Czym jest phishing?... 1 Cybermafia... 3 Socjotechnika... 3 Jak nie stać się ofiarą?... 5

Wielkość: px

Rozpocząć pokaz od strony:

Download "Czym jest phishing?... 1 Cybermafia... 3 Socjotechnika... 3 Jak nie stać się ofiarą?... 5"

Antoni Żurawski
6 lat temu
Przeglądów:

2 Czym jest phishing?... 1 Cybermafia... 3 Socjotechnika... 3 Jak nie stać się ofiarą?... 5 Phishing tłumaczy się jako password harvesting fihsing (łowienie haseł), choć niektórzy twierdzą, że pochodzi od nazwiska Briana Phisha, który podobno pierwszy, jeszcze w latach 80., stosował socjotechnikę do wykradania numerów kart kredytowych. Phisher (osoba zajmująca się phishingiem) wykorzystuje wiadomości pocztowe wysyłane podobnie jak spam - w dużych ilościach. Tą metodą próbuje nakłonić ofiarę do odwiedzenie spreparowanej strony internetowej, do złudzenia przypominającej np. prawdziwą witrynę banku. Podszywa się pod godnego zaufania pracownika banku czy administratora portalu i ostrzega przed zablokowaniem konta (lub inną nieprzyjemną sankcją), jeśli nie odwiedzisz firmowej strony (oczywiście podrobionej) i nie wprowadzisz, rzekomo w celu potwierdzenia, swoich osobistych danych. Większość nie daje się nabrać na takie sztuczki, ale z danych przedstawionych przez Anti-Phishing Working Group ( ) wynika, że kilka procent odpowiada na apel phishera - to znacznie więcej niż niecały procent odpowiadających na zwykły spam. Nie daj się podejść internetowym oszustom 1

3 Rys. 1 Mapa ataków (oszustw) w poszczególnych krajach Oszuści stosują coraz bardziej wyrafinowane techniki, np. niebezpieczny kod zaszyty w plikach graficznych, keyloggery (programy rejestrujące naciskanie klawiszy), automatycznie pobierane w chwili otwarcia wiadomości, czy podrobione strony internetowe wyglądające zupełnie jak oryginały. Popularną sztuczką w phishingu jest wykupienie domeny w stylu "A11egro.pl" czy "AIIegro.pl", które na pierwszy rzut wyglądają jak adres zaufanego serwisu. Obecnie celem przestępców jest nie tylko opróżnienie konta ofiary. Próbują również zdobyć nazwy użytkowników, hasła i inne poufne dane, które wykorzystają do kolejnych przestępstw. Każdy oszust liczy na wymierny zarobek i może się daleko posunąć, żeby dopiąć celu. Nie daj się podejść internetowym oszustom 2

4 Podobnie jak komputerowe wirusy, oszustwa phishingowe były początkowo domeną złośliwych hakerów, chcących w ten sposób pochwalić się umiejętnościami w półświatku. Pierwsi oszuści pozornie nie wyrządzali dużych szkód, ale sprawy szybko przybrały niekorzystny obrót. W tego rodzaju działalność zaangażowały się nawet zorganizowane grupy przestępcze. Australijskie media informowały o czterech studentach oskarżonych o udzielenie grupie przestępców pomocy w wykradaniu milionów dolarów z internetowych kont bankowych od Australii po Europę Wschodnią. Przestępcy używali podrobionych reklam i spamu do instalowania koni trojańskich, które wykradały hasła i inne informacje dotyczące kont bankowych. Australijscy młodzieńcy zostali rzekomo zwerbowani do pomocy przy transferze wykradzionych pieniędzy na konta w bankach zlokalizowanych we Europie Wschodniej. Głównym celem ataków phisherów są instytucje finansowe, a po nich dostawcy usług internetowych oraz firmy handlowe. Wiele informacji o przypadkach phishingu znajdziesz na stronie Socjotechnika to manipulowanie podstawowymi emocjami: zaufaniem, strachem, chciwością, uprzejmością. Prawie każdy atak phishingowy wykorzystuje jakiś element socjotechniczny. Obecna taktyka zachęca ludzi do wypełniania formularzy w sprawie otrzymania pracy, nagrody lub certyfikatu upoważniającego do odbioru wygranej. Tuż przed świętami Bożego Narodzenia phisherzy wysyłają wiadomości informujące, że realizacja ostatnich zamówień online może się opóźnić, chyba że adresat kliknie przesłany w wiadomości odnośnik i poda swoją nazwę użytkownika i hasło. Nie daj się podejść internetowym oszustom 3

5 Rys. 2 Przykładowa wiadomość wysłana przez oszusta. Użytkownik jest proszony o wejście na stronę w celu ponownego podania swoich danych powodu awarii i utraty części danych WAŻNE Ofiarami tych oszustw padają głównie nieświadomi użytkownicy. Wystarczy, że masz świadomość istnienia zagrożenia, aby rozpoznać fałszywy lub inną próbę wyłudzenia poufnych danych. Nie daj się podejść internetowym oszustom 4

6 Trzeba jednak pamiętać, że oszuści stosują coraz bardziej wyrafinowane techniki, w odpowiedzi na rosnącą świadomość użytkowników. Przykładowo, mogą zebrać podstawowe informacje o celach ataku i wykorzystać je do zdobycia zaufania. Oszust może na przykład wysłać wiadomość-przynętę, pisząc "Szanowny panie Janie Kowalski", zamiast nieco podejrzanego "Drogi kliencie". Wiadomości pełne literówek, wysyłane przez amatorów używających infantylnego języka - czy pracownik banku kiedykolwiek zwrócił się do ciebie per "kochanie"? - ustępują miejsca technologicznym trikom, które często nie wymagają nawet kliknięcia przesłanego adresu URL. WAŻNE Obecnie można wpaść w pułapkę przygotowaną przez oszusta, otwierając podejrzaną wiadomość w starszej wersji Outlooka lub nie instalując łatek bezpieczeństwa. Kiedy taka wiadomość, często z pustym polem treści, zostanie otwarta, ukryty kod zmodyfikuje pliki w komputerze odbiorcy. Gdy nieświadomy zagrożenia użytkownik podejmie teraz próbę zalogowania się do swojego konta bankowego, zostanie w niezauważalny sposób przeniesiony na spreparowaną stronę. Mało kto odkryje, że został połączony z serwerem znajdującym się gdzieś w Rosji. Celem byli najpierw klienci kilku instytucji finansowych w Brazylii, a później zaatakowano klientów angielskich banków. Eksperci od bezpieczeństwa spodziewają się wkrótce kolejnych wariantów tej metody. Najważniejsza jest świadomość zagrożenia i znajomość metod działania oszustów - gdy rozpoznasz charakterystyczne cechy ataku, nie dasz się wciągnąć w pułapkę. Podstawą phishingu są e, niekiedy również okna typu pop-up. Z reguły w ten sposób phisher próbuje Cię przekonać, że powinieneś zweryfikować swoje poufne dane, jeśli chcesz uniknąć np. zablokowania konta bankowego. Gdy dostaniesz wiadomość od Twojego banku, od dostawcy usług internetowych, operatora bezpłatnego konta pocztowego, z serwisu Allegro itd., przeczytaj ją bardzo uważnie. Na pierwszy rzut oka może wyglądać na wiarygodną, ale możesz znaleźć w niej podejrzane elementy. Czy w tekście są na przykład literówki lub błędy gramatyczne? Czy jest to pierwsza wiadomość od tej firmy? Czy w ogóle podałeś nadawcy swój adres ? Jeśli masz jakiekolwiek podejrzenia, wiadomość najprawdopodobniej jest przynętą. Nie daj się podejść internetowym oszustom 5

7 Rys. 3 Sfałszowana strona internetowa banku PKO BP miała wyłudzać numery kart kredytowych, oraz ich kody CVV oraz PIN. To pozwoliłoby oszustowi robić zakupy na cudzy koszt WAŻNE Jeśli to podejrzewasz, zadzwoń do firmy, która figuruje jako nadawca wiadomości, i wyjaśnij sprawę. Gdy nie masz wątpliwości, że wiadomość została wysłana przez phishera, również zadzwoń do firmy, pod którą się podszywa. Ostrzeżesz ją i jej pracownicy będą mogli podjąć środki zaradcze, m.in. poinformować swoich klientów o zagrożeniu. Nigdy nie używaj numerów telefonów umieszczonych w u - poświęć chwilę czasu i skorzystaj np. z książki telefonicznej lub ręcznie wpisz adres strony WWW danej instytucji i odszukaj na niej numer telefonu. Nie daj się podejść internetowym oszustom 6

Ostrożność nakazuje również nie klikać odnośników umieszczonych w oknie pop-up czy w podejrzanej wiadomości, a także nie odpowiadać na taką wiadomość.

8 Ostrożność nakazuje również nie klikać odnośników umieszczonych w oknie pop-up czy w podejrzanej wiadomości, a także nie odpowiadać na taką wiadomość. Poważne firmy nie proszą za pośrednictwem poczty elektronicznej o osobiste informacje. Ten środek komunikacji nie jest bezpieczną metodą przesyłania poufnych danych. Nie otwieraj również niepewnych załączników do wiadomości oraz nie pobieraj programów z podejrzanych źródeł. WAŻNE Transakcje realizowane przez Internet są szyfrowane. Gdy zechcesz skorzystać np. ze swojego konta bankowego, sprawdź czy adres rozpoczyna się literami https (w odróżnieniu od http). Litera s oznacza szyfrowanie transmisji z użyciem protokołu SSL. Jeśli korzystasz z internetowych usług finansowych, nieszyfrowanie (co rozpoznasz po braku litery s) powinno wzbudzić twoją nieufność. Rys. 4 Jeśli połączenie jest zaszyfrowane, przeglądarka internetowa w widoczny sposób poinformuje o tym Nie daj się podejść internetowym oszustom 7

9 Przed phishingiem chroni też program antywirusowy, więc aktualizuj go na bieżąco. Niekiedy w wiadomościach wysyłanych przez phisherów są zaszyte konie trojańskie czy inne podejrzane oprogramowanie. Antywirus w połączeniu z firewallem mogą ochronić cię przed skutkami nieroztropnego uruchomienia niebezpiecznych aplikacji. Program antywirusowy skanuje nadchodzące wiadomości i potrafi wykryć w nich wirusy i inne zagrożenia. Z kolei firewall sprawia, że twój komputer jest niewidoczny dla innych użytkowników sieci i blokuje niepożądaną transmisję. Ważne nie tylko z uwagi na zagrożenie phishingiem jest instalowanie łatek bezpieczeństwa udostępnianych przez producentów oprogramowania, zwłaszcza systemu operacyjnego, klienta pocztowego i przeglądarki internetowej. W ten sposób ustrzeżesz się przed niektórymi metodami z repertuaru phisherów. Autor: Rafał Janus redaktor prowadzący Poradnik Komputerowy Nie daj się podejść internetowym oszustom 8

10 Redaktor: Rafał Janus ISBN: E-book nr: Wydawnictwo: Adres: Kontakt: 2HH0637 Wydawnictwo Wiedza i Praktyka sp. z o.o Warszawa, ul. Łotewska 9a Telefon , faks , cok@wip.pl NIP: Numer KRS: Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: zł Copyright by: Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2017 Nie daj się podejść internetowym oszustom 9

Podobne dokumenty

Jak postępować w przypadku fałszywych wiadomości ?

Inspektor Ochrony Danych Warszawa, 16 października 2019 r. IOD-042-134/2019 Jak postępować w przypadku fałszywych wiadomości e-mail? Phishing Metoda oszustwa, w której przestępca podszywa się pod inną