Trochę historii

Pochodzenie samej nazwy „phishing” jest proste. Proces wyłudzania danych jest analogiczny do prawdziwego łowienia ryb. Zakładamy przynętę, aby oszukać swoją ofiarę, po czym wrzucamy przynętę do wody i liczymy, że coś się złapie.

Określenie pojawiło się w latach 90 XX wieku w kontekście wyłudzenia informacji. Ogólnie założenie jest takie, by komunikat sprawił, że sami nieświadomie ujawniamy tajne dane. Najważniejszym czynnikiem, który wpływa na skuteczność, jest możliwie jak najbardziej podobny format “wiadomości”, na przykład z wykorzystaniem takiej samej czcionki, stopki w mailu czy logo firmy. Z premedytacją użyłem słowo wiadomości w cudzysłowie, ze względu na to, że od razu myślimy o mailach. Niestety to nie jedyna forma, aczkolwiek obecnie chyba najpopularniejsza.

egzamin ITIL

Wyróżniamy następujące kategorie ataków phishingowych:

  • Phishing za pomocą wiadomości mailowych
  • Vishing czyli pozyskanie poufnych informacji z wykorzystaniem rozmowy telefonicznej. Jest to metoda najbardziej znana dzięki Kevinowi Mitnick znanemu jako Condor
  • Smishing wykonywana jest za pomocą sms lub komunikatorów. Przykładem takiego  ataku jest wiadomość SMS wyglądająca jakby została wysłana przez np.: bank czy inną instytucję.
  • Pharming to właściwie analogiczna metoda co Smishing z tym wyjątkiem, że podesłany jest adres do strony z nadzieją na kopiowanie oraz użycie. Dzięki temu możliwe jest przechwycenie lokalnego bufora DNS, który przenosi użytkownika w wybrane miejsce, czyli do fałszywej strony WWW.
  • Spear phishing czyli atak ukierunkowany na konkretny cel, np. administratorów systemu firmy, najczęściej po wykonaniu rekonesansu. Wyobraźmy sobie sytuację, w której administrator dostaje mail podszywający się pod firmę, z usług której korzystamy, a w wiadomości jest link do release note.
  • Whaling to odmiana Spear phishingu z tą różnicą, że celem ataków są osoby z najwyższego szczebla organizacji

Jak się przed nim bronić?

Niestety nie ma 100% skutecznej metody. Jednak pierwszym krokiem jest świadomość co może nam grozić i jakimi metodami mogą nas zaatakować. Cały czas powinniśmy zachowywać nie tylko czujność ale również zdrowy rozsądek. Co powinno wzbudzić nasze podejrzenia?

  • wiadomości zawierające błędy językowe i gramatyczne
  • wiadomości nakłaniające nas do pilnego i szybkiego działania. Na przykład poprzez zastraszanie nieprzyjemnymi konsekwencjami jak zablokowaniem konta czy windykacją
  • domena nadawcy e-maila wygląda inaczej niż zwykle wiadomości zawierające linki, które nie są w domenie firmy czy instytucji
  • wiadomości typu: Konto zostało zablokowane lub wymaga weryfikacji
  • telefon z banku z zapytaniem o twoje dane (najlepiej rozłączyć się i osobiście zadzwonić do banku)
  • nieprawidłowe źródło wiadomości
  • wiadomość w postaci jednej wielkiej grafiki, która sugeruje prawdziwą firmę
  • nagłówki szantażujące, proszące o pomoc, oferujące wsparcie

Niezwykle ważne, jest aby stosować te wszystkie zasady razem. Przede wszystkim nie działaj pod wpływem emocji. Sam wielokrotnie wygrałem w loteriach bądź jakiś szejk chciał podzielić się ze mną częścią majątku,

Strony internetowe można spreparować stosunkowo szybko i łatwo dlatego powinniśmy zwracać uwagę w pierwszej kolejności na adres strony, który zawierać będzie nazwę łudząco podobną do oryginalnej, zawierajaca literówke lub inna domenę. Możemy również sprawdzić czy certyfikat SSL jest wystawiony na właściwa firmę.

W przypadku  linków, które otrzymujemy najlepsza metodą jest najechanie na nie kursorem, dzięki czemu w lewym dolnym rogu wyświetli się adres do którego link prowadzi.

Podejrzewam phishing. Co dalej?

Możesz po prostu zignorować wiadomość i nie klikać w link. Ale warto takie działania zgłosić. Jest to wyjątkowo łatwe. Wystarczy po prostu wejść na stronę internetową związaną incydentami CERT Polska https://incydent.cert.pl/ . Po wypełnieniu formularza powinniśmy załączyć wiadomość i wysłać zgłoszenie.

Robotic Process Automation

Rada ode mnie?

Jako, że człowiek zawsze jest najsłabszym ogniwem, to warto podnosić świadomość pracowników w kwestiach bezpieczeństwa. Z tego względu warto rozważyć np. przeprowadzenie “akcji phishingowych” w obrębie przedsiębiorstwa. Pamiętajcie tylko, by takie podnoszenie świadomości nie przerodziło się w testy obciążeniowe, co może się źle skończyć.

Google swego czasu przygotowało stronę z quizem. Ciekawe czy będziecie w stanie rozpoznać co jest próba oszustwa, a co nie. Warto się sprawdzić.

Jigsaw | Phishing Quiz

 

Autor
  • Krzysztof Nancka
  • Senior software tester
  • Tester związany z branżą od prawie 5 lat, w tym czasie realizował projekty w sektorze e-commerce. Zawsze chętny na kolejne projekty, bo łączy pracę z pasją. Entuzjasta security, który prywatnie zajmuje się rekonstrukcją historyczną wikingów i łucznictwem tradycyjnym.

Opracowanie redakcyjne:
Kamil Falarowski
Redakcja tekstu
Chcesz wiedzieć więcej?

Dołącz do naszego newslettera, a nie ominą Cię żadne nowości!