Phishing i jego odmiany, czyli jak nie dać się złowić

Pozornie prawidłowa wiadomość czy link mogą się okazać przynętą służącą do kradzieży naszych danych. Jak więc nie dać się złowić? W tym artykule skupimy się na jednym z najpopularniejszych ataków wykorzystującym techniki wpływu społecznego – phishingu. Czym dokładnie jest, jak działa, w jakich celach jest stosowany i jak możemy zauważyć, że mamy z nim do czynienia?

Phishing jest formą oszustwa, opartą na działaniu inżynierii społecznej, w której atakujący kieruje do nas komunikat, podszywając się pod znaną nam instytucję np. bank, uczelnię, organ ścigania lub miejsce pracy. Celem tej metody, jak sugeruje nazwa, jest „złowienie” nas fałszywym pretekstem tak, abyśmy podali wrażliwe informacje, udzielili dostępu lub zainstalowali złośliwe oprogramowanie.

Phising

Phishing niejedno ma imię

Istnieją różne odmiany i rodzaje phishing’u takie jak vishing (phishing oparty na połączeniu głosowym, w którym oszust nakłania ofiarę do np. zainstalowania złośliwego oprogramowania wykorzystywanego na dalszym etapie oszustwa) oraz smishing (phishing wykorzystujący wiadomości SMS, najczęściej ze złośliwym linkiem).

Poniżej znajduje się przykład phishing’owego e-maila „podszywającego się” pod bank. Warto zwrócić uwagę na bardzo krótką informację z próbą nakłonienie użytkownika do podjęcia działań przez wywoływanie poczucia nagłości i powagi sytuacji.

Kolejna rzecz, na którą warto zwracać uwagę w wiadomościach, które podejrzewamy o bycie phishingowymi, są schowane linki. Link można ukryć np. poprzez wklejenie linku do tekstu i zrobienie z niego hiperlinka z załączonym innym linkiem.

Wiadomości phishingowe często zawierają informację o tym, że temat jest pilny i wymaga naszej szybkiej reakcji. Możemy otrzymać na przykład taki komunikat: „Zweryfikuj swoje konto w ciągu 20 minut albo zostanie ono zablokowane.” W ten sposób przestępca chce zadbać o to, że nie będziemy mieli czasu na sprawdzenie poprawności tej informacji.

przykład maila phishingowego z fikcyjnego banku

Rys 1. Przykład maila phishingowego z banku.
Żródło: https://cert.pl/posts/2022/04/banki-phishing/

W tych sytuacjach warto zachować czujność

Materiały phishingowe są oczywiście przygotowywane w taki sposób, żeby były jak najbardziej wiarygodne. Mimo wszystko, są pewne elementy po których możemy je rozpoznać:

  1. Niezgodne źródło - zawsze sprawdzaj nadawcę i to, czy jego adres/nazwa nie zawiera np. literówek, błędów czy całkowicie niepoprawnej domeny (w przypadku maili).
  2. Błędy - wiadomości phishingowe często zawierają literówki, błędy interpunkcyjne oraz gramatyczne, a także językowe. Czasem wynikają one z nieznajomości języka, automatycznego tłumaczenia lub z pośpiechu – a czasem są umieszczane celowo, aby wyeliminować najbardziej uważnych i spostrzegawczych odbiorców z puli potencjalnych ofiar.
  3. Powołanie się na nieistniejące procedury - manipulacja może polegać na tym, że proszeni jesteśmy o podanie informacji, które rzekomo niezbędne są do przeprowadzenia procedur w ramach danej instytucji. Często jednak nie ma to nic wspólnego z rzeczywistymi procedurami. W sytuacji, w której jesteśmy pytani o poufne dane, proszeni o instalację oprogramowania czy też kliknięcie w podejrzany link, istnieje zagrożenie, że jesteśmy celem ataku phishingowego.
  4. Wywoływanie poczucia nagłości - jest to często powiązane z powoływaniem się na nieistniejące procedury – bezsensowne prośby i próby manipulacji tracą na skuteczności, gdy mamy czas się nad nimi zastanowić. Jeśli w treści e-maila, sms-ie lub połączeniu znajdzie się informacja, np. że „TWOJE KONTO BANKOWE ZOSTAŁO ZABLOKOWANE PRZEZ PODEJRZENIE OSZUSTWA, KLIKNIJ [TUTAJ] I ZALOGUJ SIĘ, ABY SPRAWDZIĆ, W INNYM PRZYPADKU PRZEKAŻEMY SPRAWĘ POLICJI”, to powinna nam się zapalić czerwona lampka.
  5. Fałszywe linki - link w samej wiadomości może wydawać się poprawny, ale warto zawsze chwilę zawiesić nad nim kursor i zobaczyć, czy podgląd linku się z nim zgadza – co do pojedynczego znaku! Linki mogą także różnić się pojedynczą literą, cyfrą lub symbolem.

Warto oczywiście pamiętać, że doświadczony oszust będzie starał się przygotować dokument tak, żeby był jak najbardziej wiarygodny. Błędy mogą być oczywiste, ale dobrze przygotowana wiadomość może dla niewprawionego oka nie różnić się niczym od prawdziwej. Jeśli masz jakiekolwiek wątpliwości, skonsultuj się z reprezentantem instytucji, od której rzekomo pochodzi dokument, i pamiętaj:

  • Nie daj wciągnąć się w działanie pod presją czasu! Jak już wspomnieliśmy, pośpiech sprzyja błędom.
  • Nigdy nie podawaj wrażliwych danych takich jak np. dane logowania. Pracownik instytucji nigdy nie poprosi Cię o nie – nawet w sytuacji zagrożenia.
  • Zawsze sprawdzaj e-maile i strony. Szukaj symbolu kłódki oznaczającego bezpieczne, autoryzowane, szyfrowane połączenie.

Zachęcamy do obejrzenia drugiego odcinka cyberkursu Pewni w sieci, w którym Renata Kania, specjalistką ds. bezpieczeństwa w T-Mobile wyjaśnia zjawisko phishingu i tłumaczy jak się przed nim chronić.

W naszym cyklu poza powyższym artykułem o phishingu znajdziesz również inne m.in. o tym jak działają socjotechniki oraz pozostałe metody wykorzystywane przez oszustów tj. smishing czy spoofing. Zapraszamy także do przeczytania artykułu o dezinformacji i fake news’ach, a także o tym jak robić bezpieczne zakupy online, dbać o prywatność w sieci, chronić urządzenia oraz jak tworzyć bezpieczne hasła.

Bądźcie Pewni w sieci!

Patronaty honorowe: Ministerstwo Cyfryzacji NASK