Phishing – czyli jak nie połknąć haczyka

Jak nie połknąć haczyka?

Większość z nas zdążyła się już przyzwyczaić do obecności spamu w skrzynce mailowej. Niestety moduły antyspamowe darmowych dostawców poczty, nie zawsze działają na tyle skutecznie, na ile byśmy tego oczekiwali. Zdarza się, że niechciana wiadomość zawita do naszego głównego folderu. Gorzej, jeżeli nie jesteśmy w stanie rozpoznać spamu, gdyż ten udaje pożyteczną wiadomość. W tego typu przypadkach mamy do czynienia z phishingiem. Jest to szczególny rodzaj spamu, gdzie atakujący podszywa się pod inną osobę lub instytucję (np. bank) oraz prosi o wykonanie określonych czynności. Może to być zachęcenie do odwiedzenia strony internetowej, podania hasła czy uruchomienia pliku, który znajduje się w załączniku. Wbrew pozorom, dobrze przygotowany phishing jest trudny do rozpoznania, a straty wynikające z takiego ataku mogą być bardzo poważne.

Phishing – z czym to się je?

Tego typu ataki są znane już od wielu lat i sam fakt, że jest ich coraz więcej, wskazuje, że cyberprzestępcom opłaca się je stosować. Czasami stosunkowo niewielkim nakładem pracy możliwe jest oszukanie wielu użytkowników, jednak im więcej czasu atakujący poświęci na przygotowanie, tym więcej osób nie rozpozna zagrożenia, a tym samym straty ofiary będą większe. Wiadomość phishingowa zawiera zestaw instrukcji, o których wspominaliśmy wcześniej. Może to być prośba o sprawdzenie załącznika, w którym znajduje się faktura, a w rzeczywistości będzie to szkodliwa aplikacja szpiegująca i wykradająca dane. Najczęściej jednak mail zawiera link oraz informację, że np. konto w banku zostało zablokowane i aby je odblokować należy wejść na wskazaną stronę, która wygląda podobnie do strony banku, ale niestety jest fałszywa. Login i hasło, które tam podamy zostaną skierowane wprost do twórcy wiadomości.

Okazuje się, że każdego dnia wysyłanych[1] jest 156 milionów wiadomości phishingowych, z czego około 15,6 milionów przedostaje się przed filtry antyspamowe. Z tych 10%, które ominą filtry, aż 8 milionów zostaje otwartych, 800 tysięcy internautów klika odnośnik zawarty w phishingu, a 80 tysięcy podaje swoje wrażliwe dane. Mimo, że daje to skuteczność na poziomie 0,05%, to nadal jest to dużo, biorąc pod uwagę fakt, ile innych rodzajów ataku wymierzonych jest w internautów.

Nie każdy phishing jest dobrze przygotowany. Czasami sama treść wiadomości zniechęca do jakiejkolwiek interakcji. Poniższy przykład odda to dużo lepiej, niż słowa:

phishing allegro
Źródło: https://spece.it/bezpieczenstwo/phishing-rozpoznanie-obrona

Jak widać, nie tylko brakuje polskich znaków, ale zarówno składnia jak i sens zdań są wypaczone. Oczywiście wiadomość nie została przygotowana przez osobę posługującą się językiem polskim. Ktoś posłużył się translatorem celem przetłumaczenia jej, a następnie dodał odpowiednie logo portalu aukcyjnego. Tak przygotowany mail ma bardzo małe szanse powodzenia i wątpliwe jest by ktoś zdecydował się na zalogowanie pod wskazanym odnośnikiem. Gdyby tak jednak się stało, to scenariuszy jest kilka, m.in. może dojść do infekcji komputera lub przekierowania na fałszywą stronę.

Część internautów kojarzy głównie takie, nieudolnie przetłumaczone wiadomości. Można wtedy odnieść wrażenie, że phishing zawsze tak wygląda. Niestety część atakujących przykłada się dużo bardziej i tworzy maila, który dla osoby nieznającej zagrożenia tego typu, może wydawać się wiarygodny. Kolejny przykład, chociaż wciąż nie idealny, pokazuje znaczną różnicę w stosunku do wiadomości powyżej.

phishing
Źródło: https://www.mbank.pl/uwazniwsieci/page/chron-urzadzenia/phishing.html

Widać, że w tym przypadku, na pierwszy rzut oka treść nie wzbudza podejrzeń. Jest dobrze przygotowana i znalazło się tam nawet miejsce na krótką reklamę kredytu gotówkowego. Dopiero fakt załącznika i zachęty do jego otwarcia sugeruje, że coś jest nie tak.

Jak działa phishing?

Wiemy już, że wiadomości tego typu nakłaniają użytkownika do wykonania określonej czynności. Co się jednak stanie, jeżeli ktoś nie zorientuje się w porę, że jest to pułapka i np. przejdzie na wskazaną w treści stronę?

Poniższy przykład pokazuje wiadomość phishingową wycelowaną w użytkowników banku.

bank phishing
Źródło: http://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,7483

Jak widać, mail nie jest skomplikowany. Mamy jedynie informację, że czeka na nas nowa, ważna wiadomość. Na końcu znajduje się link, który sugeruje, że zostaniemy przeniesieni na prawdziwą witrynę banku. Niestety jest to tylko tekst z hiperłączem i zamiast na stronę banku, zostaniemy przeniesieni w zupełnie inne miejsce…

strona phishingowa
Źródło: http://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,7483

Na załączonym obrazku znajduje się strona logowania, która wygląda identycznie jak prawdziwa. Nieuważny użytkownik może dać się na to nabrać i po wpisaniu loginu i hasła, w zasadzie przekaże je atakującemu. Może przy tej okazji pojawić się pytanie, co da sam login i hasło, skoro do przelewu potrzebne są kody jednorazowe. Abstrahując od tego konkretnego przykładu, samo zalogowanie pozwala w niektórych bankach na podejrzenie ustawień i danych osobowych (bez możliwości modyfikacji). Natomiast co do przelewu, to po podaniu loginu i hasła z omawianego zrzutu ekranu, użytkownik jest przenoszony na kolejną stronę, tym razem w celu wyłudzenia od niego kodów jednorazowych.

Źródło: http://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,7483

Jeżeli ofiara faktycznie uwierzy, że bank wymaga tych wszystkich informacji, w celu weryfikacji, to może się to skończyć utratą środków zgromadzonych na koncie. Cyberprzestępca wymaga podania kodów jednorazowych, daty urodzenia, adresu, a nawet nazwiska panieńskiego matki. Te informacje są danymi wrażliwymi, ale mimo to zdarza się, że użytkownicy je podają. Dlatego istotne jest edukowanie społeczeństwa i pokazywanie w jaki sposób uniknąć pułapek zastawionych w sieci.

O czym należy pamiętać podczas sprawdzania poczty?

Należy mieć na uwadze, że banki, serwisy i instytucje nigdy nie poproszą użytkownika o podanie hasła, loginu, o przejście pod wskazany w mailu adres (link) czy wykonanie czegoś, co może narazić komputer na infekcję, np. otwarcie załącznika… ale czy aby na pewno?

Poniższy przypadek pokazuje, że nawet banki czasami mogą wysłać niefortunnie brzmiącą wiadomość i poprosić użytkownika o otwarcie załącznika. Choć w tym przypadku okazało się, że dodatek do poczty nie jest szkodliwy, to jednak wiele osób odebrało tego typu prośbę jako próbę wyłudzenia i phishing. W końcu banki same uczą, żeby nie reagować na takie wezwania…

Źródło: https://niebezpiecznik.pl/post/potkniecie-inteligo-bank-zacheca-klientow-do-otwierania-zalacznikow-w-e-mailach/

Pomijając jednak rzadkie przypadki, należy zapamiętać następujące wskazówki:

  • Zainstaluj program antywirusowy
  • Zaktualizuj system operacyjny i wszystkie zainstalowane aplikacje (także dodatki do przeglądarek)
  • Zweryfikuj czy otrzymany mail nie wzbudza podejrzenia (np. błędy w tekście, niespotykana domena)
  • Skorzystaj z dodatkowych filtrów antyspamowych (np. wbudowanych w klientów poczty)
  • Nigdy nie podawaj swojego loginu i hasła, nawet jeżeli wiadomość, w której jesteś o to proszony wygląda wiarygodnie – banki i serwisy nigdy o to nie proszą w mailu
  • Nie otwieraj załączników od nieznanych nadawców
  • Nie klikaj w odnośniki bez dodatkowego sprawdzenia, gdzie prowadzi hiperłącze (np. po najechaniu myszą na link)

Podsumowanie

Wszystko wskazuje na to, że phishing jeszcze przez lata będzie nękał i próbował oszukać odbiorców. Ważne jest by zastosować się do rad, które zamieściliśmy w artykule. Dzięki temu zminimalizujemy ryzyko stania się ofiarą cyberprzestępcy. Na naszym blogu zamieszczamy także informacje o nowych kampaniach phishingowych, wymierzonych w polskich internautów.

[1] https://www.itgovernance.co.uk/blog/four-cyber-security-infographics-that-you-must-see/