Phishing – wróg publiczny nr 1

Phishing – wróg publiczny nr 1

Przeczytanie artykułu zajmie Ci około 7 minut. W artykule znajdują się następujące akapity:

  1. Cyberświat to po prostu część dzisiejszego Świata.
  2. Kilka linijek z danymi statystycznymi – dane dotyczące cyberzagrożeń.
  3. Phishing – wróg publiczny nr 1.
  4. Nie daj się złowić, czyli na czym polega phishing?
  5. Najsmaczniejsza rybka w stawie, czyli kto najczęściej pada ofiarą phishingu?
  6. Pogoda dla cyberprzestępców, czyli okoliczności zawsze sprzyjają phishingowi.
  7. Zerwij się z haczyka, czyli co zrobić żeby zminimalizować ryzyko utraty danych przy phishingu?

1. Cyberświat to po prostu część dzisiejszego Świata.

Cyberzagrożenia stały się integralną częścią naszego życia. Wraz z rozwojem technologii informacyjno-komunikacyjnych, rośnie liczba osób, instytucji i przedsiębiorstw, które korzystają z Internetu oraz innych cyfrowych narzędzi, takich jak smartfony, tablety czy chmura obliczeniowa.

Do najpopularniejszych cyberzagrożeń należą ataki typu: phishing, ransomware, malware, DDoS, hakerstwo czy wykorzystywanie słabości systemów informatycznych. Te ataki mogą prowadzić do poważnych skutków, takich jak kradzież danych osobowych, finansowych, handlowych, wyłudzenie pieniędzy, wyciek informacji, utrata danych, przerwanie działalności biznesowej czy szkody wizerunkowe.

Niestety, żadna organizacja nigdy nie będzie w pełni odporna na cyberzagrożenia, ponieważ ataki są coraz bardziej wyrafinowane i złożone. Każda akcja obronna rodzi reakcję atakujących. Żyjemy w czasach nieustannego wyścigu zbrojeń. 

2. Kilka linijek z danymi statystycznymi – dane dotyczące cyberzagrożeń.

Dane dotyczące bezpieczeństwa/niebezpieczeństwa w sieci są przytłaczające: “Prawie 30 tys. unikalnych incydentów bezpieczeństwa zarejestrował w 2021 roku zespół CERT Polska, funkcjonujący w strukturach Państwowego Instytutu Badawczego NASK. Ponad 75% obsłużonych incydentów stanowił phishing. Oznacza to prawie 200-procentowy wzrost w kategorii takich zdarzeń w porównaniu z poprzednim rokiem.”  https://www.nask.pl/pl/aktualnosci/5005,CERT-Polska-coraz-czestsze-proby-wyludzenia-danych.html 

Trend jest wyraźny i nic nie wskazuje na to, że w kolejnych latach ataków będzie mniej. Musimy być czujni i stale gotowi do obrony. Dobrze by było zatem poznać i przygotować się na działanie naszego najpopularniejszego wroga.

3. Phishing – wróg publiczny nr 1.

Każdy arcyłotr w książce lub filmie już samym imieniem budzi grozę. Chociaż czasami jego geneza jest bardzo prozaiczna. Nasze najpopularniejsze cyberzagrożenie także doczekało się swojej zmyślnej nazwy.

Słowo “phishing” pochodzi od angielskiego wyrazu “fishing”, co oznacza po polsku “łowienie ryb”. Termin “phishing” został stworzony przez programistów i specjalistów ds. bezpieczeństwa komputerowego, którzy zauważyli podobieństwo między oszustwami internetowymi, a tradycyjnymi metodami połowu ryb.

W ataku phishingowym oszuści “łowią” w sieci potencjalne ofiary, próbując wyłudzić od nich poufne informacje, takie jak hasła, numery kart kredytowych czy dane osobowe. 

Termin “phishing” jest grą słów, w której słowo “fishing” zastąpione zostało przez “ph” jako skrót od “password harvesting”, czyli “zbieranie haseł”. Termin ten został powszechnie używany w odniesieniu do tego typu oszustw już od lat 90-tych XX wieku.

4. Nie daj się złowić, czyli na czym polega phishing?

Ten rodzaj cyberataku polega głównie na wykorzystaniu fałszywych wiadomości e-mail, wiadomości tekstowych (SMS) lub stron internetowych. W ten sposób można wyłudzić od użytkowników wrażliwe informacje, takie jak hasła, numery kart kredytowych lub dane osobowe.

Często przybiera formę podszywania się pod rzeczywiste firmy lub instytucje, takie jak banki, usługi finansowe, portale społecznościowe czy sklepy internetowe. Atakujący wysyłają fałszywe wiadomości e-mail lub SMS z prośbą o podanie poufnych informacji, zwykle pod pretekstem “zweryfikowania konta” lub “aktualizacji danych”. Wiadomości te często zawierają linki do fałszywych stron internetowych, na których użytkownik jest proszony o podanie swoich danych.

Ataki phishingowe przez swoją powszechność stanowią poważne zagrożenie dla bezpieczeństwa informacji. 

5. Najsmaczniejsza rybka w stawie, czyli kto najczęściej pada ofiarą phishingu?

Złowić można każdego użytkownika Internetu, ale najczęściej ofiarą padają osoby korzystające z poczty elektronicznej, systemów bankowości elektronicznej, mediów społecznościowych i innych platform online, w których przetwarzane są poufne informacje.

Osoby najbardziej narażone na ataki phishingowe to te, które są mniej świadome zagrożeń związanych z bezpieczeństwem informacji oraz te, które na co dzień korzystają z usług bankowych i finansowych online. 

Częstą grupą atakowaną przez phisherów są pracownicy firm i instytucji, którzy posiadają dostęp do wrażliwych informacji, takich jak hasła, kody dostępu czy numery kont bankowych.

W ostatnim czasie popularnym celem ataków phishingowych stali się także użytkownicy kryptowalut, którzy padają ofiarą oszustów wykorzystujących fałszywe strony internetowe i wiadomości e-mail, w celu wyłudzenia ich poufnych kluczy prywatnych do portfeli kryptowalutowych.

6. Pogoda dla cyberprzestępców, czyli okoliczności zawsze sprzyjają phishingowi.

Wszystko co dzieje się w przestrzeni publicznej, w naszym życiu, w rozwoju technologii sprzyja atakom phisihingowym. Cyberprzestępcy doskonale adaptują się do warunków i wykorzystują je do swoich niecnych celów.

By nie być gołosłownym kilka przykładów:

a. Gdy piszę ten artykuł zbliżamy się do końca kwietnia, tradycyjnego czasu, gdy na ostatnią chwilę składamy nasze zeznania podatkowe za ubiegły rok. O tak, cyberprzestępcy uwielbiają nasz pośpiech. Pośpiech jest zwykle złym doradcom. Atak pod pretekstem zwrotu podatku opisuje na swoich łamach Niebezpiecznik. Jedno kliknięcie i pieniądze już będą na Twoim koncie. Kto by się nie skusił? – https://niebezpiecznik.pl/post/uwaga-na-e-maile-o-zwrocie-podatku/.

b. Gdy piszę ten artykuł mamy rok 2023 rok. Rok, w którym już dotychczas rozwijająca się doskonale technologia BLIK przeżywa prawdziwy boom. Im więcej użytkowników, tym niestety więcej nieświadomych użytkowników. Jeśli źle ocenisz sytuację to… BLIK, pieniądze możesz stracić tak samo szybko jak zwykle je przelewasz. Oddajmy głos Zaufanej Trzeciej Stronie – https://zaufanatrzeciastrona.pl/post/uwaga-na-falszywe-bramki-blik-uzywane-przez-polskich-zlodziei/.

c. Gdy piszę ten artykuł sektor e-commerce ma w Polsce tak ugruntowaną pozycję, że rzadko już obawiamy się zakupu cegły zamiast telefonu komórkowego. Zwłaszcza gdy korzystamy z najbardziej zaufanych platform. Czy jednak ktoś z nas mógłby w ogóle wpaść na pomysł, że powstanie specjalny skrypt, który sczyta nasze ogłoszenie wystawione przed chwilą na Allegro i automatycznie wyślę nam fałszywą wiadomość z linkiem? A cyberprzestępcy na to wpadli. Jako źródło niezawodna analiza od Sekuraka – https://sekurak.pl/phishing-automatyczny-oparty-na-narzedziu-do-scrappingu-ktore-wysyla-sms-z-falszywym-linkiem-zaraz-po-opublikowaniu-nowego-ogloszenia-w-allegro-lub-lokalnie/.

7. Zerwij się z haczyka, czyli co zrobić żeby zminimalizować ryzyko utraty danych przy phishingu?

Każdy artykuł o zagrożeniach najpierw powinien wywołać zaciekawienie/strach by (jeśli wciąż tu jesteście to możliwe, że mi się udało), potem łatwiej było zapamiętać rozwiązanie. 

Unikanie phishingu zwykle opiera się na kilku zasadach, oto one:

a. Bądź ostrożny przy otrzymywaniu wiadomości e-mail lub SMS, zwłaszcza od nieznanych nadawców lub z podejrzanego źródła. Nie otwieraj załączników lub linków, chyba że jesteś absolutnie pewien, że wiadomość jest rzeczywiście od zaufanego źródła.

b. Sprawdzaj dokładnie adres URL strony, na której jesteś proszony o podanie swoich danych. Upewnij się, że jest to rzeczywisty adres strony, z której zazwyczaj korzystasz, a nie fałszywa strona stworzona przez atakujących.

c. Używaj oprogramowania antywirusowego i chroniącego przed phishingiem. Oprogramowanie to może pomóc w wykryciu fałszywych stron internetowych i wiadomości e-mail.

d. Regularnie aktualizuj oprogramowanie i system operacyjny. Aktualizacje mogą zawierać poprawki zabezpieczeń, które pomagają chronić przed atakami phishingowymi.

e. Zachowaj ostrożność podczas korzystania z usług bankowych i finansowych online. Upewnij się, że jest to rzeczywiście strona banku lub instytucji finansowej, a nie fałszywa strona stworzona przez oszustów.

f. Nie udostępniaj poufnych informacji, takich jak hasła, numery kart kredytowych lub dane osobowe, chyba że jesteś absolutnie pewien, że strona jest bezpieczna i pochodzi od rzeczywistego źródła.

g. Edukuj się na temat zagrożeń związanych z phishingiem i innymi rodzajami ataków cybernetycznych. Im bardziej świadomy jesteś zagrożeń, tym łatwiej jest ci je rozpoznać i zminimalizować ryzyko utraty danych.

h. W ramach edukacji naucz się rozpoznawać phishing. W Internecie wiele jest gotowych quizów, które Ci w tym pomogą. Możesz na przykład przetestować ten przygotowany przez Google: https://phishingquiz.withgoogle.com/.

Bądź czujny, pamiętaj, że każdy kto łowi jest bardzo zaangażowany w to co robi i najczęściej działa już wtedy, gdy Ty sobie jeszcze smacznie śpisz.

Jeżeli chcesz sprawdzić czy Twoja Organizacja jest odporna na phishing, możemy przeprowadzić dla Ciebie kontrolowany audyt z użyciem socjotechniki, który bez negatywnych konsekwencji podniesie świadomość Twoich pracowników lub przeprowadzić szkolenie z zakresu cyberbezpieczeństwa, na którym mówimy o tym i wielu innych cyberzagrożeniach – nie czekaj, skontaktuj się z nami: biuro@comp-net.pl.

Autor: Kamil Lewicki – Kierownik Projektu – CompNet Sp. z o.o.