Czym jest phishing?

Choć samo słowo raczej nie wzbudza negatywnych skojarzeń, w rzeczywistości oznacza groźne metody oszustw opartych na manipulacjach i celowym wprowadzeniu odbiorcy w błąd.

Phishing to atak wymierzony w człowieka, w którym haker za pomocą socjotechnik i gry pozorów, próbuje nakłonić swoją ofiarę do wykonania konkretnych czynności, takich jak:

• kliknięcie w link,  
• przekazanie danych logowania – nazwa użytkownika i hasło,  
• przekazanie danych karty kredytowej, 
• wykonanie przelewu,  
• przekazanie danych osobowych np. imienia, nazwiska, numeru pesel, dowodu osobistego, daty urodzenia, nazwiska panieńskiego matki – które w różnych miejscach można wykorzystać do autoryzacji, 
• pobranie zainfekowanego załącznika, 
• przesłanie pliku z konkretnymi danymi,  
• przesłanie innej informacji zwrotnej – poufnej lub pozornie nieistotnej,  
• instalacja złośliwego oprogramowania,  
• instalacja oprogramowania do zdalnego zarządzania urządzeniem (tzw. „zdalny pulpit”) i przekazanie hakerom uprawnień do jej wykorzystania. 

Czasami cyberprzestępca zaczyna od nawiązania relacji, która później ułatwi mu osiągnięcie celów i pozwoli na odniesienie korzyści ze zbudowanej mistyfikacji. Wykorzystuje do tego techniki wpływu społecznego np. reguły autorytetu, wzajemności, sympatii, zaangażowania i konsekwencji oraz techniki oparte na manipulacji emocjami.   

Skąd przychodzi zagrożenie?

Haker może próbować “upolować swoją ofiarę” za pomocą różnych kanałów komunikacji elektronicznej:  

• e-mail – zdecydowanie wygrywa – jest obecnie najczęściej wykorzystywaną formą przez hakerów do ataków masowych i dedykowanych tzw. spear phishing, 
• SMS, 
• komunikatory np. WhatsApp, 
• rozmowy w social mediach i grach, 
• rozmowy telefoniczne. 

Okazją dla przestępcy do zastosowania manipulacji socjotechnicznych może być również rozmowa w kontakcie bezpośrednim, list przesłany pocztą tradycyjną, ulotka wrzucona do skrzynki na listy, a pendrive ze złośliwym oprogramowaniem lub kubek z ukrytym mikrofonem mogą zostać dostarczone przez przestępcę do firmy, udając prezent od kontrahenta. 

Phishingowe pułapki i preteksty

Hakerzy atakują na wiele sposobów i wykorzystując różne kanały komunikacji. Zdobywają firmy, uderzając w ich pracowników, kradną pieniądze, informacje osobom prywatnym. 

Podszywają się pod znane marki firm, rozpoznawalne instytucje i organizacje – banki, portale społecznościowe, aplikacje, z których korzystamy codziennie, sklepy, systemy aukcyjne, firmy energetyczne, kurierskie, a nawet instytucje rządowe – urzędy skarbowe, ZUS, NFZ itp. Udają sprzedawców i kupujących.

Przestępcy tworzą wiadomości i strony, które odwzorowują oryginalne. Wykorzystując je, nakłaniają adresatów do podania danych, wykonania zaplanowanych akcji. Hakerzy atakują według wielu „sprawdzonych” (czyli pewnie opłacalnych) scenariuszy ataków np. informacja o niezapłaconej fakturze, wygrana, spadek, dopłata do paczki. Nie sposób wymienić wszystkich przykładów ataków phishingowych z powodu ich różnorodności. Hakerzy nieustannie rozwijają i udoskonalają metody ataków. Wykorzystują i nawiązują do aktualnych wydarzeń i trendów w Polsce i na świecie. Od rozpoczęcia pandemii COVID-19 cyberprzestępcy masowo wysyłali do swoich ofiar wiadomości e-mail, które dotyczyły: 

• konieczności zaktualizowania firmowej polityki bezpieczeństwa przez wprowadzenie czerwonej strefy w regionie i konieczności zapoznania się z nowymi zasadami z linkiem do pliku instalującego złośliwe oprogramowanie
• redukcja zatrudnienia w firmie spowodowanej trudną sytuacją finansową
• ofert lekarstw na COVID-19
• ofert szczepień zanim szczepionki były dostępne
• fałszywe wyniki testu na COVID-19   

Przykłady ataków phishingowych:

Pomoc przy głosowaniu.
Po przechwyceniu konta w mediach społecznościowych hakerzy wykorzystują je do korespondowania z osobami znajdującymi się na liście znajomych. Przesyłana wiadomość zawiera najczęściej prośbę o udział w głosowaniu pod wskazanym linkiem lub informację o wycieku np. nagich zdjęć.

Wyłudzenie danych logowania do bankowości internetowej oraz kradzież środków.
Po kliknięciu w przesłany przez cyberoszustow link, użytkownik jest przekierowany do fałszywego panelu logowania do bankowości internetowej. Podanie danych da hakerom dostęp do konta bankowego i umożliwi wyczyszczenie konta.

Firma kurierska. Informacja o konieczności dopłaty do przesyłki.
Brak określonej marki oraz pominięcie informacji o tym, czy jesteś odbiorcą czy nadawcą paczki, prawdopodobnie służy temu, żeby więcej osób się wpisywało w kontekst.

Powiadomienie z rządowej strony.
Użytkownik jest informowany o rzekomym powiadomieniu oczekującym w serwisie, którego kopia ma znajdować się w załączniku. W rzeczywistości to archiwum, w którym znajduje się złośliwy skrypt, który po otwarciu infekuje system.