Phishing jest rodzajem ataku (oszustwa) internetowego w którym przestępca celowo podszywa się pod zaufaną instytucję, firmę lub osobę w celu oszukania swoich ofiar i zbierania od nich oraz o nich poufnych informacji - takich jak dane kart kredytowych, loginy do różnych portali, hasła i tak dalej. Ponieważ phishing polega na celowej manipulacji psychologicznej, a za sukces ataku odpowiedzialny jest czynnik ludzki (a nie sprzęt lub oprogramowania), jest on uważany za rodzaj ataku socjotechnicznego (ang. social engineering attack).
Ataki phishingowe zazwyczaj wykorzystują fałszywe wiadomości e-mail, których zadaniem jest przekonanie użytkownika do wprowadzenia poufnych informacji na ich łamach. Wiadomości te zazwyczaj wskazują użytkownikowi konieczność zresetowania jego hasła, podania (czyt. potwierdzenia) informacji na temat jego karty kredytowej i zazwyczaj przekierowują go do spreparowanej strony internetowej, która wygląda łudząco podobnie do oryginału. Najczęściej spotykanymi typami ataków phishingowych są, clone phishing, spear phising oraz pharming.
Ataki phishingowe są również wykorzystywane w świecie kryptowalut. W tym przypadku za cel przestępcy obierają sobie kradzież Bitcoina lub innych walut cyfrowych od atakowanych użytkowników. Przestępcy do tego celu podszywają się pod znaną w świecie technologii blockchain i kryptowalut stronę (np. oferującą jakąś usługę) na której wskazują kontrolowany przez siebie adres do wpłaty środków, stale dbając o to aby użytkownicy mieli wrażenie, że zapłacili za daną usługę, podczas gdy w rzeczywistości ich pieniądze zostały wysłane do oszustów.
Jakie są rodzaje phishingu?
Istnieje wiele różnych rodzajów phishingu. Ich klasyfikacja zazwyczaj zależy od celu na jaki zostały ukierunkowane oraz wektora ataku. Poniżej wyszczególniliśmy kilka rodzajów ataków phishingowych:
Clone phishing: atak w którym przestępca wykorzystuje wcześniej wysłaną do użytkownika wiadomości e-mail (która jest prawidłowa i prawdziwa, np. Mail informujący o zmianie hasła w danym serwisie internetowym). W tym celu przestępca kopiuje szablon prawdziwej wiadomości i umieszcza w nim link do złośliwej witryny spreparowanej przez siebie. Atakujący następnie może próbować przekonać użytkownika, że link podany w prawdziwej wiadomości został zaktualizowany lub wygenerowany został dla niego nowy link ponieważ stary utracił ważność.
Spear phishing: ten typ ataku ukierunkowany jest na jedną osobę lub instytucję - zazwyczaj rozpoznawalną przez innych. Atak typu spear jest bardziej wyrafinowany od zwykłego phishingu, ponieważ jest profilowany. Oznacza to, że atakujący najpierw gromadzi informacje na temat swojej ofiary (np. Imiona jej przyjaciół, członków rodziny) i dopiero na ich podstawie konstruuje wiadomość / komunikat, który ma przekonać ofiarę do odwiedzenia spreparowanej strony czy ściągnięcia spreparowanego pliku.
Pharming: w tym przypadku atakujący przejmuje kontrolę nad rekordem DNS aby w praktyce przekierowywał on odwiedzających daną stronę na spreparowaną przez niego fałszywą witrynę, którą wcześniej stworzył. Jest to najniebezpieczniejszy typ ataku phishingowego, ponieważ rekordy DNS nie znajdują się pod kontrolą użytkowników, przez co nie mogą oni się przed nim bronić.
Whaling: atak podobny do spear phishingu, z tą jednak różnicą, że atakujący za cel obiera bogate i/lub ważne z jakiegoś względu osoby, takie jak np. CEO firmy czy urzędnicy państwowi.
Email Spoofing: E-maile phishingowe zazwyczaj podszywają się pod komunikację prawdziwych firm lub osób. Ich głównym celem jest przekonanie nieświadomych ataku ofiar do odwiedzenia podanych w treści wiadomości linków do złośliwych stron, na których atakujący np. zbierają dane logowania lub dane tożsamości za pomocą sprytnie zamaskowanych stron logowania lub innych metod. Złośliwe strony do których kierują odnośniki z maila mogą zawierać wirusy w postaci trojanów, keyloggery i inne złośliwe skrypty, które kradną dane osobowe.
Website Redirect (Przekierowanie na inną stroną): Celowe i wymuszone przekierowanie użytkowników odwiedzających dany adres URL na inne. Atakujący dokonując ataku typu website redirect zazwyczaj wykorzystują luki w zabezpieczeniach, co pozwala im wstawić/ustawić przekierowanie i instalować złośliwe oprogramowanie na komputerach nieświadomych tego faktu użytkowników.
Typosquatting (dosłownie porywanie adresu URL): Typosquatting polega na łapaniu lub generowaniu ruchu do fałszywych stron internetowych przy wykorzystaniu specjalnych znaków, typowych błędów ortograficznych lub subtelnych odmian w domenie najwyższego poziomu. Phisherzy używają domen do naśladowania prawdziwych interfejsów witryn źródłowych, korzystając z nieświadomości użytkowników, którzy błędnie wpisali lub źle odczytali adres URL.
The ‘Watering Hole’ (Atak typu Wodopój): W tym typie ataku, phisherzy profilują użytkowników i określają witryny, które często on odwiedzają. Osoby wyłudzające informacje skanują te witryny pod kątem luk w zabezpieczeniach i, jeśli to możliwe, wstrzykują złośliwe skrypty przeznaczone do kierowania reklam do użytkowników przy ich następnym odwiedzeniu tej witryny.
Podszywanie się i tzw. Giveaways (rozdawanie gratisów): Podszywanie się pod wpływowe osoby w mediach społecznościowych to kolejna technika stosowana przez przestępców w kampaniach phishingowych. Phisherzy mogą podszywać się pod kluczowe osoby z danych firm, a następnie przy udziale nieświadomych odbiorców, mogą reklamować akcje rozdawania gratisów lub angażować się w inne oszukańcze praktyki. Ofiary takiej kampanii mogą być również wybierane indywidualnie wykorzystując do tego socjotechnikę. Atakujący w celu podszycia się pod daną osobę/firmę mogą dokonywać włamań na zweryfikowane konta losowych osób (z czym walczy obecnie m.in Twitter, Slack, Discord czy Telegram) aby następnie zmodyfikować nazwę użytkowników w celu podszywania się pod rzeczywistą osobę i jednoczenie zachowując zweryfikowany status konta. Ofiary tego typu ataków są bardziej skłonne do interakcji i dostarczają informacji osobistych pozornie wpływowym postaciom, co stwarza szansę phisherom na wykorzystanie tych informacji. Przestępcy mogą również tworzyć nowe konta łudząco podobne do oryginalnych, podszywając się pod grupy dyskusyjne, inne osoby i naśladując prawdziwe usługi.
Płatne reklamy w wyszukiwarkach: Reklamy są kolejna taktyką wykorzystywaną przez przestępców do phishingu. Fałszywe reklamy wykorzystują domeny, które atakujący zarejestrowali przy użyciu typosquattingu, a które są przez nich celowo opłacane aby być wyświetlanymi nad ich prawdziwymi wersjami. Tego typu ataki na użytkowników wyszukiwarek są obecnie bardzo popularne i dotknięte są nimi w szczególności giełdy kryptowalut, takie jak np. Binance. Podstawione przez przestępców witryny są często wykorzystywane do wyłudzania poufnych informacji, które mogą zawierać dane logowania do kont użytkowników (i wiele więcej).
Złośliwe aplikacje: Phisherzy czasami korzystają również ze złośliwych aplikacji, które wykorzystywane są jako wektora do wstrzykiwania wirusów które monitorują Twoje zachowanie, wykonywane na urządzeniu czynności lub po prostu kradnie poufne informacje. Złośliwymi aplikacjami mogą być np. narzędzia do śledzenia cen danych aktywów, portfele kryptowalut i inne narzędzia związane z kryptowalutami (które mają bazę użytkowników predysponowanych do handlu i posiadania jakichkolwiek wirtualnych aktywów).
Phishing SMSowy i Telefoniczny: Metodą po którą coraz częściej sięgają przestępcy zajmujący się phishingiem są również wiadomości tekstowe oraz głosowe. W atakach SMS/Głosowych, przestępcy przy użyciu specjalnych narzędzi lub usług podszywają się pod numer telefonu określonej firmy (np. symulując jej nazwę wyświetlaną przez telefon) lub oczekują na połączenie od osó, które znalazły podstawiony przez nich numer do danej firmy np. wInternecie.
Phishing a Pharming
Chociaż pharming jest uważany przez niektórych za rodzaj ataku phishingowego, polega on na zupełnie innym mechanizmie. Główną różnicą oddzielającą phishing i pharming jest to, że phishing wymaga od ofiary popełnienia błędu, podczas gdy pharming wymaga od ofiary jedynie podjęcia próby uzyskania dostępu do prawdziwej strony internetowej, której rekord DNS został przejęty i podmieniony przez atakującego.
Jak zapobiegać phishingowi?
Bądź ostrożny: najlepszą obroną przed phishingiem jest zdroworozsądkowe i krytyczne myślenie na temat otrzymywanych przez Ciebie wiadomościach e-mail i komunikatów. Czy spodziewałeś wiadomości e-mail od kogoś na właśnie wskazany temat? Czy osoba, która się z Tobą kontaktuje na pewno ma dobre intencje? Jeśli masz wątpliwości, postaraj się skontaktować z nadawcą w inny sposób - zweryfikować jego wiarygodność (np. Sprawdzając nagłówek wiadomości - ang. Message header) lub kontaktując się z biurem obsługi klienta, jeżeli jest to firma lub instytucja.
Sprawdź zawartość wiadomości: w tym celu możesz skopiować część treści (lub adres e-mail nadawcy) jako zapytanie do wyszukiwarki internetowej, aby sprawdzić, czy istnieje opis ataku typu phishing wykorzystujący tą konkretną treść.
Zawsze weryfikuj żądania: jeśli uważasz, że otrzymałeś uzasadnioną prośbę o potwierdzenie np. danych logowania do firmy, która jest Ci znana, spróbuj potwierdzić takie żądanie za pomocą różnych innych znanych Ci środków (np. Kontaktując się ze swoim kierownikiem w tej sprawie), zamiast klikać łącze w wiadomości e-mail.
Sprawdzaj adres URL (link, odnośnik): w tym celu umieść kursor myszy nad linkiem, ale nie klikaj go, aby sprawdzić, czy zaczyna się on od HTTPS, a nie tylko HTTP. Miej jednak na uwadze, że to, że odnośnik zaczyna się od https:// nie gwarantuje, że strona do której jest przypisany jest w pełni bezpieczna.
NIGDY nie udostępniaj swoich kluczy prywatnych: nigdy nie podawaj swojego klucza prywatnego do swojego portfela Bitcoin lub jakiejkolwiek innej kryptowaluty. Zawsze bądź czujny i zadawaj sobie pytanie, czy dany produkt i sprzedawca, któremu zamierzasz przesłać swoje kryptowaluty, jest prawdziwy. Zasadnicza różnica rozdzielająca świat kryptowalut i tradycyjny świat finansów polega na tym, że każda z kryptowalut nie posiada centralnego autorytetu, który mógłby potencjalnie zakwestionować dokonaną przez Ciebie zapłatę w przypadku nie otrzymania dobra lub usługi od sprzedawcy - tak jak ma to miejsce w przypadku kart kredytowych, które dają możliwość dokonania tzw. Chargebacku. To właśnie dlatego należy zachować szczególną ostrożność w przypadku dokonywania transakcji w kryptowalutach.
Wnioski
Phishing to jedna z najbardziej rozpowszechnionych i najczęściej wykorzystywanych technik cyberataków. Podczas gdy filtry antyspamowe największych i najlepszych usługodawców i dostawców poczty e-mail dobrze radzą sobie z filtrowaniem fałszywych wiadomości od prawdziwych wiadomości, mimo wszystko należy zachować szczególną ostrożność i samodzielnie dbać o swoje bezpieczeństwo. Uważaj na wszelkie próby uzyskania poufnych lub prywatnych informacji od Ciebie przez innych. Jeśli to możliwe, to zawsze potwierdzaj otrzymywane wiadomości za pomocą innych środków komunikacji, dzięki czemu upewnisz się, że nadawca i żądanie są zgodne z prawdą. Unikaj klikania w odnośniki (linki) w wiadomościach e-mail dotyczących incydentów związanych z bezpieczeństwem. W takich sytuacjach lepiej abyś samodzielnie odwiedził stronę, której sprawa się tyczy i odnalazł rzeczoną informację aniżeli kliknął w link. Ważne jest również abyś pamiętał o sprawdzaniu czy odnośnik zaczyna się od przedrostka HTTPS. W przypadku transakcji kryptowalutowych zachowaj szczególną ostrożność, ponieważ nie ma możliwości ich odwrócenia w przypadku gdyby sprzedawca nie dotrzymał umowy lub coś poszło nie tak.
Porada na sam koniec: dbaj o bezpieczeństwo kluczy prywatnych do swojego portfela kryptowalut i nie podawaj go nikomu innemu.