Phishing, czyli "łowienie" w XXI wieku

Na początku zacznę od wyjaśnienia pojęcia. Oczywiście sucha definicja to nie wszystko. Postaram się również na przykładach wyjaśnić zasadę działania Phishingu. Liczba metod, oszustw cybernetycznych w celu wyłudzenia danych, pieniędzy czy też danych do uzyskania pieniędzy jest tak mnoga, że prawdopodobnie w momencie kiedy popełniam ten tekst, powstają kolejne metody. Zaczynam od wprowadzenia w temat, ponieważ oszustwa tego typu są coraz bardziej powszechne i prowadzą do utraty pieniędzy. W każdym z przypadków kończy się na utracie „jakiejś” kwoty pieniędzy, które zostały ciężko przez nas zarobione. Jest to kolejny etap cyklu stworzonego w celu uświadomienia i uchronienia Czytelnika przed  czyhającymi zagrożeniami.

Czym jest PHISHING

Phishing to typ oszustwa internetowego, które podstępem wyłudza od użytkownika jego osobiste dane. Phishing obejmuje kradzież haseł, numerów kart kredytowych, danych kont bankowych i innych poufnych informacji. - avlab.pl

„Phishing jest najprostszym rodzajem ataku cybernetycznego i jednocześnie najbardziej niebezpiecznym i skutecznym”. - Adam Kujawa, dyrektora Malwarebytes Labs.

Phishing to przebiegła metoda, której używa haker, aby nakłonić Cię do ujawnienia informacji osobistych, takich jak hasła lub numery kart kredytowych, ubezpieczeń i kont bankowych. Robią to poprzez wysyłanie fałszywych e-maili lub przekierowywanie na fałszywe strony internetowe. – Avast

Zjawisko phishingu po raz pierwszy opisano w 1987 roku. Jego nazwa wywodzi się z połączenia słów „fishing” (wędkowanie) i „phreaking” (oszukiwanie systemów telekomunikacyjnych). Oszustwa dokonywane przez phisherów przynoszą ogromne straty. – ing.pl

Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł), lub też jako celowe zapożyczenie od słowa fishing polegająca na łowieniu ryb.

Przykłady Phishingu

Opisane przeze mnie przykłady są jedynie kroplą w morzu i jak wspomniałem wcześniej, prawdopodobnie już są nowe metody oszustwa.

1.     Oszustwo za pomocą portali społecznościowych, które można podzielić poniekąd na co najmniej cztery:

a.     Powiadomienia – wysyłane przez rzekome sieci społecznościowe, gdzie w wiadomości znajduje się odnośnik, który przekierowuje użytkownika, do doskonale spreparowanej, acz fałszywej strony logowania, gdzie po wpisaniu loginu i hasła użytkownik nie zostanie przekierowany na stronę główną portalu, lecz pada ofiarą oszustwa i „podaje na tacy” swoje dane do konta.

b.     Wiadomości bazujące na strachu – wysłane przez osobę podszywającą się pod administratora sieci społecznościowej, z tą różnicą, że pojawia się groźba usunięcia konta lub rzekomy atak na konto użytkownika i konieczna jest zmiana hasła. Po kliknięciu w link przekierowujący dalej dzieje się to samo co powyżej.

c.      Jest jeszcze popularna tzw. „kradzież tożsamości” – w tym przypadku oszust (który w jakiś sposób wszedł w posiadanie loginu i hasła użytkownika) podszywa się pod użytkownika portalu społecznościowego i namawia znajomych do wysłania konkretnej kwoty na jego konto. Po uwierzeniu w wiadomość i wysłaniu oszustowi jakiejkolwiek kwoty pieniędzy na wskazane konto mogą pojawić się inne komplikacje (które postaram się opisać poniżej).

d.     Mniej popularne, aczkolwiek również możliwe oszustwo, które polega na wysłaniu wiadomości za pośrednictwem portalu społecznościowego, z fikcyjnego konta użytkownika. Osoba podszywa się pod kobietę lub mężczyznę i nakłania do nagrania sprośnego filmiku z udziałem w roli głównej z osobą, która właśnie padła ofiarą oszustwa. W przypadku, gdy ofiara „połknie haczyk” i nagra oraz wyśle oszustowi swoje nagranie w jednoznacznej sytuacji to skończy się to wiadomością „Wyślij pieniądze w kwocie 300$ na konto znajdujące na Wybrzeżu Kości Słoniowej, lub Twoi znajomi zobaczą to nagranie”.

2.     Wyłudzanie danych przy pomocy serwisów sprzedażowych

Na kolejne oszustwa można się natknąć korzystając z serwisów handlowych takich jak: Allegro lub OLX. Z tą różnicą, że Allegro jest ubezpieczone i wszelkie utracone koszty można odzyskać, o tyle portal OLX działa na zassanie anonsów i (nawet w swoim regulaminie) zaleca odbiór osobisty i niewysyłanie i nie przelewanie pieniędzy na konta bankowe.

W tym przypadku również możemy wyodrębnić dwa rodzaje oszustw:

a.     Oszustwo polegające na otrzymaniu zapłaty za towar, a nie wysłaniu towaru;

b.     Wysłanie za pomocą maila lub SMSa linku, który przekierowuje do rzekomej aukcji tego przedmiotu na łudząco podobnej, ale fałszywej stronie, gdzie następnie klient przekierowany jest na fałszywą stronę banku, gdzie dochodzi do kradzieży loginu i hasła do konta bankowego

c.      (moje ulubione) Oferta pracy – „Nic nie rób i zarób miliony monet” prawda jest taka, że kontakt jest tylko mailowy, rzadko telefoniczny, nigdy osobisty. Ofiara oszustwa otrzymuje umowę, ale musi wysłać skan obu stron dowodu osobistego, numer konta bankowego, numer telefonu oraz czasami jeszcze inne dane i czeka. Często pojawia się wiadomość „Będą przechodzić duże kwoty przez Twoje konto ale nie martw się. Jak bank zablokuje Ci konto to zaraz odblokuje.” W celu uwiarygodnienia wiadomości oszuści dodają „wszystko jest legalne”. To oszustwo ma różne zakończenia. Zdarza się, że „nowy pracownik” firmy musi wypłacić daną kwotę ze swojego konta i przelać do podanego portfela BITCOIN. Niczego nieświadoma ofiara robi wszystko dla swojego nowego pracownika, ale nagle kontakt z pracodawcą się urywa i nie ma pieniędzy, a policja puka do drzwi. ( o oszustwach na „oferty pracy” napiszę więcej niebawem)

3.     Fałszywe strony internetowe banków

W tej sytuacji po kliknięciu w fałszywy link, użytkownik banku zostaje przekierowany na fałszywą stronę banku.  Tam strona wygląda jak prawdziwa lecz sam link w oknie dialogowym może różnić się jedną literą lub być całkowicie inny, jak również może nie posiadać „kłódki” symbolu odpowiedzialnego za bezpieczeństwo przeglądanej strony.  W tym przypadku po wpisaniu prawidłowego loginu i hasła, w następnym oknie może otworzyć się ta sama strona banku a w niej okienko do wpisania kodu, który przychodzi z banku. Problem w tym, że SMS z banku wraz z kodem może być prawdziwy, lecz należy wtedy dokładnie przeczytać czego dotyczy treść SMS. Jeżeli nie jest włączone logowanie dwuetapowe (o którym napiszę niebawem), to po wpisaniu kodu z SMS’a możemy właśnie zatwierdzić przelew na inne konto. W tym czasie „haker” może znajdować się właśnie na naszej stronie banku i przelewać pieniądze z banku na dowolne konto w dowolnej kwocie. Sytuacja może się powtarzać do czasu oczyszczenia konta do zera. Należy zwracać uwagę na takie detale, ponieważ przestępcy tylko czekają na Nasz błąd lub niedopatrzenie.

4.     Ikonki udające szyfrowane połączenie

Jak wspomniałem wcześniej symbolem bezpieczeństwa strony jest „kłódka” znajdująca się na początku pasku adresu, która jest  powszechnie znanym symbolem, który oznacza szyfrowane połączenie internetowe. Oznacza ona, że na stronie zastosowano bezpieczny protokół HTTPS, czyli szyfrowanie wymiany danych między przeglądarką a serwerem, na którym znajduje się strona. Widząc takie zabezpieczenie, czujemy się w pełni spokojni i nie boimy się dokonywać transakcji. Wykorzystują to coraz częściej przestępcy internetowi i tworzą różne niewielkie obrazki wyglądem przypominające kłódkę. Takie strony służą do kradzieży danych logowania do różnych serwisów - najczęściej płatniczych. Nie dajmy się okraść, dokładnie przyglądajmy się symbolowi zabezpieczeń.

Jak się ustrzec przed phishingiem

•        Rozsądek i uważność to jedyne metody, które mogą uchronić nas przed działaniem cyberprzestępców.
•        Nabądź dobre nawyki i nie reaguj na linki w niechcianych e-mailach lub na Facebooku.
•        Nie otwieraj załączników w niechcianych e-mailach.
•        Ochraniaj swoje hasła i nie ujawniaj ich nikomu.
•        Nie przekazuj nikomu poufnych danych — przez telefon, osobiście lub przez e-mail.
•        Sprawdzaj URL stron (adresy stron). W wielu przypadkach phishingu, adresy strony wyglądają na poprawne i legalne, ale adresy URL mogą być błędnie wpisane lub domena może się różnić (.com zamiast .gov).
•        Dbaj o to, aby przeglądarka była cały czas zaktualizowana i korzystaj z poprawek zabezpieczeń.
•     Nie korzystaj z linków podpowiadanych
•      Dokładnie sprawdzaj zabezpieczenia i certyfikaty stron internetowych.

Przykładów z jakimi spotykam się na co dzień jest bardzo dużo dlatego chciałbym przestrzec wszystkich i każdego z osobna, żebyśmy starali się chronić swoją prywatność i uważali w sieci na treści, które wyświetlamy lub linki, które klikamy.

www.erainformatyki.pl/phishing.html

avlab.pl

Adam Kujawa, dyrektora Malwarebytes Labs.

Avast

ing.pl