Natychmiastowa pomoc przy ataku hakerskim

Zarządzanie incydentami cyberbezpieczeństwa z natychmiastową reakcją.

Dowiedz się więcej

Phishing co to jest

Nazwa „phishing” prawdopodobnie pochodzi od połączenia dwóch słów „fishing” – łowienie i „phony” fałszywka, jest to bowiem rodzaj ataku hakerskiego polegający na oszustwie, przypominający w swojej metodologii proces łowienia ryb: zakładasz przynętę, aby oszukać swoją ofiarę, a następnie wrzucasz przynętę do jakiegoś środowiska i liczysz, że ktoś się na nią złapie. Trudno jest dokładnie przetłumaczyć lub nazwać phishing po polsku, natomiast termin ten zazwyczaj związany jest z procederem „wyłudzania danych”. W tym wpisie wyjaśnimy: czym jest phishing i jak działa, jakie są rodzaje pishingu, podamy również znane przykłady z naszego kraju oraz przede wszystkim podpowiemy, jak zabezpieczyć się przed phishingiem?

Czym są ataki phishingowe

Atak typu phishing odnosi się do wszelkich prób uzyskania poufnych informacji (takich jak np. nazwy użytkowników, hasła lub dane bankowe), zazwyczaj w przestępczych celach. Najczęściej hakerzy wykorzystują do tego podszywanie się pod osoby lub podmioty godne zaufania za pośrednictwem komunikacji elektronicznej (np. phishing e-mail).

Phishing to świetny przykład socjotechniki stosowanej do wprowadzania użytkowników w błąd i wykorzystywania słabości w zabezpieczeniach sieci. Często atak phishingowy jest jedynie środkiem do dostarczenia złośliwego oprogramowania lub wstępem do następnych, znacznie poważniejszych w bezpośrednich skutkach działań hackerskich, takich jak np. atak ransomware.

Jak działa phishing

Phishing jest zwykle przeprowadzany za pomocą bezpośredniej komunikacji elektroniczniej. Atak często nakłania użytkowników do wprowadzenia poufnych informacji na fałszywej stronie internetowej, której wygląd i sposób działania są zgodne z prawdziwą, legalną witryną. Czasem aby oszukać użytkowników wykorzystywana jest korespondencja rzekomo pochodząca z mediów społecznościowych, serwisów aukcyjnych lub detalicznych, instytucji finansowych lub administratorów sieci IT.

Typy phishingu (top 5 technik phishingowych)

Do osiągnięcia różnych celów hakerzy wykorzystują różne rodzaje phishingu, oto najważniejsze z nich:

  • Spear phishing: Atak polegający na fałszowaniu wiadomości e-mail, którego celem jest określona organizacja lub osoba fizyczna (nie phishing masowy) w celu uzyskania nieautoryzowanego dostępu do poufnych informacji. Atakujący zazwyczaj zbierają wcześniej informacje dotyczące celu, aby lepiej dostosować, spersonalizować phishing i zwiększyć swoje szanse na sukces. Atakujący spear phishingowowo często angażują się wcześniej w prawdziwe rozmowy międzyludzkie z ofiarą aby zdobyć jej zaufanie i uwiarygodnić swoją osobę.
  • Clone phishing: to kradzież treści i adresu odbiorcy autentycznej wiadomości e-mail. Przejęta wiadomość poddawana jest inżynierii wstecznej w celu utworzenia identycznej lub sklonowanej wiadomości e-mail. Wszelkie prawdziwe załączniki lub łącza w oryginalnej treści są zastępowane złośliwym oprogramowaniem, a następnie wysyłane ze sfałszowanego adresu e-mail.
  • Whaling: Atak phishingowy skierowany do kierownictwa wyższego szczebla w organizacji, często odnoszący się do roli tej osoby w firmie. Treść wiadomości e-mail dotyczącej ataku typu whaling często wygląda jak wezwanie do sądu, skarga klienta lub inna sprawa kierownicza. Oszukańcze wiadomości tego typu mają na celu podszywanie się pod krytyczne wiadomości biznesowe, wysyłane przez legalne władze.
  • Smishing: (SMS phishing) to atak polegający na wysłaniu fałszywej wiadomości SMS na numery telefonów. Wiadomości smishingowe często zawierają ofertę darmowego produktu lub pilne powiadomienie dot. bankowości lub przesyłki kurierskiej. Ten rodzaj phishingu zyskał popularność dzięki temu, że ludzie zwykle chętniej ufają wiadomościom SMS na ich telefonach niż wiadomościom e-mail.
  • Vishing: (voice phishing) jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję godną zaufania (np. urzędników, funkcjonariuszy policji,  przedstawicieli banków) aby wyłudzić poufne informacje podczas rozmowy telefonicznej. Jak każdy rodzaj ataku phishingowego oparty jest na inżynierii społecznej, ale ma on na celu skłonienie ofiary do podania pożądanych informacji lub wykonania określonych działań, wyłącznie za pomocą komunikacji głosowej.

Po czym poznać phishing

Dla zapewnienia własnego cyber-bezpieczeństwa ważna jest umiejętność rozpoznawania wszelkich oszustw internetowych czyli tego na czym bazuje phishing w większości przypadków.  Jedynym powodem bowiem, dla którego ataki phishingowe są skuteczne, są ich adresaci (a bardziej ich działania/ reakcje). Warto jest dlatego zwrócić uwagę na poniższe, najczęściej spotykane cechy wspólne komunikacji phisingowej:

  • Wyrazistość: Lukratywne oferty, przyciągające wzrok i uwagę treści mają na celu natychmiastowe skupienie uwagi odbiorców i nakłaniają do podjęcia działania.  Na przykład: ofiara wygrała telefon, loterię lub inną hojną nagrodę.
  • Pilność: powszechną taktyką cyberprzestępców jest proszenie ofiary o szybkie działanie, zanim okazja się skończy. Pamiętajmy, że większość wiarygodnych organizacji daje wystarczająco dużo czasu przed zamknięciem konta i nigdy nieformalnie nie prosi swoich użytkowników o aktualizację danych osobowych przez Internet – tak działają hakerzy.
  • Hiperłącza: Widomości phishingowe często zawierają linki. A link może nie być tym, czym się wydaje. Najechanie kursorem na link pokazuje rzeczywisty adres URL, który może być całkowicie niezwiązany z tekstem linku. Czasami może się wydawać, że jest to bezpieczna strona internetowa, ale z nieco zmienioną pisownią – na przykład z cyfrą „1” zamiast małej litery „l”.
  • Załączniki: Nieoczekiwane załączniki w wiadomościach e-mail należy traktować podejrzliwie. Często zawierają ładunki, takie jak ransomware lub wirusy. W szczególności należy być ostrożnym z zaszyfrowanymi załącznikami, które wymagają hasła aby je otworzyć; zaszyfrowane pliki nie mogą być przeskanowane pod kontem bezpieczeństwa przez systemy ochronne poczty lub komputera.
  • Nietypowy nadawca: Spam niskiego poziomu będzie często wysyłany przez nieznanych lub podejrzanych użytkowników. Otrzymując wiadomość e-mail od nieznanej osoby, która wydaje się podejrzana, nie odpowiadaj zbyt szybko, jeśli w ogóle.

Jak uniknąć ataku phishingowego (co chroni przed phishingiem)

  • Świadomość użytkowników: Szkolenie ludzi w zakresie rozpoznawania prób wyłudzania informacji i radzenia sobie z nimi. Edukacja jest skuteczna, zwłaszcza tam, gdzie szkolenia i weryfikacja wiedzy przeprowadzane są regularnie. Dowiedz się więcej o szkoleniach z cyberbezpieczeństwa dla firm klikając w hiperłącze.
  • Alerty przeglądarki: istnieją listy znanych witryn wyłudzających informacje i usługi sprawdzające, czy strony internetowe odwiedzane w danej przeglądarce są zgodne z listą. Jedną z takich usług jest Safe Browsing – udostępniana przez Google Chrome.
  • Eliminowanie poczty phishingowej: istnieją specjalistyczne filtry antyspamowe, które zmniejszają liczbę wiadomości phishingowych docierających do skrzynek odbiorczych adresatów lub zapewniają działania naprawcze już po dostarczeniu złośliwego pliku. Więcej o ochronie poczty przeczytasz klikając w hipełącze.
  • Monitorowanie i usuwanie: całodobowe usługi monitorowania, analizowania i pomocy w zamykaniu witryn phishingowych i zatrzymywaniu ataków phishingowych mogą być realziowane przez powołane do tego zespoły specjalistów w ramach usługi SOC.
  • Weryfikacja wieloskładnikowa (MFA): Zalecamy używania telefonu komórkowego (smartfona) lub alternatywnego adresu e-mail jako drugiego kanału do uwierzytelniania i autoryzacji ważnych interakcji (takich jak transakcje finansowe, logowanie do poczty); ta praktyka często zamyka drogę hakerom do uzyskania nieuprawnionego dostępu do kont ofiary.

Pihing przykłady kampanii

Większość ataków phishingowych, z którymi można się zetknąć, stanowią proste sztuczki opierające się na znanych socjotechnikach i powtarzalnych schematach; nie wymagają dużych nakładów pracy. Jest ich wiele, ale poniżej prezentujemy najpopularniejsze, realne przykłady ataków na obywateli Polski:

OLX phishing

popularną kampanią phishingową, która pojawiła się w czasie pandemii COVID-19, było oszustwo wobec użytkowników serwisu OLX. Scenariusz ataku oczywiście ulega modyfikacji wraz z biegiem czasu, natomiast schemat jest zawsze podobny i wygląda najczęściej w ten sposób:

1. Wykorzystując komunikator WhatsApp, oszuści kontaktują się w sprawie zakupu przedmiotów wystawionych przez „ofiarę” na sprzedaż.

2. Proponują sfinalizowanie transakcji z wykorzystaniem usługi płatności, świadczoną przez portal. Następnie wysyłają link, do strony która swoją szatą graficzną, przypomina portal OLX, ale zawiera fałszywy formularz płatności.

3. Na fałszywej stronie ofiara podaje szczegółowe dane karty płatniczej w celu rzekomego odebrania opłaty za wystawiony przedmiot (Pamiętajmy, gdy my mamy otrzymać pieniądze nigdy nie potrzebujemy podawać danych swojej karty!).

4. Atak kończy się kradzieżą danych karty płatniczej i późniejszym wyłudzeniem środków finansowych.

Smishing phishing na polskie telefony

Oszuści wysyłają SMSy masowo do jak największej ilości numerów. W treści wiadomości umieszczają link do fałszywej strony płatności. Fałszywe SMS-y informują np. o konieczności dopłaty do szczepionki, uregulowania należności za energię elektryczną, wyrównania niedopłaty podatku, opłacenia mandatu karnego lub zapłaty za przesyłkę (np. dhl phishing).

Kwota podana w wiadomości jest zwykle niewielka. Oszuści liczą na to, że odbiorca nie będzie weryfikował zasadności tak niskiej kwoty i zapłaci dla „ świętego spokoju”. Niestety podanie danych na fałszywej stronie płatności doprowadza do utraty znacznie większej kwoty niż żądana w wiadomości sms.

Phishingowe e-maile od Onetu, Interi, O2 i Wirtualnej Polski

Oszuści podszywają się pod operatorów polskich serwisów pocztowych. Zależnie od wariantu, w treści maila pojawia się informacja o konieczności zaakceptowania nowego regulaminu lub polityki prywatności. Czasem jest to też powiadomienie o tym, że konto zostało zablokowane z powodu naruszenia zasad regulaminu przez użytkownika. W każdym przypadku ofiara jest namawiana do przejścia na  podstawioną stronę w celu zdjęcia blokady konta. Po wejściu na tą stronę z komputera urządzenie ofiary może zostać zainfekowane wirusem wykradającym dane. Przejście na stronę przy użyciu telefonu z systemem Android wyświetla inną zawartość- konieczność pobrania aplikacji, która jest rzekomo wymagana do dokończenia procesu weryfikacji. Aplikacja ta w rzeczywistości jest szkodliwym oprogramowaniem wykradającym dane bankowe.

Złośliwe aplikacje na typu FLUBOT

Uznaje się, że smartfony są trudniejszym celem dla hakerów niż komputery. Systemy operacyjne na telefonach nie pozwalają zainfekować urządzenia złośliwym oprogramowaniem bez udziału użytkownika. Dlatego przestępcy za pomocą phisnigu starają się nakłonić swoje ofiary aby te same zainstalowały malware, który nam podrzucają. W przypadku systemu iOS na urządzenia Apple to nie zadziała –  nie da się zainstalować aplikacji pochodzących spoza oficjalnego sklepu. Natomiast istnieje taka możliwość dla systemów Android – otwartych dla oprogramowania z różnych źródeł. Dlatego ważne jest instalowanie aplikacji pobranych wyłącznie z oficjalnego sklepu Google Play.

Jednym z popularnych rodzajów złośliwego oprogramowania na telefony jest Flubot. Swoją nazwę („flu” po angielsku to grypa) zawdzięcza błyskawicznemu rozprzestrzenianiu się.

Fałszywa aplikacja uzyskuje dostęp do listy kontaktów z urządzenia i uprawnienia, które pozwalają jej na wysyłanie i odbieranie SMS-ów. Dodatkowo Flubot potrafi wykradać dane logowania do różnych serwisów internetowych oraz bankowości mobilnej.

Phishing Facebook

Stresujące, bulwersujące i sensacyjne newsy łatwo się rozprzestrzeniają, zwłaszcza na portalach społecznościowych, które również są wykorzystywane do rozprowadzania wiadomości phishingowych. Często link do fałszywego portalu informacyjnego przychodzi od „znajomej osoby”, więc łatwiej można się nabrać. Oszuści działają przez cudze konta społecznościowe, do których hasło udało im się uzyskać w następujący sposób:

1. Wysyłają w komunikatorze lub publikują na profilu link do sensacyjnego newsa. Kto kliknie w ten link, zobaczy formularz logowania do Facebooka. Fałszywe wiadomości zawierają często emocjonalny przekaz, np. o rzekomym gwałcie na młodej osobie lub znęcaniu się nad zwierzętami, dotyczące zgonu po szczepionce przeciw COVID ale tak naprawdę mają zachęcić do wprowadzenia danych logowania w celu zapoznania się z treścią informacji.

2. Jeśli ofiara poda tam swoje dane logowania, przestępca je przechwyci i będzie mógł zalogować na jej konto i z niego wysyłać podobne wiadomości do naszych znajomych i w ten sposób przejmować ich konta.

3. Mając możliwość wysłania wiadomości do setek „znajomych”, oszust wysyła krótki komunikat, np.: „Hej, masz może BLIK-a? Podasz mi kod? Potrzebuję pożyczyć 500 zł – oddam najpóźniej w przyszłym tygodniu” – pod pretekstem jakiejś awaryjnej sytuacji, typu wypadek, zguba/ kradzież portfela itp.

Kod BLIK można zrealizować wszędzie – np. w bankomacie, a wypłaconej gotówki, ofiary nie odzyskują nigdy.

InPost Phishing

Kampanie phishingowe InPost polegają na wysyłaniu fałszywych wiadomości e-mail lub SMS-ów, które wyglądają jak oficjalne powiadomienia od popularnej firmy kurierskiej InPost. W tych fałszywych komunikatach przestępcy często proszą o podanie danych osobowych, informacji finansowych lub poprzez informację o zmianie adresu doręczenia nakłaniają do kliknięcia w złośliwe linki, które mogą prowadzić do stron wyglądających jak strona logowania InPostu, lecz w rzeczywistości są to fałszywe strony stworzone w celu kradzieży danych lub instalacji złośliwego oprogramowania. Najważniejsze jest, aby zachować ostrożność i nigdy nie podawać poufnych informacji ani nie kliknąć w podejrzane linki w takich wiadomościach. W razie wątpliwości zawsze warto zweryfikować domenę i numer nadawcy a w przypadku dalszej niepewności skontaktować się bezpośrednio z firmą InPost, aby potwierdzić autentyczność wiadomości.

Dlaczego phishing jest istotny

Phishing jest obecnie jednym z największych zagrożeń dla przedsiębiorstw. Udany atak phishingowy może nie tylko kosztować pieniądze, ale naraża firmę na znacznie większe problemy związane z naruszeniem bezpieczeństwa danych. Tak jak pisaliśmy tutaj: Wyciek i kradzież danych w firmie w 2022 r. phishing był powodem 16% wszystkich naruszeń danych w firmach na całym świecie.

Nowe badania Barracuda Networks podają, że w 2022 roku 50% firm padło ofiarą spear phishingu. Cyberprzestępcy przejęli co najmniej jedno konto e-mail w 24% ankietowanych organizacji, a z każdego zainfekowanego konta wysyłali średnio 370 złośliwych wiadomości e-mail.

To właśnie ataki za pośrednictwem poczty email są najczęstszym wektorem phisingu. Praktycznie każda organizacja, która doświadczyła takiego ataku, odczuła jego skutki:

Tylko 2% ankietowanych stwierdziło, że ataki e-mailowe nie miały wpływu na ich organizacje.

Ataki na bezpieczeństwo poczty e-mail w organizacjach mają swoje konsekwencje, przy czym najpoważniejsze skutki to: przestoje/zakłócenia w działalności (44%), utrata wrażliwych danych (43%) i utrata reputacji (41%).

Zabezpieczenia antyphisingowe (nasze rekomendacje)

Antyphishing, czyli to jak bronić się przed phishingiem, zależy w głównej mierze od jego rodzaju oraz potencjalnego wektora ataku. 91 % cyberataków na firmy rozpoczyna się od przesłania wiadomości e-mail. Dlatego w ramach zabezpieczeń przed phishingiem rekomendujemy na pierwszym miejscu inwestycje w ochronę poczty elektronicznej. Jest ona krytyczną linią obrony przed większością ataków tego typu, a do ich skutecznego przeprowadzenia może wystarczyć wymiana wiadomości nawet bez klikania w złośliwe linki i załączniki. Wówczas ochrona w formie „bramek pocztowych” (email gateway) jest niewystarczająca. Potrzebujemy również analizy języka w korespondencji, oraz skanowania linków i załączników zawsze, gdy pracownik je otwiera.

Na rynku dostępnych jest wiele rozwiązań do ochrony poczty email. Warto zwrócić uwagę aby wybierane przez nas rozwiązanie miało funkcjonalności:

  • skanowanie antywirusowe, ocenę spamu, analizę intencji w czasie rzeczywistym, ochronę linków URL, kontrolę reputacji
  • ochrone przed włamaniami do firmowej poczty e-mail, przejęciem konta, spear phishingiem i innymi oszustwami
  • blokowanie ataków phishingowych, które przechwytują dane uwierzytelniające i prowadzą do przejęcia konta
  • reagowania na incydenty: możliwość wysyłania alertów do użytkowników, których dotyczy problem, poddawanie kwarantannie złośliwe wiadomości.

 

Źródła:
THE STATE OF INDUSTRIAL SECURITY IN 2022 & 2023 EMAIL SECURITY TRENDS • US 1.0 • Copyright 2022 Barracuda Networks, Inc.