facebook
Phishing - haczyk na internautę
07 sierpnia 2014

Może być masowy albo bardzo precyzyjny. Wysublimowany albo zaskakująco prymitywny. Pozornie nieszkodliwy lub dewastujący dla zawartości naszych kont czy portfeli. Może być e-mailowy, VoIP-owy, komunikatorowy… albo może wcale nie być związany z internetem. Oto phishing – jedna z ulubionych metod cyberprzestępców polujących na nasze dane osobowe, pliki, cenne dokumenty lub po prostu pieniądze.

„Dzień dobry. Szanowny Kliencie banku XXXX, informujemy, że w związku z modernizacją naszego systemu informatycznego niezbędne jest potwierdzenie aktualności danych niezbędnych do zalogowania się do serwisu transakcyjnego. W związku z tym prosimy o odwiedzenie strony internetowej www.NAZWA_BARDZO_PODOBNA_DO_XXX.pl i zalogowanie się do systemu. W razie niezastosowania się do powyższej instrukcji dostęp do konta zostanie zablokowany w ciągu 24 godzin. Pozdrawiamy, z poważaniem itp., itd…”.

Jesteśmy gotowi założyć się o duże pieniądze, że większość naszych czytelników (i szerzej: polskich internautów) dostaje takie e-maile całkiem regularnie. Wiele osób już na szczęście wie, co z nimi robić – ignorować, kasować, a najlepiej zgłaszać do odpowiedniego banku, na policję lub do polskiego CERT-u (zespołu odpowiedzialnego za bezpieczeństwo w polskim internecie). Jest to bowiem klasyczny phishing, czyli operacja przestępcza, polegająca na podszywaniu się pod kogoś innego w celu wyłudzenia od użytkownika cennych danych. Może to być np. zasygnalizowane powyżej podszywanie się pod bank po to, by „wyciągnąć” od internauty jego login i hasło do systemu transakcyjnego, ale podobne ataki bywają wymierzone w użytkowników najróżniejszych serwisów i usług internetowych (Facebook, Allegro, PayPal itp.).

Historia zbrodni

Termin phishing (słowo to wymawia się tak samo fishing, czyli po angielsku łowienie na wędkę) pojawił się w USA w połowie lat 90. XX wieku – posługiwali się nim włamywacze „polujący” na użytkowników ówczesnego giganta internetowego, czyli serwisu America Online (AOL). Sposób działania przestępców sprzed dwóch dekad był dość zbliżony do dzisiejszych technik – do użytkowników AOL wysyłano e-mailem informację o problemie z ich kontem oraz odnośnik do formularza, który miał pomóc w zweryfikowaniu danych dostępowych. Jeśli ktoś wykonał polecenie przestępców, natychmiast tracił dostęp do swojego konta (przestępca przechwytywał hasło, a potem błyskawicznie je zmieniał). Później takie przejęte konta były wykorzystywane głównie do rozsyłania spamu.

Pochodzenie samego terminu jest nie do końca jasne – są na ten temat dwie teorie. Według jednej jest to skrót od password harvesting fishing, czyli łowienie haseł; inna mówi, że ukuto go od nazwiska mitycznego złodzieja kart kredytowych, Briana Phisha. Bardziej prawdopodobna wydaje się jednak wersja, w myśl której termin powstał na zasadzie skojarzenia z tagiem „<><”, który faktycznie wygląda nieco jak ryba (fish) i który był używany przez przestępców na chatach internetowych jako symbol/synonim niektórych przestępczych działań (przestępcy wykorzystywali fakt, że jest on powszechnie używany i w związku z tym żaden system monitorujący nie uznawał go za podejrzany).

Przez kilka pierwszych lat internetowi przestępcy korzystali z tej techniki w bardzo ograniczonym zakresie, chyba nie do końca zdając sobie sprawę z tego, jak duży ma ona dla nich potencjał. Do końca lat 90. zdecydowana większość „operacji phishingowych” polegała po prostu na przejmowaniu dostępu do kont e-mail. Sytuacja zmieniła się wraz z początkiem XXI wieku – latem 2001 roku odnotowano pierwszy w historii atak wymierzony w klientów internetowej instytucji finansowej. Celem była internetowa giełda złota e-Gold (a dokładniej – część jej zarejestrowanych użytkowników) i choć skuteczność owego ataku była znikoma, to jednak szlak został przetarty i przestępcy zorientowali się, że phishing może być bardzo dochodowym procederem. Kilka miesięcy później nastąpił atak na World Trade Center i w zamieszaniu, które po nim wybuchło, phisherzy jeszcze kilkakrotnie próbowali swojego szczęścia – z coraz lepszą skutecznością. Pierwszy zarejestrowany atak phisherski, którego celem byli klienci banku internetowego, nastąpił 2 lata później – w 2003 roku. Od tej pory liczba podobnych incydentów zaczęła rosnąć lawinowo i do dziś atakowani byli i są klienci praktycznie wszystkich banków i instytucji finansowych.

Jak nie dać się nabrać oszustom

1. Zabezpiecz się przed spamem Owszem, phisherzy coraz częściej starają się personalizować wiadomości, za pośrednictwem których próbują wyłudzić nasze informacje – jednak zdecydowana większość takich e-maili jest rozsyłana masowo, jak klasyczny spam. Dlatego wdrożenie odpowiednich zabezpieczeń antyspamowych może w znacznym stopniu ograniczyć ryzyko (potencjalnie niebezpieczne e-maile po prostu do nas nie dotrą). Warto też korzystać z oprogramowania zabezpieczającego – wiele z nich potrafi skutecznie identyfikować i blokować niebezpieczne wiadomości (nie tylko zawierające złośliwe załączniki, ale również odnośniki do stron uznanych z jakiegoś powodu za szkodliwe dla użytkownika).

2. Ignoruj podejrzane wiadomości To, że jakiś e-mail został „przepuszczony” przez filtr antyspamowy, zaś skaner antywirusowy nie wykrył w nim niebezpiecznej zawartości, wcale nie znaczy jeszcze, że wiadomość na 100% jest bezpieczna. Ignoruj wszystkie wiadomości, których adresat żąda podania jakichkolwiek poufnych informacji – danych finansowych, teleadresowych, loginów czy haseł. Jeśli masz jakiekolwiek podejrzenia, że wiadomość została wysłana przez kogoś, kto podszywa się pod nadawcę – sprawdzaj. Czasami wystarczy jeden telefon, by zweryfikować, czy e-mail faktycznie pochodzi np. z banku. Co ważne, nie dzwoń na numery podane w owej wiadomości – wejdź na oficjalną stronę danej firmy i skorzystaj z dostępnych na niej numerów telefonicznych.

3. Nie wysyłaj poufnych informacji e-mailem Po prostu tego nie rób – takie dane bez problemu można przechwycić. Jeśli z jakiegoś powodu musisz to zrobić, skorzystaj z szyfrowania.

4. Surfuj bezpiecznie Gdy odwiedzasz stronę banku lub instytucji finansowej, upewnij się, że połączenie jest szyfrowane, zaś certyfikat wystawiony jest dla witryny, którą właśnie odwiedzasz (można to zrobić, klikając ikonę kłódki – wtedy wyświetlone zostaną szczegółowe informacje na temat certyfikatu). Pod żadnym pozorem nie ignoruj ostrzeżeń wyświetlanych przez przeglądarki – większość popularnych programów tego typu wyposażona jest w skaner identyfikujący potencjalnie niebezpieczne strony (uznane za takie na podstawie analizy zachowania lub zgłoszeń od użytkowników). Co ważne – jeśli trafisz na próbę phishingu, koniecznie zgłoś ją dostawcy usług internetowych oraz instytucji, pod którą podszywa się nadawca.

5. Sprawdzaj wyciągi z kont i raporty kart kredytowych Rób to regularnie – wtedy szybko zorientujesz się, że ktoś nieuprawniony ma dostęp do twojego konta (przestępcy nie zawsze natychmiast „czyszczą” konta, często zdarza się, że przez dłuższy czas pobierają z niego niewielkie kwoty – żeby nie wzbudzać podejrzeń).

Anatomia ataku

Zasada przeprowadzenia typowej operacji phishingowej jest nieskomplikowana – sprowadza się do wytypowania odpowiedniego celu i wybrania osoby/organizacji, pod którą podszyje się przestępca. Kluczem jest przekonanie użytkownika, że kontaktuje się z nim ktoś, komu można zaufać – przedstawiciel banku, serwisu internetowego, urzędnik czy policjant (bywały i takie przypadki). Ważne jest również to, by prośba o podanie poufnych danych – haseł, loginów itp. – była sensowna, dlatego przestępcy zwykle piszą np. o aktualizacji systemu informatycznego w banku, konieczności weryfikowania ważności konta itp.

Osoba, która weźmie treść takiej wiadomości za dobrą monetę, w kolejnym kroku z pewnością kliknie osadzony w tekście odnośnik do strony, na której należy wprowadzić swoje dane – jej adres jest albo sfałszowany, albo dobrany tak, by mniej doświadczony (lub mniej uważny) użytkownik pomylił go z właściwym URL-em (np. paypai.com zamiast paypal.com). Taka witryna zwykle spreparowana jest tak, by do złudzenia przypominała oryginalną stronę banku czy serwisu, co ma skłonić internautę do podania swoich danych. Po ich wpisaniu zostają one natychmiast przechwycone i zapisane w bazie kontrolowanej przez przestępców.

Co gorsza, internetowi złodzieje są bardzo kreatywni i cały czas próbują znaleźć nowe metody oszukiwania użytkowników. Stąd wysyp najróżniejszych „podgatunków” tej techniki przestępczej. Oto najważniejsze z nich.

Spearphishing

Nazwa to nawiązanie do spearfishingu, czyli łowienia ryb z kuszą. Jest całkiem trafna, bo w odróżnieniu od klasycznego phishingu, który porównać można do masowego łowienia internautów siecią, w spearphishingu mamy do czynienia z precyzyjnym działaniem wymierzonym w konkretną, niewielką grupę osób. Celem takiego ataku jest zwykle bardzo precyzyjnie wybrana niewielka liczba celów (mogą to być np. pracownicy jednej firmy czy wręcz jednego jej działu). Sam atak zwykle poprzedzony jest starannym rozpoznaniem celu – phisher gromadzi maksymalnie dużo informacji o ofiarach, co pozwala mu z powodzeniem podszyć się pod kogoś, komu odbiorcy e-maila faktycznie mogliby zaufać i uznać wiadomość za bezpieczną. W historii odnotowywano m.in. podszywanie się pod firmę księgową, instytucje medyczne czy agencje rządowe.

Whaling

To odmiana opisanej powyżej techniki, różniąca się tym, że tu celem są zwykle najwyżej postawieni menedżerowie w danej firmie (whale to po angielsku wieloryb, choć w tym przypadku bardziej odpowiednim tłumaczeniem będzie raczej „gruba ryba”). Adresatem wiadomości wysyłanej przez przestępców jest jedna, konkretna osoba, co znacznie ułatwia zadanie przestępcom – bez problemu mogą tak sformułować wiadomość, nie wzbudzać podejrzeń, przekonać adresata, że wiadomość przeznaczona jest właśnie dla niego, i skłonić np. do odwiedzenia odpowiedniej strony WWW lub uruchomienia załączonego do wiadomości e-maila.

Warto podkreślić, że w obu omawianych przypadkach często celem nie jest tylko wyłudzenie informacji – spearphishing i whaling często używane są jako metoda dostarczenia do danej firmy (lub jej działu) złośliwego oprogramowania, które później wykorzystywane jest do przejęcia kontroli nad jej systemem informatycznym. Na takie sztuczki cyberprzestępców nabrali się m.in. pracownicy Google – chińscy hakerzy, którzy kilka lat temu włamali się do sieci wyszukiwarkowego giganta, wykorzystali do tego celu właśnie klasyczny spearphishing.

Pharming

Szczególnie niebezpieczna i skuteczna odmiana phishingu, w której kluczem jest przejęcie kontroli nad tym, jakie dane użytkownik otrzymuje z systemu DNS (przestępcy uzyskują ją, np. modyfikując ustawienia serwerów DNS w komputerze użytkownika lub zatruwając jeden z globalnych serwerów DNS). Efekt jest taki, że nawet jeśli użytkownik sam wpisze poprawnie nazwę jakiejś strony (np. e-banku), to przeglądarka i tak wyświetli stronę wskazaną przez przestępców. Przed takimi atakami wyjątkowo trudno się zabezpieczyć – są one szczególnie skuteczne w przypadku niedoświadczonych użytkowników.

Phishing telefoniczny

Próby wyłudzania poufnych informacji bankowych nie są wyłącznie problemem internautów. Przestępcy są na tyle kreatywni, że opracowali również technikę wykradania danych bankowych za pomocą połączeń telefonicznych. Kluczem jest tutaj podszywanie się pod oficjalną bankową infolinię – phisherzy dzwonią do klientów i informują ich o problemach z kontem, które można rozwiązać, tylko jeśli klient poda poprawne hasło i login do konta. Ta metoda została zresztą ostatnio znacząco usprawniona – do wyłudzania danych dostępowych przestępcy postanowili wykorzystać… program komputerowy (w nadziei, że automat odczytujący i rejestrujący komunikaty będzie dla klientów bardziej wiarygodnym rozmówcą). Do takich ataków często wykorzystywane są połączenia VoIP (stąd często używana nazwa vishing), niekiedy też zdarza się, że do wyłudzania danych używane są wiadomości SMS.

Metoda „na pośrednika”

Ataki „man in the middle” są chyba najtrudniejsze do wykrycia. W tym wariancie przestępca nie modyfikuje żadnych stron i nie przekierowuje użytkownika na złośliwe witryny – zamiast tego pozyskuje w jakiś sposób (np. włamując się do komputera lub przejmując kontrolę nad siecią Wi-Fi) w czasie rzeczywistym dostęp do danych, które użytkownik wysyła i otrzymuje z internetu. To pozwala mu na przejęcie danych niezbędnych do logowania i innych poufnych informacji. Jednym ze sposobów przeprowadzenia takiego ataku jest tworzenie w miejscach publicznych kontrolowanych przez przestępców otwartych sieci Wi-Fi, w nadziei, że ktoś się do nich podłączy i zacznie korzystać np. z e-banku czy innego serwisu finansowego.

Phishing z okna pop-up

Jedna z technik przestępczych, w których do oszukania klienta nie jest wykorzystywana wiadomość e-mail, lecz złośliwe oprogramowanie zainstalowane w jego komputerze. Szkodnik cały czas monitoruje, jakie strony wyświetlane są w przeglądarce internetowej – gdy wykryje, że użytkownik wszedł na stronę banku, natychmiast wyświetla okno pop-up, podszywające się pod okno logowania do systemu bankowego. Oczywiście, bardziej zaawansowany użytkownik wyczuje zagrożenie i zignoruje dodatkowe okienko – ale ktoś niezbyt zorientowany w świecie internetu bez namysłu poda swoje dane (i de facto przekaże je w ten sposób przestępcom).

Phishing urzędowy

Wiadomości wysyłane do nas przez najróżniejsze urzędy i instytucje publiczne traktujemy na ogół poważniej i uważamy za bardziej wiarygodne. Phisherzy też to zauważyli i chętnie wykorzystują do wyłudzania danych od naiwnych. Od kilku lat na całym świecie rośnie liczba przypadków phishingu, w którym przestępcy podszywają się np. pod urząd skarbowy, policję czy inną instytucję publiczną i nie tyle proszą o dane, co ich po prostu żądają. Takie przypadki odnotowaliśmy już również w Polsce – w ubiegłym roku głośny był przypadek wiadomości zachęcających do odbioru nadpłaty podatku (oczywiście po wcześniejszym podaniu w internecie kompletu informacji finansowych).

Phishing w serwisie społecznościowym

Media społecznościowe są wręcz idealnym terenem do działania dla przestępców internetowych. Korzysta z nich mnóstwo internautów, w znaczniej mierze niezbyt dobrze orientujących się w kwestii bezpieczeństwa internetowego – są to wręcz wymarzone warunki do szukania potencjalnych ofiar. Atak może być przeprowadzony na kilka sposobów, internautę można skłonić do podania hasła i loginu, np. podszywając się pod administratora serwisu, aplikację lub witrynę wykorzystującą do logowania np. mechanizm uwierzytelniania Facebooka.

Fałszywe e-maile, realne straty

Oszuści mają się dobrze i wciąż atakują nas kolejnymi próbami wyłudzenia. Nic dziwnego – phishing jest bardzo dochodowy. Z analiz przeprowadzonych przez Microsoft, przedstawionych w maju br. w raporcie „Computing Safer Index Report 2014”, wynika, że obecnie w ciągu jednego roku przeprowadzane na całym świecie operacje phishingowe generują zyski na poziomie 5 mld dolarów. Kwota jest niebotyczna, ale całkiem realna – kilka lat wcześniej amerykańskie instytucje bankowe szacowały, że tylko od obywateli USA przestępcy są w stanie wyłudzić nawet 3,2 mld dolarów rocznie (warto zauważyć, że to właśnie Amerykanie są najczęściej atakowaną w ten sposób nacją).

Dla internauty mniej doświadczonego, starszego, korzystającego z sieci i e-bankowości tylko sporadycznie e-mail nadesłany z adresu założonego w domenie banku (to łatwo sfałszować), opatrzony logotypem odpowiedniej firmy i sformułowany językiem charakterystycznym dla tej branży, jest absolutnie wiarygodny. Co więcej, zawarta w nim często zawoalowana groźba („jeśli nie potwierdzisz hasła w 24 godziny, zablokujemy dostęp do konta”) sprawia, że wiele osób traci resztki zdrowego rozsądku i ślepo wykonuje polecenia phisherów.

Na szczęście sytuacja nie jest aż tak beznadziejna, jak mogłoby się wydawać. Dziś już większość świadomych użytkowników sieci bez większych problemów potrafi rozpoznać próbę ataku phisherskiego – czytamy o nich stosunkowo często, a na dodatek instytucje, których klienci są szczególnie narażeni (czyli przede wszystkim banki), regularnie prowadzą akcje uświadamiające konsumentów, czym jest phishing i jak się przed nim bronić. Zawsze można też stosunkowo łatwo sprawdzić, czy dany e-mail jest próbą oszustwa – wystarczy skontaktować się z instytucją, która rzekomo go wysłała, i dopytać, czy faktycznie niezbędna jest np. weryfikacja naszych danych na zewnętrznej stronie WWW.

Choć technik złodziejskich jest sporo (i będzie coraz więcej), to do skutecznego zabezpieczenia się przed phishingiem wystarczy trzymanie się kilku podstawowych zasad (patrz: ramka „Jak nie dać się nabrać oszustom”). Kluczowa reguła bezpieczeństwa w internecie nie zmieniła się od 20 lat – wystarczy myśleć i zachować zdrową dawkę sceptycyzmu i ostrożności w postępowaniu z podejrzanymi e-mailami, plikami i ofertami.

Phishing bankowy – na co uważać

Z oczywistych względów phisherzy szczególnie upodobali sobie klientów e-banków – atakowanie ich jest najbardziej dochodowe i stosunkowo najprostsze. Dlatego też specjaliści z CERT Polska przygotowali specjalny poradnik dla internautów, w którym w kilku punktach zebrano najważniejsze wskazówki dotyczące ochrony przed phishingiem:

  • adres strony logowania do banku zawsze powinien zaczynać się od https:// (a nie http://);
  • żaden bank nie prosi o przesłanie e-mailem danych niezbędnych do zalogowania się – jeśli otrzymałeś taką wiadomość, prawdopodobnie jest to phishingu;
  • adres powinien być zwięzły i nie zawierać dodatkowych, nietypowych ciągów znaków. Jeśli strona banku to otobank.pl, to za poprawne uznać można np. adresy „https://otobank.pl/”, „https://otobank.pl/logowanie.php. Adresy w stylu „https://otobank.pl.tutaj.jakis.dziwny.adres/” lub „https://otobank.pl.tutaj.jakis.dziwny.adres/logowanie.php” są zdecydowanie podejrzane;
  • na stronie banku nie może wyświetlać się prośba o podanie kilku kolejnych kodów jednorazowych – taka sytuacja zwykle świadczy o ataku phisherów;
  • sprawdzaj treść SMS-a potwierdzającego transakcje online – muszą się w nim pojawić te same dane co w opisie przelewu (kwota, numer rachunku itp.).
Źródło: pcworld.pl
Zostań naszym fanem!