Phishing - dlaczego wciąż dajemy się nabierać?

Chociaż o phishingu i oszustwach internetowych słyszymy od lat, wciąż dochodzi do skutecznych ataków na firmy, instytucje i użytkowników indywidualnych - ostatnio głośno zrobiło się o polskiej spółce Cenzin, należąca do Polskiej Grupy Zbrojeniowej, od której cyberoszuści mogli wyłudzić nawet 4 mln zł.

"Przede wszystkim mamy coraz nowsze i bardziej wyrafinowane metody atakujących" - ocenia Bartosz Kosiński, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe. Kiedyś napastnicy mogli uzyskać niezłe sumy za prosty mail z informacją o rzekomej wygranej na loterii. Chociaż takie maile nadal krążą w internecie, nie są już tak skuteczne jak kiedyś, bo dużo się o tym mówi. Pod tym względem społeczeństwo się edukuje. Problem w tym, że przestępcy wymyślają nowe formy ataków, na które użytkownicy nie są przygotowani.

Jednak historia za chwilę znowu zatoczy koło - to, co raz okazało się skutecznym sposobem na łatwy zarobek dla przestępców cybernetycznych, za chwilę stanie się popularne, a ludzie zaczną być na to wyczuleni - przekonuje Kosiński. "W końcu nie bez powodu posługujemy się określeniem 'wirus komputerowy' - to niekończąca się walka między coraz to bardziej zaawansowanymi programami antywirusowymi, a sposobami na obejście tych zabezpieczeń."

"Odpowiednie wyszkolenie pracowników jest ważne, ale z drugiej strony nie możemy od nich wymagać, aby każdego maila dokładnie sprawdzali i wnikliwie mu się przyglądali, bo efektywność ich pracy może drastycznie spaść. Bo prawda jest taka, że na dzień dzisiejszy im lepsze zabezpieczenia systemu, tym ciężej się w nim pracuje zwykłym pracownikom" - uważa przedstawiciel firmy Marken.

Cyberprzestępcy idą tam, gdzie są pieniądze

Z phishingiem muszą mierzyć się zarówno przedsiębiorstwa i instytucje sektora publicznego, jak i użytkownicy indywidualni. Pytanie, co jest dla cyberprzestępców bardziej opłacalne - pojedyncze ataki, ale o dużym potencjalnym zysku czy efekt skali - małe jednostkowe zyski, ale duży zasięg ataków.

Zdaniem Bartosza Kosińskiego sporo oszustów zaczyna od „czegoś małego”, zanim weźmie się za większą ofiarę. Zyski uzyskiwane w wyniku ataków na osoby prywatne zazwyczaj nie są tak duże jak w przypadku ataku na firmę, ale są za to stosunkowo łatwe do dobycia, z uwagi na lekceważenie zasad bezpieczeństwa. Przykładowo, wiele osób używa takich samych haseł zarówno w pracy, jak i w domu. "Jeżeli komuś udałoby się dostać do naszego prywatnego komputera i pobrać stamtąd hasła, może to umożliwić włamanie także do naszych firmowych danych, powodując naprawdę duże szkody" - przestrzega Kosiński.

Priorytetem dla oszustów pozostaje jednak atakowanie firm, instytucji i właśnie w tym gronie jest odnotowywana największa ilość ataków, zwłaszcza jeżeli chodzi o phishing: to najłatwiejszy sposób na uzyskanie nielegalnych, ale też i niemałych środków

- podkreśla Bartosz Kosiński. "Oszuści mają coraz lepsze pomysły na podszywanie się pod klientów czy usługodawców i nawet miesiącami przekierowują przelewy na swoje konto. Pozyskane dane niekoniecznie zostają pobrane z baz danych, ale na przykład od naszego usługodawcy czy klienta. Może się zdarzyć, że ktoś zabrał firmowy laptop do domu, by pracować zdalnie, i stamtąd, z niewłaściwie zabezpieczonej sieci domowej, te dany wyciekły."