowe, oszuści je przechwycą.
- Oszustwo bankowe: Oszust wysyła wiadomość tekstową, która wygląda tak, jakby pochodziła od banku, takiego jak PKO BP czy mBank. Informuje w niej, że konto ofiary zostało przejęte i prosi o kliknięcie linku w celu weryfikacji danych. Link przenosi ofiarę na fałszywą stronę internetową, która wygląda jak prawdziwa strona banku. Gdy ofiara wprowadzi swoje dane logowania na fałszywej stronie, oszuści je wykradną.
- Oszustwo na reset hasła: Oszust wysyła wiadomość tekstową, która wydaje się pochodzić od popularnej firmy, takiej jak Allegro czy Amazon. Wiadomość informuje, że hasło ofiary zostało złamane i prosi o kliknięcie linku w celu dokonania zmiany. Łącze przenosi ofiarę na fałszywą stronę internetową, która wygląda jak prawdziwa. Gdy ofiara wprowadzi tam swoje stare hasło w celu jego zmiany na nowe, oszuści je wykradną.
Vishing (voice phishing)
Ten rodzaj phishingu jest przeprowadzany przez telefon. Atakujący używa własnego głosu lub głosu wygenerowanego przez AI, aby podszyć się pod przedstawiciela prawdziwej firmy lub organizacji.
Oto kilka przykładów voice phishingu:
- Oszustwo na wsparcie klienta: Oszust dzwoni do ofiary i twierdzi, że reprezentuje obsługę techniczną prawdziwej, rzetelnej firmy. Informuje, że jej komputer nie działa prawidłowo i prosi o pozwolenie na zdalny dostęp do urządzenia. Gdy oszust go uzyska, wykrada jej dane osobowe lub instaluje na nim malware.
- Podszywanie się pod rząd: Oszust dzwoni do ofiary i twierdzi, że pochodzi z podmiotu rządowego, np. urzędu podatkowego czy Zakładu Ubezpieczeń Społecznych. Informuje ofiarę, że zalega z płatnościami i prosi o spłatę przez telefon. W tego rodzaju phishingu oszust może używać gróźb lub zastraszania, aby zmusić atakowaną osobę do zapłaty.
- Oszustwo na loterię: Oszust dzwoni do ofiary i informuje ją, że wygrała nagrodę w loterii. Prosi ofiarę o podanie danych osobowych, takich jak numer ubezpieczenia społecznego czy konta bankowego, w celu odebrania nagrody. Następnie wykorzystuje zebrane informacje do kradzieży tożsamości lub pieniędzy.
Crypto phishing
Ten rodzaj oszustwa jest skierowany do inwestorów i osób handlujących kryptowalutami. Oszuści wysyłają wiadomości tekstowe lub e-mail, które wydają się pochodzić z prawdziwego źródła, takiego jak np. giełda kryptowalut czy dostawca portfela kryptowalutowego. Wiadomości te często zawierają link, po którego kliknięciu ofiara zostaje przeniesiona na fałszywą stronę internetową. Gdy ofiara wprowadzi na niej swoje dane logowania lub inne poufne informacje, oszuści mogą je wykraść.
Oto kilka przykładów crypto phishingu:
- Oszustwo na naruszenie zabezpieczeń: Oszust wysyła wiadomość e-mail, która wygląda, jakby nadawcą była giełda kryptowalut, ostrzegając ofiarę, że jej konto zostało naruszone. Znajduje się w niej też prośba o kliknięcie linku w celu weryfikacji konta. Link przenosi ofiarę na fałszywą stronę internetową, która wygląda jak prawdziwa strona giełdy. Gdy ofiara wprowadzi na niej swoje dane logowania, oszuści mogą je wykraść.
- Oszustwo na konkurs: Oszust wysyła wiadomość w mediach społecznościowych, która wydaje się pochodzić od celebryty lub influencera. Prosi w niej ofiarę o wysłanie kryptowaluty na określony adres, aby wziąć udział w konkursie lub rozdawaniu kryptowalut. Adres należy jednak do oszusta, a kryptowaluta ofiary zostanie skradziona.
- Oszustwo na sfałszowaną witrynę: Oszust tworzy fałszywą stronę internetową kryptowaluty, która wygląda jak prawdziwa strona giełdy lub dostawcy portfela. Następnie oszust reklamuje fałszywą witrynę w mediach społecznościowych lub na innych platformach. Gdy ofiary odwiedzają fałszywą witrynę i wprowadzają swoje dane logowania, oszuści mogą je wykraść.
Ataki watering hole
Ten rodzaj phishingu jest ukierunkowany na strony internetowe, które odwiedzane są przez profesjonalistów z określonej branży lub segmentu rynku.
Oto kilka przykładów oszustw typu watering hole:
- Oszustwo w mediach społecznościowych: Oszust włamuje się na forum branżowe lub stronę społecznościową, którą odwiedzają specjaliści z danej dziedziny. Gdy ofiary odwiedzą tę witrynę, ich urządzenia zostają zainfekowane złośliwym oprogramowaniem lub są wówczas przekierowywane na fałszywą stronę logowania, która rejestruje ich dane uwierzytelniające.
- Oszustwo na portalu pracowniczym: Oszust atakuje portal pracowniczy lub witrynę intranetową, do której pracownicy często uzyskują dostęp w celu zarządzania swoimi świadczeniami, przeglądania wypłat lub uzyskiwania dostępu do zasobów firmy. Naruszając ten portal, atakujący może potencjalnie ukraść dane logowania i dane osobowe pracowników, a nawet zainfekować ich urządzenia złośliwym oprogramowaniem. Informacje te mogą zostać wykorzystane do szpiegostwa korporacyjnego lub dalszych ataków sieci organizacji.
- Oszustwo na złośliwy VPN: Atakujący tworzy fałszywą stronę internetową, która oferuje dostęp do darmowych sieci VPN. Osoby, które zarejestrują się, aby korzystać z tych wirtualnych sieci prywatnych, są narażone na kradzież danych karty kredytowej, wyciek lub sprzedaż prywatnych zdjęć i filmów online oraz nagrywanie prywatnych rozmów i przesyłanie ich na serwer atakującego.
Malvertising
Ten rodzaj ataku phishingowego umieszcza złośliwe reklamy na zwykłych, rzetelnych stronach internetowych. Kiedy ofiary klikają reklamy, przenoszą się na fałszywą stronę internetową, która infekuje ich urządzenia złośliwym oprogramowaniem.
Oto kilka przykładów złośliwych reklam:
- Atak drive-by download: Ten rodzaj oszustwa polega na automatycznym zainstalowaniu złośliwego oprogramowania na komputerze użytkownika, gdy odwiedzi on stronę zainfekowaną złośliwym kodem. Malware może posłużyć do kradzieży danych osobowych, instalacji innego złośliwego oprogramowania lub przejęcia kontroli nad komputerem.
- Wyskakujące okienka ze złośliwymi reklamami: Ten rodzaj oszustwa polega na wyświetlaniu irytujących wyskakujących reklam na komputerze użytkownika. Reklamy mogą zawierać złośliwy kod, który przejmuje kontrolę nad przeglądarką ofiary lub umożliwia atakującemu poruszanie się po jej sieci i szukanie innych luk do wykorzystania.
- Clickjacking: Ten rodzaj oszustwa polega na nakłonieniu użytkownika do kliknięcia złośliwego linku lub przycisku na stronie internetowej. Link lub przycisk może wydawać się standardowy, ale w rzeczywistości ma na celu instalację malware lub kradzież danych osobowych.
Angler phishing
Ten rodzaj ataku phishingowego wykorzystuje jako wektor ataku popularne serwisy społecznościowe, takie jak Facebook i TikTok. Atakujący tworzy fałszywe konta w mediach społecznościowych, aby wchodzić w interakcje z prawdziwymi użytkownikami i zdobywać ich zaufanie. Ostatecznie wysyła bezpośrednią wiadomość (DM) lub publikuje na stronie coś, co zawiera link do strony phishingowej.
Przykłady angler phishingu:
- Wykorzystanie skarg w mediach społecznościowych: Podczas tego rodzaju oszustwa atakujący tworzy fałszywe konto w mediach społecznościowych, które wygląda jak prawdziwe konto obsługi klienta danej firmy. Następnie kontaktuje się z osobami, które opublikowały skargi dotyczące tej firmy w mediach społecznościowych i oferuje im „pomoc” w rozwiązaniu problemów. Następnie przekierowuje ofiarę na stronę phishingową, która prosi o podanie adresu e-mail, numeru telefonu lub innych danych osobowych. Te informacje atakujący wykorzystuje później do kradzieży tożsamości.
- Oszustwo na serwis społecznościowy: W tym oszustwie atakujący tworzy fałszywą platformę społecznościową, do której dostęp uzyskuje się dopiero po podaniu danych osobowych, takich jak imię i nazwisko, adres lub numer telefonu. Gdy oszust zbierze informacje o ofierze, użyje ich wraz z innymi danymi do popełnienia oszustwa lub kradzieży tożsamości.
- Oszustwo na zwrot pieniędzy: W tym oszustwie atakujący wysyła wiadomość e-mail lub SMS, która wydaje się pochodzić od prawdziwej firmy, np. z banku lub firmy obsługującej karty kredytowe. W wiadomości ofiara zostaje poinformowana, że należy jej się zwrot pieniędzy i otrzyma link umożliwiający jego odebranie. Ten link przeniesie ją jednak na fałszywą stronę internetową, która wygląda jak witryna danej firmy. Gdy ofiara wprowadzi swoje dane osobowe, atakujący może je wykraść.
Strategie psychologiczne w phishingu
Strategie phishingowe, które mają na celu nakłonienie ofiary do wykonania określonego działania, często wykorzystują ludzką psychologię. Gdy atakujący podszywa się pod zaufane podmioty, stwarza presję czasu lub odwołuje się do chęci ofiar do udzielenia pomocy czy przynależności do grupy, może wywołać impulsywne reakcje.
Choć taktyki techniczne, takie jak fałszowanie wiadomości e-mail, naśladowanie domeny lub dostarczanie złośliwego oprogramowania, są kluczowymi elementami, manipulacja psychologiczna często decyduje o sukcesie oszustwa. Jak na ironię, większość strategii stosowanych przez phisherów to dobrze znane techniki marketingowe.
Strategie psychologiczne wykorzystywane do przeprowadzania skutecznych ataków obejmują:
- Stworzenie presji czasu: Phisherzy często projektują swoją komunikację tak, aby ofiara działała pod presją czasu. Ludzie mają tendencję do nadawania priorytetu pilnym sprawom i są bardziej skłonni do impulsywnego działania, gdy dostrzegają ograniczenie czasowe.
- Wzbudzanie strachu: Atakujący w swojej wiadomości twierdzi, że konto ofiary zostanie zawieszone lub zostaną wobec niej podjęte kroki prawne, jeśli nie podejmie natychmiastowych działań. Osoby wystraszone wykazują większą skłonność do impulsywnych reakcji.
- Wzbudzanie ciekawości: Wiadomości atakującego mają na celu rozbudzenie ciekawości ofiary poprzez dostarczenie jej nieprawidłowych informacji lub kuszących szczegółów, które skłonią ją do kliknięcia linku lub otwarcia załącznika, aby dowiedzieć się więcej.
- Odwoływanie się do autorytetu: Komunikacja phishera często wydaje się pochodzić od osób wyższego szczebla, takich jak dyrektor generalny, administrator IT czy urzędnik państwowy.
- Odwoływanie się do czegoś znanego: Atakujący wykorzystuje zaufanie ofiary do znanej marki, organizacji lub osoby, aby stworzyć fałszywe poczucie bezpieczeństwa.
- Tworzenie poczucia niedoboru: Oszust tworzy wrażenie ekskluzywności lub ograniczonej dostępności, aby zmotywować ofiary do szybkiego podjęcia działań.
- Wzbudzanie poczucia winy: Wiadomości atakującego mogą też mieć na celu wzbudzenie w ofierze poczucia winy lub wstydu za niezastosowanie się do żądania, podkreślając, że nie jest to pierwsza wysłana wiadomość.
- Korzystanie z dowodów społecznych: Atakujący dostarcza fałszywe opinie, polecenia lub referencje, aby prośba o dane działanie wydawała się godna zaufania i potwierdzona przez innych ludzi.
- Zachęcanie do obopólnej korzyści: Atakujący może oferować ofierze coś o postrzeganej wartości (np. zniżkę lub gratis) w zamian za podjęcie przez nią pożądanego działania.
- Odwoływanie się do przeszłości: Wiadomość oszusta może zawierać prośbę zgodną z wcześniejszym działaniem ofiary, z którym jest już ona zaznajomiona.
- Odwoływanie się do przyjaźni: Atakujący czasami naśladuje styl pisania kolegi lub przyjaciela ofiary w celu obniżenia jej czujności.
- Wzbudzanie współczucia: Komunikacja oszusta może mieć na celu wzbudzenie współczucia u ofiary i chęci pomocy atakującemu w wydostaniu się z opresji.
- Wykorzystanie FOMO (Fear of Missing Out): Komunikacja atakującego czasem wykorzystuje strach ofiary przed przegapieniem okazji lub wydarzenia. Zazwyczaj oszust twierdzi, że do wzięcia udziału wymagane jest natychmiastowe działanie.
- Odwoływanie się do uprzedzeń grupowych: Komunikacja atakującego ma na celu wzbudzenie poczucia przynależności do grupy społecznej lub „grupy wewnętrznej”, z którą ofiara jest zaznajomiona. Phisher tworzy phishingowe wiadomości tekstowe lub e-mail, które wydają się pochodzić ze źródeł, które posiadają wspólną tożsamość lub cechy z ofiarą.
Techniczne taktyki stosowane w phishingu
Powyższe strategie psychologiczne w połączeniu z poniższymi taktykami technicznymi sprawiają, że ataki phishingowe są bardzo skuteczne. Gdy ofiary dadzą się nabrać na dany trik psychologiczny, często wpadają także w pułapkę techniczną ukrytą w phishingowych wiadomościach e-mail, vishingowych połączeniach telefonicznych i wiadomościach tekstowych SMS. (Uwaga od redaktora: Atakującym, którym brakuje umiejętności technicznych do przeprowadzenia ataku, mogą zakupić zestawy phishingowe w dark webie).
Strategie techniczne powszechnie stosowane w atakach phishingowych obejmują:
Spoofing wiadomości e-mail: Atakujący manipuluje tematami wiadomości e-mail, aby wyglądały na pochodzące z zaufanego źródła. E-mail spoofing ułatwiają mankamenty standardowego protokołu wysyłania wiadomości e-mail, Simple Mail Transfer Protocol (SMTP). SMTP nie wymaga od nadawców wiadomości e-mail weryfikacji poprawności adresu „Od”, który podają, co sprawia, że atakujący mogą stosunkowo łatwo sfałszować te informacje.
Manipulacja linkami: Atakujący wykorzystuje fałszywe linki w wiadomościach e-mail, aby skierować ofiary na złośliwe strony internetowe. Często osadzają fałszywe adresy URL w zaufanych subdomenach, aby ominąć filtry URL.
Domain Spoofing: Atakujący kupuje nazwy domen, które wydają się być rzetelne, ponieważ bardzo przypominają prawdziwe, dobrze znane nazwy domen.
Przejęcie subdomeny: Atakujący znajduje podatne na ataki subdomeny organizacji i przejmuje nad nimi kontrolę w celu hostowania stron phishingowych.
Ataki przez załącznik: Atakujący wysyła wiadomości phishingowe z załącznikami zawierającymi makra lub skrypty wykonujące złośliwy kod. W e-mailach zazwyczaj wykorzystują taktyki socjotechniczne mające na celu przekonanie odbiorcy do włączenia instrukcji makr lub złośliwych skryptów w załączniku.
Złośliwe przekierowania: Atakujący wykorzystuje ukryte elementy iframe lub JavaScript, aby przekierować ofiary z prawdziwych witryn na strony phishingowe.
Atak drive-by downloads: Atakujący wykorzystuje luki w przeglądarce lub oprogramowaniu ofiary, aby pobrać i zainstalować złośliwe oprogramowanie bez jej wiedzy.
Techniki maskowania: Atakujący wykorzystuje techniki kodowania lub maskowania w celu ukrycia złośliwego kodu w wiadomościach e-mail czy na stronach internetowych.
Dynamiczne ładowanie treści: Atakujący wykorzystuje usługę internetową lub framework JavaScript, taki jak React lub Angular, do tworzenia dynamicznych elementów, które nie są osadzona w kodzie strony internetowej. Dynamiczna zawartość generowana na bieżąco nie może zostać wykryta przez analizę statyczną.
Ataki oparte na JavaScript: Atakujący wstawia złośliwy kod JavaScript w wiadomościach e-mail lub na zaatakowanych stronach internetowych w celu dostarczenia złośliwego oprogramowania, które umożliwia atak ransomware.
Ataki Man-in-the-Middle (MitM): Atakujący przechwytuje komunikację między ofiarą a prawdziwą stroną internetową w celu uzyskania poufnych danych.
Eksfiltracja danych: Atakujący wysyła dane skradzione z urządzeń ofiar na serwer, który kontroluje, dzięki czemu mogą one zostać wykorzystane później.
Zbieranie danych: Atakujący tworzy fałszywe strony logowania do popularnych usług w celu przechwycenia nazw użytkowników, haseł i innych danych uwierzytelniających.
Przechwytywanie sesji (session hijacking): Atakujący kradnie aktywne sesyjne pliki cookie lub tokeny, aby podszyć się pod użytkownika i uzyskać nieautoryzowany dostęp do jego kont.
Tabnabbing: Atakujący wykorzystuje zaufanie użytkownika do kart przeglądarki, zastępując nieaktywne karty stronami phishingowymi.
Ataki homograficzne: Atakujący wykorzystuje w nazwach domen znaki Unicode, które wyglądają podobnie do znaków łacińskich, aby oszukać ofiary.
Content Spoofing (fałszowanie treści): Atakujący manipuluje treścią na zaatakowanej stronie internetowej, aby nakłonić odwiedzających do podjęcia działań dla niego korzystnych.
Przekierowanie wiadomości e-mail: Atakujący konfiguruje filtry poczty e-mail (reguły) na zainfekowanych kontach, które automatycznie przekazują poufne wiadomości do atakującego.
DNS Spoofing (zatruwanie DNS): Atakujący manipuluje rekordami DNS, aby przekierować użytkowników na fałszywe strony internetowe, gdy wprowadzają właściwe adresy URL.
Cross-Site Scripting (XSS): Atakujący implementuje złośliwy skrypt do kodu strony internetowej, który ma wykonać akcję w jego imieniu. XSS może być wykorzystywany do kradzieży plików cookie sesji, zawierających dane logowania lub inne poufne informacje, które pozwolą atakującemu podszyć się pod ofiarę.
Podszywanie się pod markę: Atakujący wyłudza poufne informacje od ofiary, wykorzystując jej zaufanie do konkretnej marki.
SQL Injection: Atakujący wprowadza specjalnie spreparowany kod SQL do pól wejściowych strony internetowej, aby uzyskać nieautoryzowany dostęp do baz danych, z których korzysta witryna. Chociaż SQL injection jest częściej kojarzone z naruszeniami danych i atakami na aplikacje internetowe, może być wykorzystywane także w atakach phishingowych w celu gromadzenia informacji lub dostarczania złośliwych ładunków.
Jak zapobiegać phishingowi?
Dzięki poufnym informacjom, uzyskanym w wyniku udanego oszustwa phishingowego, przestępcy mogą nie tylko wyrządzić szkody finansowe swoim ofiarom, ale także nadszarpnąć ich reputację osobistą i zawodową, której naprawa zajmie lata. Połączenie elementów psychologicznych i technicznych w atakach phishingowych zwiększa ich skuteczność oraz podkreśla znaczenie edukacji w zakresie cyberbezpieczeństwa, a także stosowania solidnych zabezpieczeń w celu przeciwdziałania tym zagrożeniom.
Zaleca się zachowanie poniższych środków ostrożności, aby chronić się przed phishingiem:
- Nigdy nie otwieraj załączników wiadomości e-mail, których się nie spodziewasz.
- Nigdy nie klikaj linków do wiadomości e-mail z prośbą o podanie danych osobowych.
- Weryfikuj adres URL przed jego kliknięciem poprzez najechanie na niego kursorem myszy, aby wyświetlić rzeczywisty adres docelowy. URL powinno się zgadzać.
- Nigdy nie klikaj linków rozpoczynających się od HTTP zamiast HTTPS.
- Ostrożnie podchodź do wszystkich połączeń telefonicznych z prośbą o podanie danych osobowych (PII) lub przelew środków z jednego konta na drugie.
- Nie odbieraj telefonów komórkowych od nieznanych numerów.
- Jeśli ktoś do ciebie zadzwoni z informacją, że reprezentuje podmiot rządowy lub inną prawdziwą firmę, rozłącz się i zadzwoń pod numer podany na oficjalnej stronie internetowej tego podmiotu lub firmy.
- Nigdy nie podawaj numerów kart kredytowych przez telefon.
- Zawsze zezwalaj na aktualizacje przeglądarek internetowych, systemów operacyjnych i aplikacji działających lokalnie na urządzeniach z dostępem do Internetu.
- Używaj zaktualizowanych narzędzi do zabezpieczenia komputera, takich jak oprogramowanie antywirusowe i zapory nowej generacji.
- Zweryfikuj numer telefonu podany w wiadomości e-mail przed wykonaniem połączenia.
- Używaj silnych haseł i uwierzytelniania dwuskładnikowego (2FA) dla wszystkich kont internetowych.
- Zgłaszaj podejrzenie oszustwa w firmie, pod którą podszywa się phisher, a także podmiotom rządowym, takim jak Federalna Komisja Handlu (FTC).
Jeśli ma to zastosowanie w twojej sytuacji, poproś zespół ds. technologii informacyjno-komunikacyjnych (ICT) o:
- przegląd i zmniejszenie liczby kont firmowych z dostępem do krytycznych danych i urządzeń;
- ograniczenie udostępniania haseł;
- zmniejszenie możliwości eskalacji uprawnień poprzez ograniczenie uprawnień dostępu;
- wdrożenie kontroli bezpieczeństwa, które uniemożliwią użytkownikom uruchamianie whoami i innych programów narzędziowych wiersza poleceń.
Oprogramowanie antyphishingowe
Program antyphishingowy można traktować jako zestaw narzędzi cyberbezpieczeństwa, który wykorzystuje szeroki zakres technik do identyfikacji i neutralizacji zagrożeń phishingowych. Oto kilka kluczowych cech i funkcji pakietów oprogramowania antyphishingowego:
- Filtrowanie wiadomości e-mail: Rozwiązania antyphishingowe często obejmują funkcje filtrowania wiadomości e-mail. Skanują przychodzące wiadomości pod kątem podejrzanych treści, a także analizują adresy nadawców, otrzymywane treści i osadzone w nich linki w celu identyfikacji prób phishingu. Adaptacyjne aplikacje do ochrony e-mail mogą wykrywać nietypowe zachowania i automatycznie ograniczać dostęp pracownika do wrażliwych danych i systemów.
- Analizy linków: Narzędzia te sprawdzają adresy URL w wiadomościach tekstowych i e-mail, aby zweryfikować ich wiarygodność. Porównują linki ze znanymi czarnymi listami złośliwych domen i sprawdzają ich reputację.
- Analizy treści: Ten rodzaj oprogramowania anti-phishing analizuje treść wiadomości e-mail i szuka wskazówek phishingu, takich jak błędy ortograficzne, podejrzane załączniki lub prośby o poufne informacje.
- Analiza zagrożeń w czasie rzeczywistym: Wiele usług antyphishingowych opiera się na wirtualnych układach odpornościowych z kanałami analizy zagrożeń w czasie rzeczywistym. Dzięki temu pozostają na bieżąco z pojawiającymi się zagrożeniami i taktykami phishingowymi. Pomaga to w szybkiej identyfikacji i blokowaniu nowych rodzajów kampanii phishingowych.
- Uczenie maszynowe i AI: Zaawansowany program anti phishing wykorzystuje algorytmy ML i AI, aby dostosować i poprawić swoje możliwości wykrywania zagrożeń. Może rozpoznawać wzorce wskazujące na ataki phishingowe nawet w przypadku wcześniej niewidocznych zagrożeń
Podczas gdy oprogramowanie antyphishingowe i usługi antyphishingowe w chmurze zapewniają potężną broń przeciwko cyberprzestępcom, należy pamiętać, że ludzka ostrożność wciąż pozostaje kluczowym elementem skutecznego cyberbezpieczeństwa. Żadne oprogramowanie nie zastąpi ostrożności, sceptycyzmu i świadomości zagrożeń.
Szkolenie w zakresie cyberbezpieczeństwa powinno iść w parze z rozwiązaniami antyphishingowymi, aby stworzyć solidną ochronę przed zagrożeniami.
Źródła
- Report Fraud
- How do I identify phishing scams and avoid becoming a victim? (HelpWithMyBank.gov)
- On the Internet: Be Cautious When Connected (FBI)
- General Information (Stop Ransomware)