Hasła, numery kart i kont bankowych, historia przeglądanych stron internetowych — to wszystko jest dla nas ważne i staramy się to chronić. W internecie wszystkie nasze dane to towar niezwykle cenny zarówno dla nas, jak i dla hakerów, którzy wiedzą jak je spożytkować, aby osiągnąć zysk. Stąd w Internecie pojawia się masa fałszywych stron. Ludzie otrzymują e-maile ze stron wyglądających jak te od dostawców usług internetowych czy bankowych, jednak zalogowanie się na takiej stronie może bardzo skomplikować życie.
Phishing, bo o nim tutaj mowa, to jedna z bardzo popularnych metod oszustwa internetowego. Podczas kradzieży metodą phishingu hakerzy podstępem wyłudzają od użytkowników osobiste dane. Phishing obejmuje między innymi kradzież haseł, numerów kart kredytowych, danych kont bankowych oraz innych informacji poufnych.
Jak działa phishing?
Próby oszustwa przez phishing wydają się być po prostu e-mailem z banku czy od dostawcy usług internetowych lub innej znanej jednostki, np. usługi PayPal czy firmy kurierskiej, z usług których kiedyś zdarzyło nam się korzystać. Wiadomości te w uprzejmy sposób proszą nas o zmianę, potwierdzenie albo po prostu aktualizację danych. Elementem wiadomości przeważnie jest link wymagający kliknięcia w celu sprawdzenia naszych „problematycznych” danych. Zdolności hakerów w upodabnianiu stron są ogromne. W celu dodania prawdziwości do wiadomości phishingowych włączane są grafiki, logotypy czy obrazki związane z marką czy strefą działalności, pod którą stara się podszyć złodziej.
Po kliknięciu w link nie trafimy jednak na stronę banku czy firmy, która powinna być autorem maila, lecz na stronę sfabrykowaną przez hakera, która jest maszynką do zbierania naszych danych. Wszystkie informacje, które zostaną tam przez nas podane, trafiają do autora strony wraz z loginem i hasłem do strony, na którą chcieliśmy wejść. Zależnie od tego, jakie to konto, phisher otrzymuje spore pole do działania. Jeśli złodziej uzyskał dostęp do konta bankowego, to może dokonywać zakupów na koszt ofiary. W przypadku poczty elektronicznej włamywacz może logować się do stron w imieniu ofiary, może przeglądać maile, a nawet przesyłać na adresy ze skrzynki wiadomości spamowe.
Innym ogromnym zagrożeniem płynącym z uzyskania przez phishera dostępu do skrzynek poczty elektronicznej jest fakt, że obecnie konto mailowe jest zaledwie kroplą w morzu usług, które zapewniają nam przeróżne przedsiębiorstwa, m.in. Google, Microsoft czy Apple, będące właścicielami najpopularniejszych serwisów webmailowych. Dostęp do skrzynki mailowej daje więc automatycznie dostęp do zsynchronizowanych w chmurze kontaktów, zdjęć, plików z wszelkiego typu dysków internetowych pochodzących od tych przedsiębiorstw, a także płatności mobilnych czy danych kart i numerów bankowych połączonych z tymi kontami.
Źródło: Krzysztof Pojawa
Mechanizm, którym posługują się włamywacze, jest dziecinnie prosty i wydaje się nie do uwierzenia, że ktokolwiek na to się nabiera. Jednak z drugiej strony — spore grono internautów nie ma świadomości istnienia tego typu niebezpieczeństwa i z łatwością dają się nabrać na tak, można śmiało rzec, proste metody. Linki do stron internetowych i wiadomości e-mail z fałszywą treścią wysyłane są za jednym zamachem do wielu osób, często liczby te sięgają kilku tysięcy. Co za tym idzie, nasuwa się prosty rachunek: jeśli jeden na stu użytkowników da się „złowić”, to sumy, jakie zostaną ukradzione, można liczyć w setkach tysięcy.
Co Polacy wiedzą o bezpieczeństwie w sieci?
Zapytani o to, czy wiedzą, w jaki sposób zapewnić bezpieczeństwo swoim oszczędnościom na internetowym koncie bankowym, 62% Polaków odpowiadało „raczej tak”, natomiast tylko 13% odpowiedziało „zdecydowanie tak”. 26% badanych przyznaje, że regularnie zmienia hasło do bankowości elektronicznej w celu zabezpieczenia swoich oszczędności. 19% respondentów w dodatkowy sposób zabezpiecza swoje loginy i hasła, a prawie 18% decyduje się nie logować do bankowości internetowej z cudzych komputerów ani w miejscach publicznych. Przysłowiowym gwoździem do trumny w tym zestawieniu jest liczba 7% — tylu ankietowanych weryfikuje treść SMS-ów i kodów weryfikacyjnych, które otrzymuje od banku.
Atak phishingowy to najbardziej niebezpieczny i bardzo skuteczny rodzaj cyberoszustwa, który jednocześnie jest jednym z najprostszych do przeprowadzenia.
Ogromna liczba ataków pishingowych i nagłaśnianie tego przez media czy banki powinno wzbudzać czujność w społeczeństwie. Jednak realne światło na sprawę rzuca przeprowadzone na zlecenie Nest Bank przez Agencję Badań Rynku i Opinii SW Research w marcu 2019 roku badanie, które pokazuje, że 30,4% respondentów nie wie, czym jest phishing, natomiast 32,9% nie jest do końca pewna, czym jest to zjawisko. Określenie phishingu jako podszywanie się pod inną osobę w celu zdobycia korzyści finansowej lub wyłudzenia danych podaje 29,1% respondentów, z kolei 15,6% odpowiedziało, że jest to metoda oszustwa, a 10,4%, że to podszywanie się pod instytucje np. celem wyłudzenia danych, zdobycia korzyści finansowej. Można więc wyciągnąć wniosek, że Polacy są świadomi tego, w jaki sposób trzeba chronić swoje oszczędności, jednak nie wszyscy wiedzą, jakie zagrożenia mogą na nich czyhać. Warto też pamiętać, że ataki hakerów są coraz bardziej zaawansowane.
Spear phishing, czyli wyższy poziom zagrożenia
Spear phishing to nic innego jak spersonalizowany atak na danego użytkownika. Samym działaniem nie różni się absolutnie niczym od phishingu, w tym jednak przypadku haker nie wysyła setek wiadomości do ogromnej ilości użytkowników. Specjaliści zespołu CERT Polska — pierwszego w Polsce zespołu reagowania na incydenty sieciowe, działającego w ramach instytutu badawczego NASK (Naukowej i Akademickiej Sieci Komputerowej) — informują, że ataki phishingowe weszły na wyższy poziom, a cyberprzestępcy coraz częściej wybierają formę sprofilowanego ataku konkretnego użytkownika.
Przeprowadzenie ataku, a wcześniej określenie celu, poprzedza dogłębny i skrupulatny wywiad środowiskowy, oparty na wszelkich dostępnych w sieci informacje o potencjalnej ofierze. Informacje pochodzą z danych dostępnych na portalach społecznościowych, stronach pracodawcy czy forach — tak, aby jak najlepiej poznać infekowaną osobę. Dzięki temu działania te są znacznie trudniejsze do wykrycia.
Celem tego typu ataków nie są pieniądze — ataki spear phishingowe mają raczej za zadania wykradnięcie poufnych informacji, haseł dostępu lub tajemnic handlowych. Tego typu działania znacznie zwiększają prawdopodobieństwo, że atak się powiedzie, a, co za tym idzie, powodują, że ataki są trudniejsze do zdemaskowania. Jeżeli dojdzie do infekcji komputera ofiary, hakerzy z pomocą programu są zdolni do spreparowania kolejnej wiadomości, która wymierzona będzie w konkretną osobę z kontaktów, do których phisher po włamaniu uzyska dostęp.
Jak zapobiec phishingowi i nie dać się okraść?
- Dobre nawyki to podstawa — nie reaguj na linki w niechcianych wiadomościach, spam od razu usuwaj.
- Otwieranie załączników od osób nieznanych lub z wiadomości spam to największe ryzyko — nigdy tego nie rób!
- Twoje dane logowania to świętość, nigdy ich nikomu nie ujawniaj, tym bardziej nie przekazuj swoich poufnych danych przez telefon, elektronicznie ani nawet osobiście!
- Zwracaj uwagę na adresy stron, na które wchodzisz.
- W adresie mogą być literówki lub domena może się różnić (.net zamiast .com).
- Jeśli w pasku adresowym zamiast pożądanej witryny widzimy adres np. dvideo.co.ru, natychmiast zamknij kartę przeglądarki.
- Warto zachować względy ostrożności także wtedy, kiedy adres URL strony, na którą wchodzimy, nie zaczyna się od „https://”, a obok niego nie widnieje zielona kłódka.
- Pilnuj, aby twoja przeglądarka regularnie była aktualizowana, a poprawki bezpieczeństwa często zmieniane.
- Pamiętaj, że banki nie wymagają kodu smsowego ani jednorazowego kodu podczas logowania. Kody wymagane są tylko do zatwierdzenia operacji na rachunku lub zmian na koncie! Witryna prosząca o podanie kodu SMS w fazie logowania z pewnością nie jest prawdziwa!
Źródła:
- https://www.cyberdefence24.pl,
- https://www.avast.com,
- Nest Bank,
- https://pl.malwarebytes.com,
- https://www.nask.pl/,
- badanie opinii „Bezpieczeństwo kont bankowych”, zrealizowane przez Agencję Badań Rynku i Opinii SW Research w marcu 2019 roku na grupie 800 dorosłych Polaków.
Bezpiecznik.org 