Co to jest Phishing
Phishing jest popularnym rodzajem cyberataku, wykorzystującym głównie pocztę email jako medium komunikacji z potencjalną ofiarą. Celem atakującego jest wyłudzenie informacji poprzez podszywanie się i stosowanie przeróżnych technik inżynierii społecznej.
Przeczytaj również: Jak rozpoznać Phishing i się zabezpieczyć przed nim?
Czego może chcieć od nas atakujący:
- Podania loginu oraz hasła np. do skrzynki pocztowej;
- Podania numeru telefonu;
- Wypełnienia formularza zawierającego wrażliwe dane osobiste;
- Wykonania przelewu bankowego lub przelewu typu BLIK;
- Otwarcia załącznika w mailu lub kliknięcia w link znajdujący się w treści wiadomości;
- Zalogowania się do banku, podania kodu jednorazowego z aplikacji autoryzującej;
- Zmiany hasła w portalu Bankowości internetowej, skrzynce pocztowej lub w innym portalu.
Jakie może stosować metody przy wyłudzeniu powyższych informacji:
- mail z banku z informacją o konieczności zmiany hasła, zablokowaniu konta lub uruchomieniu nowej metody autoryzacji – zazwyczaj prowadzi do fałszywej strony banku (która może pozornie wyglądać jak strona oryginalna!) w celu podania wrażliwych danych (login, hasło, kod jednorazowy z aplikacji bankowej);
- mail z serwera pocztowego z informacją o wygaśnięciu hasła z linkiem prowadzącym do fałszywej strony i formularza zmiany hasła;
- mail z popularnego sklepu internetowego lub serwisu streamingowego, zawierający link do formularza z aktualizacją danych lub załącznikiem zawierającym „ważne informacje” a w rzeczywistości niebezpiecznym wirusem;
- mail z popularnej firmy kurierskiej zawierający fakturę lub link do opłacenia przesyłki;
- mail od jednego z dystrybutorów energii elektrycznej z wezwaniem do zapłaty;
- mail z informacją o przejęciu naszego komputera, posiadaniu kompromitujących nas materiałów z groźbą publikacji, jeśli nie zapłacimy okupu. Mail w celu uwiarygodnienia może prezentować niektóre dane osobiste.
- Każdy inny mail, który sprowokuje nas do podania wrażliwych danych
Pomysłowość grup przestępczych nie zna granic!
Rodzaje ataków
Ataki typu Phishing są wysyłane w ogromnych ilościach i ich skuteczność zazwyczaj opiera się na rachunku prawdopodobieństwa (im więcej maili tym większa szansa na „złowienie ofiary”).
Oprócz tradycyjnych maili typu Phishing wyróżnia się dodatkowe (podobne) rodzaje ataków:
Atak ukierunkowany do konkretnej grupy osób. W celu zwiększenia skuteczności i zwiększenia poziomu wiarygodności maila, w treści zawarte są dane osobiste, które zostały pozyskane wcześniej – bez wiedzy atakowanego. Dzięki temu zabiegowi atakowany jest w stanie bardziej uwierzyć w wiarygodność danego maila.
Atak typu Spear, ale kierowany do grupy osób ze ścisłego kierownictwa czy zarządu firm i/lub instytucji, które zostały wybrane jako cel ataku.
Jest to atak z użyciem połączenia telefonicznego, podszywanie się pod przedstawicieli instytucji, banków w celu pozyskania wrażliwych, poufnych informacji.
Uwaga: Obecnie do tego typu ataku może zostać wykorzystana sztuczna inteligencja, która posiadając próbkę głosu, może naśladować głos osoby, którą zna potencjalna ofiara ataku.
Wykorzystywanie spreparowanych wiadomości SMS jako medium do kontaktu. Cel ataku jest identyczny jak w przypadku tradycyjnego phishingu.
- Clone phishing (Klonowanie)
Przestępcy wykorzystują maile wysyłane przez oryginalne serwery usługodawców, banków czy instytucji, klonują je, zamieniając załączniki lub linki zawarte w tych mailach na ich szkodliwe odpowiedniki i wysyłają ponownie.
Jak się chronić – czyli metody odpierania ataków
W celu ochrony czy minimalizowania skutków potencjalnych ataków możemy zastosować pewne rozwiązania techniczne, należy pamiętać, iż zawsze „ostatnią deską ratunku” jest czynnik ludzki, dlatego nie można lekceważyć mniej technicznych metod – procedur, szkoleń i uświadamiania pracowników organizacji.
Sprawdź odcinek naszego podcastu na ten temat:
Edukacja – przeprowadzanie szkoleń dla pracowników i podnoszenie świadomości w zakresie:
- Phishingu – prezentując przykładowe maile i sposoby na pozyskanie od nas informacji;
- Skutków klikania w linki i załączniki w sytuacji, gdy nie mamy pewności, że pochodzą od zaufanego nadawcy;
- Konieczności używania menadżera haseł;
- Sposobów weryfikowanie nadawcy maila;
- Podstawowych zasad bezpieczeństwa – czego nie należy robić (ujawnienie haseł, reagowanie na maile wymuszające zmianę hasła czy logowania do portali/banków);
- Konieczności informowania IT w przypadku pojawienia się podejrzanej wiadomości lub kliknięcia w nietypowy załącznik albo link.
Kampanie antyphishingowe:
- Do pracowników wysyła się w różnych odstępach czasowych, specjalnie przygotowane maile w celu sprawdzenia jaka duża grupa osób kliknie w załączniki, link lub poda wrażliwe dane. Po każdej takiej iteracji, osoby podatne na zagrożenia przechodzą kolejną fazę szkoleń. Proces może trwać kilka miesięcy w zależności od wielkości grupy, efektów. Kampanie powinny być regularnie powtarzane.
Zabezpieczenia techniczne:
- Stosowanie uwierzytelniania dwuskładniowego (MFA) wszędzie tam, gdzie się da;
- Stosowanie systemów antyspamowych przed serwerem poczty;
- Dodawanie przez serwer oznaczenia do wiadomości, która przychodzi z obcej domeny pocztowej (np. „Ta wiadomość pochodzi z zewnątrz organizacji”, „EXTERNAL”);
- Stosowanie mechanizmów utrudniających podszywanie się pod serwer pocztowy (SPF, DKIM, DMARC);
- Ograniczenie uprawnień administracyjnych na stacjach roboczych;
- Cykliczne aktualizowanie systemów operacyjnych.
Podsumowując
Skuteczna walka z phishingiem wymaga zrozumienia, że jest to zagrożenie powszechne, dynamiczne i nieustannie ewoluujące, dlatego musimy być świadomi ryzyka i nieustannie aktualizować naszą wiedzę i zabezpieczania. Tylko połączenie wszystkich metod oraz regularny trening użytkowników mogą przynieść efekt w postaci minimalizacji ryzyka. Należy mieć świadomość, że tego typu zagrożeń nie da się wyeliminować w stu procentach, a na atak phishingowy narażony jest każdy z nas i to nie tylko w pracy.