Wiadomości e-mail podszywają się m.in. pod dostawców usług internetowych, firm obsługujących karty kredytowe, banków użytkownika oraz znanych stron internetowych. Oszuści zazwyczaj proszą o wykonanie konkretnej akcji np. pilnej aktualizacji konta i proszą o podanie prywatnych danych, takich jak numery kart kredytowych i hasła. Zdarzają się też ataki, gdzie magnesem jest jakaś atrakcyjna korzyść: zniżki, prezenty, darmowe wakacje, podwyżki pensji lub nagrody pieniężne.
Po otwarciu e-maila znajduje się w nim link URL przekierowujący użytkowników do innej witryny. Ta przekierowana witryna jest zmodyfikowana lub fałszywa. Po wejściu na tę witrynę użytkownicy są proszeni o podanie wrażliwych danych, które następnie są wysyłane do osoby przeprowadzającej atak phishingowy.
Phishing jest zazwyczaj wykorzystywany do wyłudzenia danych karty kredytowej i haseł. Za pośrednictwem wiadomości e-mail przekierowujących na fałszywe strony, oszuści mogą uzyskać interesujące ich informacje. Może być też wykorzystany do uzyskiwania większej ilości innych informacji, które pomogą zrealizować inny atak.
Czasami maile mogą również zawierać zainfekowane pliki. Uruchomienie tych plików umożliwia atakującym przejęcie kontroli nad komputerami użytkowników.
Phishing jest często wykorzystywany do uzyskania dostępu do sieci rządowych lub korporacyjnych i włączenia się w szerszy atak. Może służyć do dystrybucji złośliwego oprogramowania w zamkniętych środowiskach, uzyskania uprzywilejowanego dostępu do danych (szpiegostwo przemysłowe) i naruszać bezpieczeństwo pracowników, czasem też infekując ich prywatne urządzenia. Jeśli padniesz ofiarą ataku, możesz ponieść znaczne straty finansowe i wizerunkowe. W zależności od skali ataku, może on przerodzić się w incydent bezpieczeństwa, z którego organizacja będzie miała trudności w odzyskaniu kontroli np. nagle serwery firmowe staną się częścią botnetu, otworzą tylną furtkę do danych bez naszej wiedzy, zainstalują ransomware (zaszyfrują dane na komputerach żądając okupu).
Jak przeprowadzane są ataki phishingowe?
Sposoby przeprowadzania ataków phishingowych możemy wyjaśnić w poniższych nagłówkach:
Phishing za pośrednictwem poczty elektronicznej
Atakujący mogą stosować różne taktyki oszustwa, wykorzystując pocztę elektroniczną. Nawet jeśli atakujący oszuka jedynie niewielką część odbiorców, wysyłając tysiące wiadomości, i tak uzyska dostęp do cennych informacji i może ukraść znaczne kwoty pieniędzy.
Jak wspominaliśmy wcześniej taki mail może zawierać różnorakie „zachęty” do kliknięcia w złośliwy link: blokada konta, wymaganie aktualizacji danych, wielkie wygrane etc.
Oszuści mogą próbować sprawić, by wiadomość e-mail wyglądała na pochodzącą od firmy, z którą regularnie się kontaktujesz. Użytkownik dowiaduje się, że jego hasło wygasło i musi przejść na stronę internetową. Użytkownik wchodzi na fałszywą stronę internetową, przygotowaną wcześniej przez oszusta. Następnym krokiem jest prośba o podanie hasła. Używając Twojego hasła, oszust może z łatwością zbierać darowizny, przelewać pieniądze, wysyłać liczne wiadomości spam, publikować reklamy i wykonywać podobne działania w Twoim imieniu. Daleko nie musimy szukać bo w ten sposób wykorzystywane są np. zhackowane konta na Messenger/Facebook i nagle dostaje od kilku Twoich nieostrożnych znajomych kilka BLIKów za kilka minut „pracy”.
Takie wiadomości możesz też otrzymać na wszelkiej maści platformach handlowych np. OLX, OtoMoto i innych.
Czym jest Vishing?
Vishing to nazwa ataków phishingowych przeprowadzanych za pomocą telefonu. Po dokładnym zidentyfikowaniu celu, ofiara kontaktuje się bezpośrednio. W telefonicznych technikach vishingowych wykorzystywane są bodźce emocjonalne. Osoba jest informowana, że sprawa jest pilna i że zignorowanie jej może spowodować poważne szkody, takie jak utrata danych lub przerwanie usługi, co ją przeraża.
Rozbudza to jej ciekawość i zmusza do zaufania atakującym. Niestety, zestawy narzędzi do phishingu są opracowywane i sprzedawane w nielegalnej sieci Deep Web.
Przykładem takiego ataku może być fala SMSów od Binance pokroju „Zablokowana próba logowania dnia, o godzinie. To nie Ty? Zadzwoń:…”. Jest to o tyle niebezpieczne, że podszywając się pod nadawcę z którego przychodzą też „normalne” SMS’y z alertami może mocno wprowadzić w błąd i pchnąć nas w ręce oszustów, którzy czekają już po drugiej stronie słuchawki. Telefon nie rozpozna, że to fałszywy SMS i wrzuci to do jednego wątku z normalnymi wiadomościami co może uśpić czujność.
Jak możemy chronić się przed atakami phishingowymi?
Możesz chronić siebie lub swoją firmę przed atakami phishingowymi poprzez szkolenia użytkowników. Szkolenia wewnętrzne powinny obejmować wszystkich pracowników.
Pracownicy muszą zostać przeszkoleni, co robić po otrzymaniu wiadomości e-mail phishingowej i jak ją rozpoznać. Ćwiczenia symulacyjne mogą pomóc w stopniowej ocenie reakcji pracowników na ataki phishingowe.
Na stronie https://phishingquiz.withgoogle.com możesz się sprawdzić w rozpoznawaniu phishingu i doszkolić 🙂
Poniższe wskazówki pomogą Ci ustalić, czy otrzymana wiadomość e-mail jest próbą phishingu.
- Wiadomości zaczynające się od fraz takich jak „Witaj, kliencie banku X”,
- Wiadomości e-mail, w których żądane są Twoje dane osobowe,
- Wiadomości e-mail zawierające link z prośbą o kliknięcie w celu zaktualizowania swoich danych,
- Wiadomości e-mail wymagające pilnej odpowiedzi (te od szefa się nie liczą).
E-maile zawierające fałszywe linki mogą powodować poważne problemy, jeśli je otworzysz lub odpowiesz na nie. Nie klikaj linku, aby zweryfikować jego autentyczność. Zamiast tego sprawdź nazwę linku i upewnij się, że zaczyna się od HTTPS .
Aby chronić się przed atakami phishingowymi, twórz różne hasła, nigdy i nigdzie nie korzystając z tych samych. Wybieraj hasła trudne do odgadnięcia, zamiast używać dat takich jak data urodzenia czy ważne wydarzenia.
- Żadna instytucja ani organizacja nigdy nie poprosi o podanie danych osobowych za pośrednictwem poczty elektronicznej, dlatego nie należy odpowiadać na takie wiadomości,
- Jeśli nie wiesz, od kogo pochodzi wiadomość, zignoruj ją.
- Nie należy instalować ani uruchamiać oprogramowania z nieznanych lub nielegalnych źródeł,
- Należy korzystać z programów antywirusowych i antyspyware,
- Nawet na bezpiecznych stronach internetowych należy sprawdzić, czy strona ma politykę prywatności i jej reguły, zanim udostępnisz im swoje dane.
