Phishing - czym jest, jak działa i jak go uniknąć?

Phishing to metoda wyłudzania danych poprzez spreparowane e-maile i witryny www. Oto, co musisz wiedzieć na ten temat.


Phising - definicja

Phishing to cyberatak, który wykorzystuje e-mail jako broń. Celem ataku jest takie oszukanie użytkownika, aby uwierzył, że wiadomość zawiera polecenie, które musi koniecznie wykonać - na przykład zapłacić rachunek czy potwierdzić płatność. Zazwyczaj taki e-mail zawiera dokument w załączniku - ma to skłonić ofiarę do kliknięcia na znajdujący się tam plik. Oczywiście nie jest to ani prawdziwa wiadomość, ani też ważny plik - kliknięcie w niego (lub link w treści e-maila) prowadzi w prosty sposób do infekcji systemu. Najczęściej atakujący udaje jakąś instytucję, jak bank czy dostawcę usług telekomunikacyjnych. Jest to jeden z najstarszych rodzaj ataków - odnotowano go już w latach 90-tych. Od tego okresu przeszedł długą, niebezpieczną ewolucję.

Zauważmy, że angielskie słowo "phish" kojarzy się z "fish" (ryba). Jest w tym pewna analogia, ponieważ e-mail phishingowy jest haczykiem, na który mamy się złapać. We wspomnianych latach 90-tych hakerzy wykorzystywali tę metodę, aby wydobywać loginy i hasła użytkowników AOL. Z kolei przedrostek "ph" pochodzi od "phone freaking" (jest to metoda łamania zabezpieczeń sieci telefonicznych, najczęściej w celu uzyskania połączenia darmowego lub tańszego niż tradycyjne).

Najbardziej znane ataki phishingowe w historii:

  • jeden z najgłośniejszych miał miejsce w 2016 roku; hakerzy przejęli konto Gmail szefa kampanii prezydenckiej Hillary Clinton
  • słynna afera fappening wydarzyła się głównie przez problemy z mechanizmami bezpieczeństwa serwerów Apple iCloud, ale nie byłaby możliwa również bez serii udanych ataków phishingowych
  • w 2016 pracownicy Uniwersytetu Kansas odpowiedzieli na fałszywe e-maile, co skutkowało przejęciem informacji o numerach kont i skierowaniu przelewów wypłat na konta hakerów

Co to jest phishing kit?

Dostępność zestawów do tworzenia phishingu, czyli phishing kit, pozwala nawet średnio uzdolnionemu cyberprzestępcy na stworzenie kampanii phishingowej. Zestaw taki zawiera zasoby i narzędzia niezbędne do stworzenia fałszywej strony, którą wystarczy tylko zainstalować na serwerze. Po tej czynności wystarczy tylko wysyłać maile do potencjalnych ofiar - kolosalne listy mailingowe są dostępne w dark webie. Na stronach Phishtank oraz OpenPhish można znaleźć listę znanych zestawów tego typu. Obecnie istnieje ich ok. 3200.

Phishing - rodzaje

Generalnie kampanie phishingowe dzielą się na dwa rodzaje:

  • wyłudzanie ważnych danych - w treści wiadomości znajduje się informacja, mająca skłonić ofiarę do podania loginu i/lub hasła do serwisu, usługi, bankowości, itp. Najczęściej jest stylizowana w formie prawdziwych informacji tego typu, jednak gdy sprawdzamy nadawcę, wyświetlają się dziwne adresy, nie mające nic wspólnego ze zwykłymi adresami od banku; jeśli poda się jakiekolwiek dane, przestępca natychmiast je wykorzysta
  • pobieranie malware - w załączniku znajduje się plik, najczęściej udający archiwum .zip lub dokument MS Office. Tak naprawdę jest to złośliwy kod - często służy do instalacji na maszynie ofiary ransomware. Jak podają statystyki, 93% zanotowanych ataków tego typu odbyło się właśnie poprzez fałszywy załącznik e-mail

Wyłudzanie informacji może także skłonić ofiarę do przejścia na spreparowaną stronę, gdzie podaje swoje dane logowania. Oto lista najpopularniejszych "nadawców" w I kwartale 2019 roku. To właśnie pod nich poszywają się przestępcy:

Gdy atakujący tworzy mail pod kątem specyficznego odbiorcy, jest to tzw. "spear phishing". Odbiorca ten jest zidentyfikowany za pomocą serwisu społecznościowego, w którym się udziela. Np. zdobycie z LinkedIn informacji o tym, gdzie pracuje dana osoba, może stworzyć maila wyglądającego niczym przesłany z działu księgowego jego firmy.

Whaling - lub whale phishing - to phishing mający na celu "grube ryby", czyli szefów i menadżerów wysokiego szczebla. Wielu z nich używa często do korespondencji biznesowych swoich prywatnych kont e-mail, które nie są tak dobrze chronione, jak korporacyjna poczta. Zebranie informacji w ilości wystarczającej do oszustwa może zająć sporo czasu, jednak w zamian da konkretne korzyści. W 2008 roku cybeprzestępcy przeprowadzili zmasowany atak na pracowników korporacji wyższego szczebla, udając FBI. W przesyłanych załącznikach znajdował się keylogger - został zainstalowany na 2 tysiącach maszyn.

Phishing - jak go uniknąć?

Najlepszym sposobem na uniknięcie phishingu jest podchodzenie z dużą ostrożnością do otrzymywanych e-mail - zwłaszcza tych, które dotyczą ważnych spraw. Jak pokazują statystyki, w przypadku mediów społecznościowych przestępcy podszywają się pod: LinkedIn (tematy maili: nowa wiadomość prywatna, zaproszenie do znajomych, prośba o dołączenie do sieci), Facebook (tematy: zmiana hasła, informacja o oznaczeniu w czyimś zdjęciu), Instagram (oznaczenie na czyimś zdjęciu). Oprócz tego popularne tematy maili phishingowych to:

  • informacja o nieudanej próbie dostarczenia przesyłki
  • potwierdź usunięcie konta e-mail
  • masz nową wiadomość
  • Twoje zamówienie nr. xxx (z nazwa sklepu lub bez)
  • wymagane działanie

Co robić? Przede wszystkim sprawdzić, z jakiej domeny przyszedł mail. Jeśli wiadomość dotyczy konta w banku, a nadawca ma w adresie xx@gmail.com lub inny adres, z pewnością jest to podróbka. Kolejna sprawa to styl treści - jeśli są tam literówki lub też mail wygląda jak przetłumaczony przy użyciu Tłumacza Google, niemal na 100% to próba wyłudzenia. Jeśli wszystko wygląda normalnie, a w treści jest link - najedź na niego kursorem myszki i zobacz, do jakiego adresu prowadzi. Jeśli zarówno nadawca, jak i treść wydają się normalne, ale informacja jest zaskakująca - np. dotyczy zmiany loginu i hasła - skontaktuj się z danym serwisem. W żadnym wypadku nie podawaj w podejrzanych mailach swoich danych osobowych!

Pamiętaj, że w przypadku pobierania złośliwego pliku program antywirusowy powinien zablokować jego ściąganie, jednak jeśli podajesz hasła do witryn - jest to poza jego zasięgiem.