Pishing – czym jest?

Phishing to rodzaj cyberataku, który ma na celu nakłonienie odbiorcy do podania informacji, pobrania złośliwego oprogramowania lub podjęcia innych działań mających na celu zdobycie wrażliwych danych, np. loginu i hasła do konta bankowego. Czy można temu zapobiegać? Jak postępować, by nie dać się oszukać?

W ostatnich latach bardzo nasilił się temat phishingu i prób podszywania się przez cyberprzestępców pod znane marki i instytucje. Niestety, wiadomości phishingowe często są przygotowywane przez przestępców w taki sposób, aby wyglądały na autentyczne. Ich celem jest skłonienie do ujawnienia poufnych informacji. Najczęściej zawierają one link do strony internetowej rozprzestrzeniającej szkodliwe oprogramowanie. Niekiedy phishing jest przygotowany tak dobrze, że nawet najbardziej doświadczeni użytkownicy padają jego ofiarą.

Z pojęciem pishingu powinien się zapoznać każdy, aby chronić siebie, a także zapewnić bezpieczeństwo poczty e-mail w całej organizacji. Jak można chronić się przed phishingiem? Czy jest to w ogóle możliwe? Poznaj odpowiedzi na te i inne pytania i dowiedz się jak przeprowadzić wysyłki sms i email, tak by skutecznie prowadzić bezpieczne działania marketingowe.

Phishing – co to jest?

Atak phishingowy zaczyna się od wysłania fałszywej wiadomości e-mail lub SMS-a, co ma na celu zwabienie potencjalnej ofiary. Wiadomość wygląda tak, jakby pochodziła od zaufanego nadawcy (np. banku, zakładu energetycznego czy innej instytucji państwowej). W jej treści znajduje się link wraz z prośbą o podanie poufnych informacji – często oszukańcza strona internetowa wygląda bliźniaczo w stosunku do tej oryginalnej, dlatego różnice nie są zauważalne gołym okiem. Czasami złośliwe oprogramowanie jest również pobierane na komputer ofiary, co skutkuje kradzieżą wszystkich zapisanych haseł.

Fałszywe linki w SMS czy e-mailu mogą ułatwić cyberprzestępcom dostęp do kont internetowych i danych osobowych, a nawet uzyskać uprawnienia do zarządzania systemami informatycznymi — takimi jak terminale w punktach sprzedaży czy systemy przetwarzania zamówień. Za pomocą phishingu hakerzy bardzo często uzyskują dostęp do danych osobowych i informacji o kartach kredytowych, aby czerpać korzyści finansowe.

W innych przypadkach wiadomości phishingowe są wysyłane po to, by zdobyć dane logowania pracowników lub inne wrażliwe dane w celu przeprowadzania bardziej zmasowanych ataków na konkretną firmę.

Rodzaje ataków phishingowych

Rodzaje ataków phishingowych to cały szereg różnych działań: od klasycznego phishingu e-mail po bardziej pomysłowe podejścia, takie jak spear phishing, smishing i vishing. Wszystkie te ataki mają ten sam cel – wykraść Twoje dane osobowe. Poznaj najpopularniejsze rodzaje ataków phishingowych.

E-mail phishing

Większość ataków phishingowych jest przeprowadzana za pośrednictwem poczty e-mail. Atakujący zazwyczaj rejestrują fałszywe nazwy domen imitujące prawdziwe organizacje i wysyłają do ofiar tysiące typowych żądań. Fałszywe domeny najczęściej różnią się jedną literą lub znakiem (np. mojbank.pl zamiast moj-bank.pl). Zdarza się, że cyberprzestępcy wykorzystują nazwę zaufanej organizacji jako login poczty e-mail, z którego wysyłana jest wiadomość phishingowa.

E-maile zawierają ostrzeżenie lub groźbę, wywołując u ofiary presję jak najszybszego odwiedzenia zawartego w wiadomości linku. Cyberprzestępcy podający się za zakłady energetyczne czy instytucje bankowe, nakłaniają nieświadome ofiary np. do zapłacenia zaległości za prąd czy naliczonych na koncie odsetek. Ponaglająca forma wiadomości ma skłonić użytkownika do zalogowania się na konkretnej stronie www. W rzeczywistości fałszywa witryna wykorzystuje skrypt zapisujący dane logowania.

Spear phising

Spear phishing to bardziej wyrafinowana forma standardowego ataku. Podobnie jak w przypadku e-mail phishingu, ofiary dostają na swoją skrzynkę wiadomość z fałszywym adresem URL. Różnica jest jednak taka, że kierowana jest ona do konkretnej osoby, a atakujący dysponują już niektórymi danymi ofiary, co sprawia, że wiadomość wygląda jeszcze bardziej wiarygodnie.

Spear phishing stosowany jest przez doświadczonych hakerów i haktywistów, którzy korzystają z wyrafinowanych technik socjotechnicznych, wywierając wpływ na swoje ofiary. W rezultacie nawet wysoko postawione osoby w danej organizacji, takie jak kadra kierownicza, mogą otwierać linki w wiadomościach e-mail, które uważali za bezpieczne. Cyberprzestępcy bardzo często robią to z zamiarem odsprzedania poufnych danych rządowi czy firmom prywatnym, a także do szantażowania ofiar.

Whiling

Whiling, czyli w wolnym tłumaczeniu „wielorybnictwo”, to rodzaj ataku phishingowego nakierowanego na tzw. duże ryby, czyli dyrektorów, kierowników, ministrów i inne wysoko postawione osoby. Cyberprzestępcy często spędzają dużo czasu na profilowaniu celu, aby znaleźć dogodny moment do zaatakowania. Zdają sobie sprawę z tego, że atakowane ofiary mogły przejść szkolenia dotyczące cyber bezpieczeństwa. Zmusza to atakujących do wyjścia poza wypróbowane taktyki i stosowania bardziej wyrafinowanych, ukierunkowanych metod.

Zazwyczaj więc whiling nie wykorzystuje typowych sztuczek znanych z innych form ataku, takich jak złośliwe adresy URL i fałszywe skrypty logowania. Wiadomość skonstruowana jest w taki sposób, aby ofiara uwierzyła, że ma do czynienia z kimś wysoko postawionym – np. dyrektorem generalnym. Treść ma charakter ponaglający, co zmusza potencjalny cel do natychmiastowego działania. Może to być np. wezwanie do sądu czy szantaż związany z wyciekiem wrażliwych informacji lub intymnych zdjęć.

Vishing i smishing

Jest to rodzaj ataku phishingowego wykorzystujący telefon. Smishing polega na wysyłaniu fałszywych wiadomości SMS, a vishing na rozmowach telefonicznych. Cel jest jednak ten sam: wyłudzić wrażliwe dane.

Vishing

W typowym phishingu głosowym osoba atakująca podszywa się pod przedstawiciela banku lub firmy obsługującej karty kredytowe, informując ofiarę, że na jej koncie wykryto nieautoryzowaną aktywność. Przestępcy następnie proszą o podanie danych karty płatniczej, rzekomo w celu zweryfikowania tożsamości lub przelania pieniędzy na bezpieczne konto (które w rzeczywistości należy do cyberprzestępcy).

Oszustwo typu vishing często opiera się na automatycznych rozmowach telefonicznych. Przestępcy nagrywają różne odpowiedzi, które następnie są odtwarzane. Boty podszywają się pod prawdziwe instytucje finansowe, prosząc ofiarę o wpisanie danych osobowych lub logowania za pomocą klawiatury telefonu.

Smishing

Smishing, inaczej „SMS phishing”, to forma ataku za pośrednictwem wiadomości tekstowych. Ofiara ataku typu smishing otrzymuje SMS-a pochodzącego rzekomo z zaufanego źródła, który zawiera link URL do fałszywej strony. Celem cyberprzestępców jest pozyskanie danych osobowych zapisanych w telefonie, w tym loginów i haseł. Numer telefonu może być łudząco podobny do numeru realnej instytucji, a treść wiadomości identyczna jak w przypadku SMS-a otrzymanego od prawdziwego nadawcy.