​Phishing to jedna z najczęściej wybieranych przez oszustów form ataku.  Jest on prosty do przeprowadzenia, a może być naprawdę groźny dla ofiary. Na czym polega Phishing? Jak działa?

​Czym jest Phishing i na czym polega

1655 (44,2% wszystkich zarejestrowanych) to liczba zdarzeń związanych z phishingiem wedle CERT

Czym on jest?

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. 

Źródło: Wikipedia

Definicja ta jest dość prosta. Oszust podszywa się, by wyłudzić dane. Jak to robi?
Sposobów na to jest wiele, a pomysłów tyle, ile ludzi. Dlatego warto być ostrożnym. Przyjrzyjmy się głównym z nich.

Najprostsze wyłudzenie danych

Najłatwiej stracić swoje wrażliwe dane padając ofiarą przeróżnych socjotechnik. Przyjrzyjmy się takiemu scenariuszowi:

Telefon z niebezpieczną wiadomością
Źródło obrazka: bchydro.com

Dzwoni telefon. Odbierasz. W słuchawce słyszysz głos miłego pana, który przedstawia się jako osoba dzwoniąca z banku, w którym posiadasz konto. Pan nie chce powiedzieć, w jakiej sprawie dzwoni, dopóki nie przeprowadzi ‘weryfikacji’. Taką weryfikacją jest zazwyczaj odpowiedź na pytanie o datę lub miejsce urodzenia, nazwisko panieńskie matki, czy czasem nawet o numer PESEL. Po usłyszeniu odpowiedzi konsultant może nawet przedstawić nam jakąś ofertę i pokierować rozmową w taki sposób, abyśmy się nie zorientowali, że właśnie padliśmy ofiarą phishingu.

Do czego oszust może wykorzystać zebrane dane? Co da mu nazwisko panieńskie naszej matki? Może na przykład za jego pomocą zweryfikować się w Twoim banku i np. zmienić numer telefonu przypisany do konta, a posiadając komplet różnych danych, może nawet zaciągnąć na Ciebie kredyt!

Podszywanie się pod banki i bramki płatnicze

Phishing fałszywa bramka dotpay
Źródło: niebezpiecznik.pl

Fałszywe strony logowania banków i bramek płatniczych są zdecydowanie najpopularniejszą formą oszustwa. Na czym ono tak naprawdę polega?

Oszust tworzy idealną kopię stron logowań do bankowości internetowej różnych banków oraz stronę którejś z bramek płatniczych (PayU, Przelewy24, itp.). Kolejnym etapem jest przesłanie ofierze linku prowadzącego do fałszywej bramki płatniczej. Trzeba również uśpić czujność ofiary i zadbać o to, aby miała dostatecznie dobry powód do dokonania nagłej płatności przez podstawioną fałszywą stronę

W tym celu stosuje się po raz kolejny różnego rodzaju socjotechniki (wiadomości o nagłej dopłacie do paczki, o dopłacie w związku z koniecznością dezynfekcji paczki - ostatnio z uwagi na panującą sytuację dość modne). W każdym scenariuszu podaje się ofierze ważny powód do zapłaty drobnej kwoty. Wielu nie zastanawia się nad dokonaniem dodatkowej opłaty na kwotę 1 zł (“A co tam, szkoda wnikać, zapłacę i z głowy”). W każdej takiej wiadomości znajduje się link umożliwiający ‘szybką i bezpieczną’ płatność. 

Po wejściu na tak spreparowany link ofiara trafia na stronę identyczną jak znana jej bramka płatnicza. Po wybraniu swojego banku lub metody płatności kartą ofiara trafia na kolejny znany już jej formularz (np. strony logowania do banku). Po wpisaniu danych logowania najczęściej zwrócony zostanie błąd informujący o niemożliwości wykonania danej operacji. Tymczasem oszust jest już w posiadaniu naszych danych autoryzacyjnych lub danych karty płatniczej.

​Jak się bronić?

Istnieje wiele zaleceń jak należy postępować, aby nie dać się oszukać. W tym wpisie przytoczone zostaną najważniejsze.

Po pierwsze: nie ufać.

Tak jak w ruchu drogowym, tak w internecie funkcjonuje jedna, fundamentalna zasada: zasada ograniczonego zaufania​.

Jeżeli nie jesteś w 100% pewien, że ten email, ten link, ten plik jest bezpieczny - nie ufaj mu.  Jeśli jesteś pewien w 100% (przed sprawdzeniem)  to znaczy, że wysłałeś wiadomość sam sobie.

Tyczy się to także dzwoniących do nas obcych ludzi.

Na co zwracać uwagę w sieci, żeby nie dać się phishingowi?

Jak w każdej dziedzinie, najlepszym sposobem obrony jest wiedza i bycie świadomym sposobu działania oszustów oraz tego, na co należy zwracać szczególną uwagę.

Adres URL
Źródło: ithardware.pl

Podejrzany link (adres URL)

Pierwszą rzeczą, jaka może nam się rzucić w oczy, jest podejrzany link. 

Jeżeli link wygląda przykładowo tak: dix3js.xyz czy też dxka.ru, całkiem łatwo zauważyć, że coś jest nie tak. A co jeżeli dostaniesz maila z linkiem gogle.co, facebuk.pl, gooogle.com lub drive--google.com? W pośpiechu łatwo przeoczyć różnicę. Dlatego pierwszym krokiem jest sprawdzenie na jaki adres kieruje nas otrzymany/napotkany odnośnik. Ale niestety nawet poprawny adres nie zawsze gwarantuje bezpieczeństwo odnośnika.

Zamienione litery w adresie

Niektóre czcionki wyświetlają małą literę L jak wielkie i (a takich przykładów jest więcej). Można też wykorzystać symbole z innych alfabetów. Dla przykładu: 

W cyrylicy mała litera “a” wygląda identycznie jak w alfabecie łacińskim “a”, ale mają one inne kody - odpowiednio U+0430 oraz U+0061. Pozwala nam to napisać adres Wikipedii na 2 sposoby:

  1. cyrylicą: wikipediа.org
  2. alfabetem łacińskim: wikipedia.org

Łatwo o pomyłkę, prawda?

Co prawda duże firmy, takie jak Google czy Facebook starają się wykupywać większość domen, które mogłyby zostać wykorzystane do takiego oszustwa, aczkolwiek - na to mogą pozwolić sobie tylko duzi gracze (a korzystamy nie tylko z usług wielkich, międzynarodowych korporacji) oraz co ważniejsze - ludzka przebiegłość nie zna granic. Zawsze znajdzie się obejście. Co możemy na to poradzić? O tym w kolejnych punktach.

​Guzik, sprawdzenie przekierowania

A co, jeżeli dostaliśmy e-mail, w którym nie ma adresu, tylko guzik?

Odpowiedź jest prosta. Po najechaniu na przycisk, w oknie przeglądarki (w przypadku Chrome będzie to dolny, lewy róg) pojawia się linijka z adresem, na który przekierowuje dany guzik.

Najazd na przycisk google chrome

Co ważne, nie tylko przyciski mogą kierować pod adresy inne niż tekst w nich zawarty! Tekst, jaki wyświetli się pod linkiem, a miejsce do jakiego się on odnosi to dwie różne rzeczy. Na szczęście poprzez najechanie kursorem na dowolny odnośnik możemy sprawdzić, gdzie tak naprawdę zostaniemy przeniesieni po kliknięciu.

Najazd na link w google chrome
Jak widać, po najechaniu na tekst “Pobierz jako PDF” przeniesieni zostaniemy na całkiem inny adres, niż tekst, na który klikamy (ten akurat jest prawdziwy, ale przecież nie musi być).

​Certyfikat SSL

W porządku. Wiadomo już, że należy uważać na fałszywe linki podszywające się pod znane serwisy. Jak możemy się jednak upewnić, że strona, na którą weszliśmy poprzez niezaufany odnośnik, a która wygląda na prawdziwą rzeczywiście nią jest? W przypadku dużych firm (banki, większe sklepy internetowe, bramki płatnicze) możemy posiłkować się weryfikacją certyfikatu SSL. Weźmy dla przykładu stronę banku ING.

Adres strony ING.pl

Zasada 1: Weryfikacja obecności certyfikatu

W obecnych czasach każdy szanujący się podmiot funkcjonujący w internecie i obracający naszymi danymi posiada certyfikat SSL wydany dla swojej domeny. Nigdy nie ufaj stronom, które proszą o coś więcej niż adres e-mail, a nie posiadają certyfikatu SSL! Dlatego pierwszym krokiem jest sprawdzenie, czy dana strona posiada certyfikat. Jak to zrobić? 

Czasami możemy po prostu zauważyć w adresie URL https na początku - wtedy wiemy, że strona certyfikat posiada. Jednak często przeglądarki (np. Chrome) ukrywają człon protokołu w adresie URL. Wtedy warto rozejrzeć się za symbolem zielonej, zamkniętej kłódki w pasku adresu przeglądarki. Jest to potwierdzenie bezpiecznego połączenia. 

Zasada 2: Weryfikacja certyfikatu

Niestety sama obecność certyfikatu jeszcze nic nie znaczy. Istnieją bowiem różne rodzaje certyfikatów, niektóre są darmowe i nie wymagają żadnej szczegółowej weryfikacji podmiotu, dla którego są wystawiane. Opisywany tutaj sposób dotyczy certyfikatów, które są wystawiane po fizycznej weryfikacji podmiotu gospodarczego, do którego należy dana domena.

Z takich certyfikatów korzystają banki, bramki płatnicze i duże sklepy internetowe. Zawierają one w sobie informację o nazwie podmiotu, dla którego zostały wystawione, co pozwala na jego weryfikację.

Aby zobaczyć szczegóły certyfikatu wystarczy kliknąć w ikonę kłódki widoczną w pasku adresu przeglądarki. Pojawi się wtedy okienko ze szczegółami połączenia.

Informacja o certyfikacie google chrome

Przeglądarka informuje nas, że połączenie jest bezpieczne - znaczy to tyle, że certyfikat jest. Teraz musimy sprawdzić jeszcze na kogo jest wystawiony. W tym wypadku widzimy, że jest on wystawiony dla ING Bank Śląski S.A. [PL]. Możemy więc teraz ze spokojem korzystać ze strony mając pewność, że znajdujemy się na prawdziwej stronie banku. Uwaga! Czasem nazwa podmiotu zarządzającego daną domeną nie będzie zgadzała się z jej nazwą - ale wtedy wystarczy wyszukać ową firmę i sprawdzić, jakie marki posiada.

Jeżeli dalej nie czujemy się pewni, możemy kliknąć w certyfikat i go zobaczyć.

Certyfikat strony ING.pl

Podejrzana wiadomość

Jeżeli wiadomość, z której pochodzi link wygląda podejrzanie - prosi Cię o dane takie jak:

  • Nazwa użytkownika i hasło
  • Numer PESEL
  • Numer konta bankowego
  • Kod PIN
  • Numer karty kredytowej
  • Nazwisko panieńskie matki
  • Data urodzenia

Źródło listy: support.google.com 

To prawdopodobnie jest to próba wyłudzenia danych. Żadna szanująca się firma nie prosi o takie dane w żadnym rodzaju wiadomości - ma od tego zabezpieczone strony.

Wpisywanie linku bezpośrednio, najprostszy sposób ochrony

To najprostsza forma zabezpieczenia się przed phishingiem.

Jeżeli chcesz wejść na stronę banku - wpisz adres bezpośrednio w wyszukiwarkę (jeżeli go pamiętasz) - np. ing.pl. Jeżeli nie - wpisz go w google. Firmy podszywające się praktycznie nigdy nie wyskakują nawet blisko pierwszej strony w wyszukiwarce (zwykle nie pojawiają się w ogóle), zaś oryginalna strona, której szukamy pojawi się na jej szczycie.

Wyszukanie adresu ing w google

Wpisując adresy samodzielnie zwalniamy się z konieczności weryfikacji każdego odnośnika, nigdy jednak nie należy tracić czujności! 

Czasem jednak musimy skorzystać z przesłanych nam linków, np. do opłacenia zamówienia. Dopóki nie korzystamy z oferty niszowych, nieznanych sklepów, nie mamy się zazwyczaj czego obawiać. W innych przypadkach należy być po prostu ostrożnym i nieufnym. Pamiętajmy, że oszuści bardzo często będą chcieli zagrać na naszych emocjach (np. niesamowitą promocją na rzadki produkt), a jak wiadomo emocje są przeciwnikiem rozumu, dlatego zawsze starajmy się do wszystkiego podchodzić ostrożnie i 'na chłodno'. 

Czytanie wiadomości

Warto tutaj wspomnieć, że są strony takie jak niebezpiecznik.pl, których misją jest ostrzeganie ludzi przed różnego rodzaju oszustwami i informowanie ich, jak można się przed tym bronić. Warto śledzić tego typu strony, żeby być na bieżąco z nowymi pomysłami oszustów :)

Przykładowe artykuły właśnie o Phishingu:

Taki e-mail z Orlenu

Uwaga na SMS-y od Pogodynki

Ktoś podając się za urzędnika Ministerstwa Cyfryzacji dzwoni do Polaków i prosi o pokazanie dowodu do kamerki

Sprawdź się!

Google przygotowało świetny krótki test, który pokaże Ci różne przykłady phishingu, nauczy Cię go rozpoznawać oraz pozwoli Ci sprawdzić się, na ile podatny jesteś.

Link do tego quizu znajdziesz tutaj

I gorąco Cię do tego zachęcam! 

Śmiało, możesz pochwalić się wynikiem w komentarzach :)

Na koniec, zasada najważniejsza

I nie jest ona niczym, czego już nie wiesz. Jest to ponownie zasada ograniczonego zaufania. 

Mam nadzieję, że wiesz o tym sposobie wyłudzenia więcej niż przed przeczytaniem tego wpisu. Standardowo - jeżeli masz jakieś pytania, z chęcią odpowiemy!


Materiały graficzne w miniaturce pochodzą z SVGRepo