arrow_back
search
close

Czym są ataki phishingowe?

Phishing to rodzaj ataku, za pomocą którego haker próbuje wyłudzić od ofiary wrażliwe informacje. Jego celem jest kradzież loginów, numerów kart kredytowych i wrażliwych informacji firmowych. Ponadto haker może próbować zainfekować komputer użytkownika oprogramowaniem malware.

Czym jest phishing?

Phishing to próba kradzieży za pośrednictwem połączonych urządzeń. Może on wykonywać różne działania ręcznie lub za pośrednictwem automatycznych narzędzi. Czasami obie metody są łączone w ten sposób, że pierwszy etap przeprowadza skrypt, którego celem jest uchylenie drzwi, przez które może wejść do akcji haker.

Terminu „phishing” po raz pierwszy użyto w 1994 r., kiedy grupa nastolatków ręcznie kradła numery kart kredytowych nieświadomych zagrożenia użytkowników aplikacji AOL. W 1995 r. nastolatkowie ci mieli już program o nazwie AOHell, który wykonywał pracę za nich. 

Od tamtej pory hakerzy nieustannie wymyślają coraz to nowsze sposoby kradzieży danych nieświadomych osób podłączonych do Internetu. Stworzyli wiele programów i rodzajów złośliwego oprogramowania, które są dziś powszechnie wykorzystywane. Niektóre z tych narzędzi zostały stworzone na potrzeby testów penetracyjnych, czyli „hakowania za pozwoleniem”. Jednak każde narzędzie może zostać wykorzystane do złych celów.

Z biegiem lat hakerzy stworzyli złośliwe oprogramowanie specjalnie przeznaczone do przeprowadzania ataków phishingowych. Jednym z takich programów jest PhishX, służący do kradzieży danych bankowych. Z jego pomocą przestępcy tworzą fałszywe strony internetowe banków, które wyglądają jak prawdziwe. Zmieniają tylko numer telefonu i adres e-mail. Kliknięcie łącza kontaktowego powoduje skontaktowanie użytkownika bezpośrednio z hakerami.

Z kolei Phishing Frenzy to narzędzie stworzone do testów penetracyjnych, które jest wykorzystywane do phishingu. Ten program jest popularny wśród hakerów ze względu na łatwość obsługi.

Kolejne narzędzie to Swetabhsuman8 do hakowania kont na Instagramie przez tworzenie fałszywych stron logowania. Zbiera loginy i hasła użytkowników próbujących się zalogować. 

Oprócz fałszywych witryn internetowych, narzędzi do phishingu i złośliwych stron logowania mających na celu kradzież danych użytkowników, hakerzy tworzą biura telefonicznej obsługi klienta pod numerem, który przesyłają w fałszywych wiadomościach e-mail lub SMS-ach albo podają na fałszywych stronach WWW.

Nowoczesne ataki typu ransomware są nakierowane na duże przedsiębiorstwa, które dają szansę na większe zyski. Zanim przeprowadzą właściwy atak, hakerzy często poświęcają bardzo dużo czasu na zdobywanie sieci ofiary krok po kroku. Tego typu wieloetapowy atak często zaczyna się od wysłania jednej phishingowej wiadomości elektronicznej.

Przykłady ataków phishingowych

Choć wyróżnia się kilka typów ataków phishingowych, najbardziej rozpowszechniony i najłatwiejszy do rozpoznania jest phishing e-mail. Stał się on bardziej zaawansowany, kiedy pojawiły się takie jego odmiany, jak spear phishing, whaling i ataki laserowe. Ponadto ataki typu phishing rozprzestrzeniły się z programów pocztowych do platform komunikacyjnych, takich jak komunikatorów tekstowych i mediów społecznościowych.

Wyróżnia się następujące typy ataków phishingowych:

  • Phishing e-mail – haker wysyła wiadomość elektroniczną zawierającą łącze, w celu wywołania zaciekawienia lub zaniepokojenia u użytkownika. Celem jest nakłonienie go do kliknięcia odnośnika.
  • Vishing – haker dzwoni na telefon tradycyjny, komórkowy lub usługę VoIP i próbuje wciągnąć użytkownika w rozmowę.
  • Smishing – przestępca wysyła wiadomość tekstową z prośbą o kliknięcie odnośnika lub oddzwonienie do nadawcy.
  • Pharming – kiedy ludzie nauczyli się rozpoznawać zagrożenie wynikające z klikania odnośników w podejrzanych wiadomościach e-mail, hakerzy wymyślili pharming. Ten rodzaj ataku polega na podsunięciu ofierze adresu URL z nadzieją, że skopiuje go i wklei wprost w pasku adresu przeglądarki, aby wejść na stronę internetową. Ataki typu pharming polegają na przechwyceniu lokalnego bufora DNS, który przenosi użytkownika w wybrane miejsce. Spreparowane łącze prowadzi do fałszywej strony WWW.
  • Spear phishing – haker wysyła specjalnie przygotowaną wiadomość e-mail do organizacji lub osoby indywidualnej. Wiadomości typu spear phishing są najczęściej wysyłane do dyrektorów lub pracowników działów finansowych.
  • Whaling – whaling jest podobny do spear phishingu, ale jego celem zazwyczaj są osoby z najwyższych stanowisk w firmach.

Ataki phishingowe online

Hakerzy uwielbiają wykorzystywać okazje nadarzające się w naszym internetowym świecie. W tym celu tworzą fałszywe strony WWW i strony logowania, za pomocą których zbierają wrażliwe dane. W ten sposób hakerzy nie tylko zdobywają numery kart kredytowych czy dane logowania do kont bankowych i mediów społecznościowych, lecz również zyskują możliwość zaatakowania znajomych lub współpracowników ofiary. Tak się dzieje, kiedy przestępca zdobędzie dostęp do czyjegoś konta i zacznie wysyłać wiadomości phishingowe do obserwujących, znajomych lub współpracowników tej osoby. Wielka popularność mediów społecznościowych sprawiła, że w ciągu ostatniej dekady metoda ta jest coraz częściej stosowana.

Jak zapobiegać atakom phishingowym

W tym względzie każdy może wiele zrobić we własnym zakresie. Przede wszystkim należy zachować ostrożność.

  • Zanim cokolwiek klikniesz, dokładnie przyjrzyj się otrzymanej wiadomości e-mail. Najedź kursorem na źródłowy adres e-mail lub łącze, które masz kliknąć. W ten sposób możesz odkryć informacje, które pozwolą Ci zorientować się, że to phishing.
  • Zanim wpiszesz wrażliwe dane na stronie internetowej, dokładnie sprawdź jej adres URL. Czy to jest prawdziwa strona WWW? Czy adres zawiera jakieś dodatkowe litery? Czy niektóre litery zostały zamienione na cyfry, np. O na 0? Czasami trudno jest je rozróżnić.
  • Dobrze się zastanów, zanim klikniesz cokolwiek we wpisie opublikowanym przez znajomego. Jeśli coś wygląda zbyt pięknie, by było możliwe, to właśnie tak jest.
  • Zastanów się, zanim odpowiesz na wpis informujący, że Twój znajomy ma kłopoty i potrzebuje pieniędzy. Czy na pewno kontaktowałby się z innymi właśnie w ten sposób?
  • Zastanów się zanim klikniesz cokolwiek w wyskakującym okienku.
  • Pomyśl zanim otworzysz załącznik do wiadomości e-mail. Czy spodziewałeś się załącznika od tej osoby? Jeśli nie, to spytaj jej, czy coś wysyłała.
  • Dobrze się zastanów zanim odpowiesz na wiadomość SMS. Jest mało prawdopodobne, że operator sieci, bank itp. skontaktują się z Tobą właśnie w ten sposób.
  • Nie podawaj swoich danych osobowych, jeśli nie masz absolutnej pewności, że rozmawiasz z osobą, której ufasz.
     

Po drugie chroń swoje konta. Hasło powinno mieć długość około 20 znaków lub więcej. Hasło nie musi zawierać wszystkich czterech rodzajów znaków (wielkie litery, małe litery, cyfry, symbole). Wystarczą dwa lub trzy, ale przy tworzeniu nowego hasła staraj się je jak najbardziej urozmaicić. Wiele osób ma problem z zapamiętywaniem haseł. Stwórz jedno długie hasło, które będziesz w stanie zapamiętać. Następnie wszystkie pozostałe hasła zapisz w menedżerze haseł, takim jak np. LastPass lub Password Safe.

Co najważniejsze, włącz uwierzytelnianie dwuskładnikowe (2FA) na wszystkich swoich kontach. Jeśli witryna oferuje możliwość otrzymywania jednorazowych haseł w wiadomości SMS, to taki sposób uwierzytelniania jest lepszy niż tylko użycie zwykłego hasła.

NIST (National Institute of Standards and Technology) już nie zaleca stosowania jednorazowych haseł przesyłanych w wiadomościach SMS. Lepszym rozwiązaniem jest tworzenie haseł jednorazowych za pomocą takich narzędzi, jak Google Authenticator, Microsoft Authenticator lub LastPass Authenticator. Poszukaj tych opcji w ustawieniach swoich kont.

Korzystaj z programów, które pomagają dostrzec to, co przeoczysz. Używaj zapory sieciowej, programu antywirusowego i narzędzi antyphishingowych. Mądrze wybieraj przeglądarkę internetową. Sprawdź, czy ta, której używasz, oferuje ochronę przed phishingiem. A może da się dodać taką funkcję za pomocą wtyczki? Jeśli nie ma takiej możliwości, wybierz inną przeglądarkę.

Obok powyższych rekomendacji dla pracowników, organizacja powinna także:

  • Używać bramki pocztowej do blokowania spamu oraz usuwania wiadomości zawierających podejrzane odnośniki lub załączniki.
  • Zainstalować filtr wiadomości phishingowych, aby pozbywać się e-maili od nieznanych nadawców zawierających podejrzaną treść.
  • Używać narzędzia uwierzytelniania poczty elektronicznej wykorzystującego protokół Domain-Based Message Authentication, Reporting, and Conformance (DMARC), aby ochronić się przed fałszerstwami adresu nadawcy wiadomości.
  • Wykorzystywać metody filtrowania oparte na sztucznej inteligencji, aby wykrywać wiadomości e-mail typu BEC. Wiadomości typu BEC są wysyłane przez osoby podszywające się pod kogoś z zarządu organizacji i najczęściej dotyczą przelewu środków z konta firmowego na konto hakera.
  • Aby chronić się przed atakami phishingowymi z wnętrza organizacji, należy wdrożyć zintegrowane rozwiązanie bezpieczeństwa.
  • Ponadto należy regularnie przeprowadzać symulacje ataków phishingowych i organizować szkolenia na ich temat, aby podnieść świadomość problemu wśród pracowników.

Powiązane artykuły

Zgłaszanie phishingu

Wczesny phishing

Jak złamano szyfrowanie metodą RSA

Zasady tworzenia haseł według NIST

Przykład smishingu

Powiązane badania

Phishing online

Rozpoznawanie i powstrzymywanie ataków phishingowych

Skradzione dane uwierzytelniające Apple

Szantaż seksualny

Testuj nasze usługi przez 30 dni

Zasoby

Wsparcie

O firmie Trend

Siedziba firmy

Trend Micro - Poland (PL)

Warsaw Trade Tower
Ul. Chlodna 51
00-867 Warszawa
Polska

Telefon: +48 800 112 5238

Wybierz kraj / region

close

Obie Ameryki

Bliski Wschód i Afryka

Europa

Azja i Pacyfik

Prywatność | Informacje prawne | Mapa witryny

Copyright ©2024 Trend Micro Incorporated. Wszelkie prawa zastrzeżone