Phishing to rodzaj ataku, za pomocą którego haker próbuje wyłudzić od ofiary wrażliwe informacje. Jego celem jest kradzież loginów, numerów kart kredytowych i wrażliwych informacji firmowych. Ponadto haker może próbować zainfekować komputer użytkownika oprogramowaniem malware.
Spis treści
Czym jest phishing?
Phishing to próba kradzieży za pośrednictwem połączonych urządzeń. Może on wykonywać różne działania ręcznie lub za pośrednictwem automatycznych narzędzi. Czasami obie metody są łączone w ten sposób, że pierwszy etap przeprowadza skrypt, którego celem jest uchylenie drzwi, przez które może wejść do akcji haker.
Terminu „phishing” po raz pierwszy użyto w 1994 r., kiedy grupa nastolatków ręcznie kradła numery kart kredytowych nieświadomych zagrożenia użytkowników aplikacji AOL. W 1995 r. nastolatkowie ci mieli już program o nazwie AOHell, który wykonywał pracę za nich.
Od tamtej pory hakerzy nieustannie wymyślają coraz to nowsze sposoby kradzieży danych nieświadomych osób podłączonych do Internetu. Stworzyli wiele programów i rodzajów złośliwego oprogramowania, które są dziś powszechnie wykorzystywane. Niektóre z tych narzędzi zostały stworzone na potrzeby testów penetracyjnych, czyli „hakowania za pozwoleniem”. Jednak każde narzędzie może zostać wykorzystane do złych celów.
Z biegiem lat hakerzy stworzyli złośliwe oprogramowanie specjalnie przeznaczone do przeprowadzania ataków phishingowych. Jednym z takich programów jest PhishX, służący do kradzieży danych bankowych. Z jego pomocą przestępcy tworzą fałszywe strony internetowe banków, które wyglądają jak prawdziwe. Zmieniają tylko numer telefonu i adres e-mail. Kliknięcie łącza kontaktowego powoduje skontaktowanie użytkownika bezpośrednio z hakerami.
Z kolei Phishing Frenzy to narzędzie stworzone do testów penetracyjnych, które jest wykorzystywane do phishingu. Ten program jest popularny wśród hakerów ze względu na łatwość obsługi.
Kolejne narzędzie to Swetabhsuman8 do hakowania kont na Instagramie przez tworzenie fałszywych stron logowania. Zbiera loginy i hasła użytkowników próbujących się zalogować.
Oprócz fałszywych witryn internetowych, narzędzi do phishingu i złośliwych stron logowania mających na celu kradzież danych użytkowników, hakerzy tworzą biura telefonicznej obsługi klienta pod numerem, który przesyłają w fałszywych wiadomościach e-mail lub SMS-ach albo podają na fałszywych stronach WWW.
Nowoczesne ataki typu ransomware są nakierowane na duże przedsiębiorstwa, które dają szansę na większe zyski. Zanim przeprowadzą właściwy atak, hakerzy często poświęcają bardzo dużo czasu na zdobywanie sieci ofiary krok po kroku. Tego typu wieloetapowy atak często zaczyna się od wysłania jednej phishingowej wiadomości elektronicznej.
Przykłady ataków phishingowych
Choć wyróżnia się kilka typów ataków phishingowych, najbardziej rozpowszechniony i najłatwiejszy do rozpoznania jest phishing e-mail. Stał się on bardziej zaawansowany, kiedy pojawiły się takie jego odmiany, jak spear phishing, whaling i ataki laserowe. Ponadto ataki typu phishing rozprzestrzeniły się z programów pocztowych do platform komunikacyjnych, takich jak komunikatorów tekstowych i mediów społecznościowych.
Wyróżnia się następujące typy ataków phishingowych:
- Phishing e-mail – haker wysyła wiadomość elektroniczną zawierającą łącze, w celu wywołania zaciekawienia lub zaniepokojenia u użytkownika. Celem jest nakłonienie go do kliknięcia odnośnika.
- Vishing – haker dzwoni na telefon tradycyjny, komórkowy lub usługę VoIP i próbuje wciągnąć użytkownika w rozmowę.
- Smishing – przestępca wysyła wiadomość tekstową z prośbą o kliknięcie odnośnika lub oddzwonienie do nadawcy.
- Pharming – kiedy ludzie nauczyli się rozpoznawać zagrożenie wynikające z klikania odnośników w podejrzanych wiadomościach e-mail, hakerzy wymyślili pharming. Ten rodzaj ataku polega na podsunięciu ofierze adresu URL z nadzieją, że skopiuje go i wklei wprost w pasku adresu przeglądarki, aby wejść na stronę internetową. Ataki typu pharming polegają na przechwyceniu lokalnego bufora DNS, który przenosi użytkownika w wybrane miejsce. Spreparowane łącze prowadzi do fałszywej strony WWW.
- Spear phishing – haker wysyła specjalnie przygotowaną wiadomość e-mail do organizacji lub osoby indywidualnej. Wiadomości typu spear phishing są najczęściej wysyłane do dyrektorów lub pracowników działów finansowych.
- Whaling – whaling jest podobny do spear phishingu, ale jego celem zazwyczaj są osoby z najwyższych stanowisk w firmach.
Ataki phishingowe online
Hakerzy uwielbiają wykorzystywać okazje nadarzające się w naszym internetowym świecie. W tym celu tworzą fałszywe strony WWW i strony logowania, za pomocą których zbierają wrażliwe dane. W ten sposób hakerzy nie tylko zdobywają numery kart kredytowych czy dane logowania do kont bankowych i mediów społecznościowych, lecz również zyskują możliwość zaatakowania znajomych lub współpracowników ofiary. Tak się dzieje, kiedy przestępca zdobędzie dostęp do czyjegoś konta i zacznie wysyłać wiadomości phishingowe do obserwujących, znajomych lub współpracowników tej osoby. Wielka popularność mediów społecznościowych sprawiła, że w ciągu ostatniej dekady metoda ta jest coraz częściej
Jak zapobiegać atakom phishingowym
W tym względzie każdy może wiele zrobić we własnym zakresie. Przede wszystkim należy zachować ostrożność.
- Zanim cokolwiek klikniesz, dokładnie przyjrzyj się otrzymanej wiadomości e-mail. Najedź kursorem na źródłowy adres e-mail lub łącze, które masz kliknąć. W ten sposób możesz odkryć informacje, które pozwolą Ci zorientować się, że to phishing.
- Zanim wpiszesz wrażliwe dane na stronie internetowej, dokładnie sprawdź jej adres URL. Czy to jest prawdziwa strona WWW? Czy adres zawiera jakieś dodatkowe litery? Czy niektóre litery zostały zamienione na cyfry, np. O na 0? Czasami trudno jest je rozróżnić.
- Dobrze się zastanów, zanim klikniesz cokolwiek we wpisie opublikowanym przez znajomego. Jeśli coś wygląda zbyt pięknie, by było możliwe, to właśnie tak jest.
- Zastanów się, zanim odpowiesz na wpis informujący, że Twój znajomy ma kłopoty i potrzebuje pieniędzy. Czy na pewno kontaktowałby się z innymi właśnie w ten sposób?
- Zastanów się zanim klikniesz cokolwiek w wyskakującym okienku.
- Pomyśl zanim otworzysz załącznik do wiadomości e-mail. Czy spodziewałeś się załącznika od tej osoby? Jeśli nie, to spytaj jej, czy coś wysyłała.
- Dobrze się zastanów zanim odpowiesz na wiadomość SMS. Jest mało prawdopodobne, że operator sieci, bank itp. skontaktują się z Tobą właśnie w ten sposób.
- Nie podawaj swoich danych osobowych, jeśli nie masz absolutnej pewności, że rozmawiasz z osobą, której ufasz.
Po drugie chroń swoje konta. Hasło powinno mieć długość około 20 znaków lub więcej. Hasło nie musi zawierać wszystkich czterech rodzajów znaków (wielkie litery, małe litery, cyfry, symbole). Wystarczą dwa lub trzy, ale przy tworzeniu nowego hasła staraj się je jak najbardziej urozmaicić. Wiele osób ma problem z zapamiętywaniem haseł. Stwórz jedno długie hasło, które będziesz w stanie zapamiętać. Następnie wszystkie pozostałe hasła zapisz w menedżerze haseł, takim jak np. LastPass lub Password Safe.
Co najważniejsze, włącz uwierzytelnianie dwuskładnikowe (2FA) na wszystkich swoich kontach. Jeśli witryna oferuje możliwość otrzymywania jednorazowych haseł w wiadomości SMS, to taki sposób uwierzytelniania jest lepszy niż tylko użycie zwykłego hasła.
NIST (National Institute of Standards and Technology) już nie zaleca stosowania jednorazowych haseł przesyłanych w wiadomościach SMS. Lepszym rozwiązaniem jest tworzenie haseł jednorazowych za pomocą takich narzędzi, jak Google Authenticator, Microsoft Authenticator lub LastPass Authenticator. Poszukaj tych opcji w ustawieniach swoich kont.
Korzystaj z programów, które pomagają dostrzec to, co przeoczysz. Używaj zapory sieciowej, programu antywirusowego i narzędzi antyphishingowych. Mądrze wybieraj przeglądarkę internetową. Sprawdź, czy ta, której używasz, oferuje ochronę przed phishingiem. A może da się dodać taką funkcję za pomocą wtyczki? Jeśli nie ma takiej możliwości, wybierz inną przeglądarkę.
Obok powyższych rekomendacji dla pracowników, organizacja powinna także:
- Używać bramki pocztowej do blokowania spamu oraz usuwania wiadomości zawierających podejrzane odnośniki lub załączniki.
- Zainstalować filtr wiadomości phishingowych, aby pozbywać się e-maili od nieznanych nadawców zawierających podejrzaną treść.
- Używać narzędzia uwierzytelniania poczty elektronicznej wykorzystującego protokół Domain-Based Message Authentication, Reporting, and Conformance (DMARC), aby ochronić się przed fałszerstwami adresu nadawcy wiadomości.
- Wykorzystywać metody filtrowania oparte na sztucznej inteligencji, aby wykrywać wiadomości e-mail typu BEC. Wiadomości typu BEC są wysyłane przez osoby podszywające się pod kogoś z zarządu organizacji i najczęściej dotyczą przelewu środków z konta firmowego na konto hakera.
- Aby chronić się przed atakami phishingowymi z wnętrza organizacji, należy wdrożyć zintegrowane rozwiązanie bezpieczeństwa.
- Ponadto należy regularnie przeprowadzać symulacje ataków phishingowych i organizować szkolenia na ich temat, aby podnieść świadomość problemu wśród pracowników.
Często zadawane pytania (FAQ)
Czym są ataki phishingowe?
Ataki phishingowe wykorzystują fałszywe wiadomości lub strony internetowe, aby nakłonić użytkowników do ujawnienia danych logowania lub poufnych informacji.
Czy ataki phishingowe mają inny wpływ na małe firmy niż na duże przedsiębiorstwa?
Ataki phishingowe często powodują większe straty finansowe, przestoje i utratę reputacji wśród małych firm, ponieważ nie dysponują one takimi samymi zasobami w zakresie cyberbezpieczeństwa.
Jaka jest różnica między phishingiem a pharmingiem?
Phishing nakłania ofiary do udostępniania wrażliwych informacji. Pharming potajemnie przekierowuje użytkownika z prawdziwej witryny do fałszywej.
Czy ataki phishingowe mogą ominąć uwierzytelnianie dwuskładnikowe (2FA)?
Tak. Zestaw do phishingu może przechwycić kod jednorazowy lub wykorzystać odwrotny serwer proxy do przejęcia sesji logowania, co w praktyce pozwala ominąć uwierzytelnianie dwuskładnikowe.
Jaki jest przykład prawdziwej wiadomości phishingowej?
Fałszywa wiadomość e-mail od Amazon z informacją, że konto zostało zawieszone i z prośbą o kliknięcie łącza w celu weryfikacji konta, jest przykładem phishingu.
W jaki sposób cyberprzestępcy wykorzystują sztuczną inteligencję lub deepfake’i w atakach phishingowych?
Przestępcy wykorzystują sztuczną inteligencję do pisania ukierunkowanych, wiarygodnych wiadomości lub tworzenia fałszywych głosów lub filmów, które wyglądają i brzmią jak ktoś, kogo odbiorca zna.
Które branże są najczęściej celem ataków phishingowych?
Do branż najczęściej atakowanych przez phisherów należą sektor usług finansowych, opieka zdrowotna oraz handel detaliczny, ponieważ przechowują one duże ilości danych klientów i informacji dotyczących płatności.
W jaki sposób użytkownicy urządzeń mobilnych mogą chronić się przed phishingiem?
Użytkownicy urządzeń mobilnych powinni weryfikować nadawców wiadomości, korzystać z aplikacji zabezpieczających, aktualizować swoje urządzenia i przeglądarki oraz unikać klikania podejrzanych linków.
Jak długo organizacje potrzebują do wykrycia ataku phishingowego?
Wykrycie ataku phishingowego może zająć tygodnie lub miesiące, ponieważ często staje się on widoczny dopiero po nadużyciu danych logowania lub zauważeniu podejrzanej aktywności.
Jakie konsekwencje prawne wiążą się z atakami phishingowymi?
Konsekwencje prawne dla sprawców ataków phishingowych obejmują grzywny, karę pozbawienia wolności, konfiskatę mienia, a nawet ekstradycję.
Jaką rolę odgrywają zabezpieczenia DNS w zapobieganiu phishingowi?
Zabezpieczenia DNS uniemożliwiają użytkownikom dostęp do znanych złośliwych domen lub fałszywych stron internetowych oraz obsługują protokoły uwierzytelniające, takie jak DMARC, SPF i DKIM, służące do weryfikacji nadawców.