Phishing – czym jest i jak nie dać się złapać?

Choć Internet i nowe technologie mają nam do zaoferowania wiele dobrego, to jednak niosą też za sobą sporo niebezpieczeństw. Jednym z nich są ataki hakerskie, których ofiarami padają zarówno firmy, jak i osoby prywatne. Aby nie być jak przysłowiowy „mądry po szkodzie Polak”, warto mieć świadomość potencjalnych zagrożeń oraz wiedzieć, jak im zapobiegać.

Jedną z najchętniej wykorzystywanych przez cyberprzestępców metod wyłudzania danych wrażliwych, takich jak loginy, hasła, numery kart kredytowych czy numery PESEL, jest phishing.

To metoda, w której, stosując odpowiednią „przynętę”, najczęściej przybierającą postać fałszywych e-maili i SMS-ów, przestępcy podszywają się pod znane firmy i instytucje, próbując nakłonić ofiarę do udostępnienia swoich danych.

Jak wygląda to w praktyce? Phisherzy rozsyłają wiadomości zawierające link do utworzonej przez nich strony internetowej. Haczyk polega na tym, że jest ona łudząco podobna do autentycznej witryny firmy czy instytucji, która jest rzekomym nadawcą wiadomości. Ofiara, wchodząc na taką stronę, nawet nie podejrzewa, że właśnie stała się celem cyberprzestępcy i sama, niczym na tacy, podaje swoje dane, logując się np. do wirtualnej bankowości.

To najprostszy i jednocześnie najbardziej niebezpieczny i skuteczny rodzaj ataku cybernetycznego. Nie skupia się bowiem na wykorzystaniu zaawansowanych technologii, ale na tym by zaatakować najbardziej wrażliwe miejsce – ludzki mózg.

Wraz ze wzrostem popularności phishingu pojawiają się jego kolejne odmiany.

Jakie są najpopularniejsze typy ataków phishingowych?

1. Spear phishing, czyli ataki wymierzone w konkretne osoby, poprzedzone dokładną weryfikacją i analizą ich wirtualnej aktywności, w tym listy kontaktów na portalach społecznościowych, czy wypowiedzi udzielanych na forach. To ataki mocno spersonalizowane, a więc bardzo groźne. Pozwalają uśpić czujność ofiary i pozyskać wyjątkowo wrażliwe dane.
2. Whaling – odmiana ataku spersonalizowanego, skierowanego do osób zajmujących najwyższe stanowiska w firmach, a co za tym idzie, posiadających dostęp do najwrażliwszych danych.
3. Clone phishing – ataki polegające na klonowaniu prawdziwej wiadomości e-mail i podmienianiu umieszczonego w niej oryginalnego linku, na ten utworzony przez przestępców, mający na celu wyłudzenie danych. Osoba mająca pewność, że otrzymuje wiadomość z zaufanego źródła, bez większej refleksji wchodzi w przesłany link, padając ofiarą hakerów.
4. Smishing – wykorzystuje komunikatory tekstowe lub sms-y, wysyłając na telefony komórkowe wiadomości zachęcające do kliknięcia niebezpieczny link, często pod pozorem udziału w jakimś konkursie i wygrania atrakcyjnej nagrody.
5. Vishing – atak prowadzony za pośrednictwem połączeń głosowych. Podczas rozmowy, hakerzy podszywają się pod wybraną firmę lub instytucję i udając chęć pomocy, informują rozmówcę, że ten właśnie stał się ofiarą cyberprzestępców. Przestraszona osoba, chcąc się uchronić przed atakiem podaje swoje dane wrażliwe i rzeczywiście pada ofiarą hakerów.

Scenariuszy ataków phishingowych jest wiele, dlatego narażony jest na nie każdy – zarówno prywatnie jak i zawodowo. Na “haczyk” dali się złapać nawet najwięksi giganci – w 2017 roku w wyniku ataków na działy księgowości Google i Facebooka, pod kontrolą hakerów znalazło się ponad 100 milionów dolarów. Jak wynika z danych rynkowych, phishing wciąż stanowi jedno z najpopularniejszych zagrożeń.

Tylko w 2020 roku:

• istniało ponad 32 000 domen phishingowych (raport Orange CERT, 2020),
• liczba ataków phishingowych wzrosła aż o 220% w porównaniu do roku poprzedniego (raport F5 Labs, 2020),
• aż 72% stron phishingowych używało ważnych certyfikatów HTTPS (raport F5 Labs, 2020),
• ponad 50% witryn phishingowych używało nazw istniejących marek i tożsamości prawdziwych osób w swoich adresach internetowych (raport F5 Labs, 2020),
• zespół CERT Polska zarejestrował 10420 incydentów cyberbezpieczeństwa, spośród których 73% stanowiły właśnie ataki phishingowe (raport Orange CERT, 2020).

Aby wyprzedzić hakerów o krok i nie narażać się na potencjalne ataki, warto podejmować działania prewencyjne.

Najpopularniejszym z nich, doradzanym wszystkim przedsiębiorstwom, niezależnie od ich wielkości czy branży, są testy phishingowe. Takie kontrolowane próby pozyskania poufnych informacji lub nakłonienia pracowników do wykonania określonych czynności, mogących wpłynąć na bezpieczeństwo firmy, przeprowadzane są na określonej grupie pracowników. Ich głównym celem jest weryfikacja poziomu świadomości oraz odporności pracowników na cyberataki, a w efekcie zwiększenie poziomu bezpieczeństwa danej organizacji.

W trakcie audytu wykorzystywane są specjalnie przygotowane i spersonalizowane informacje, a wszelkie prace prowadzone są w sposób kontrolowany, gwarantujący poufność danych oraz bezpieczeństwo środowiska pracy. Osoby zlecające audyt są wcześniej informowane o testach i ich scenariuszach, tak aby z łatwością mogły odróżnić test phishingowy od ewentualnego realnego zagrożenia.

Choć testy phishingowe są świetnym rozwiązaniem, warto oprócz ich wykorzystania postawić jeszcze na zwykłą przezorność i zasadę ograniczonego zaufania.

Poniżej kilka wskazówek, których warto przestrzegać, aby zagwarantować sobie bezpieczeństwo i spokój ducha:

• Unikaj klikania w pochodzące z nieznanych źródeł linki, dobrze weryfikuj nadawców przychodzących wiadomości.
• Nie udostępniaj innym swoich loginów i haseł.
• Zainstaluj oprogramowanie antywirusowe i stosuj filtry antyspamowe.
• Zawsze sprawdzaj, czy wyświetlana przez Ciebie strona internetowa wykorzystuje protokół HTTPS.

We współczesnym świecie nie ma chyba nic cenniejszego niż informacja. Właśnie dlatego kradzież danych z roku na rok staje się coraz powszechniejsza, a metody przestępców coraz bardziej wyrafinowane. Wykorzystanie odpowiednich środków prewencyjnych oraz budowanie świadomości w obszarze cyberbezpieczeństwa pozwoli nie tylko uchronić się przed atakami, ale także sprawnie szacować ryzyko, a w efekcie je minimalizować.