Co to jest phishing i jak może okraść pieniądze i tajemnice
Wskazówki Technologii / / December 28, 2020
Co to jest phishing i jakie jest niebezpieczne
Phishing to powszechny rodzaj oszustwa cybernetycznego, którego celem jest włamanie na konto zapisy i przejęcie kontroli nad nimi, kradzież danych karty kredytowej lub inne poufne informacje Informacja.
Najczęściej atakujący wykorzystują pocztę elektroniczną: np. Wysyłają listy w imieniu znanej firmy, wabiąc użytkowników na jej fałszywą stronę internetową pod pretekstem korzystnej promocji. Ofiara nie rozpoznaje fałszerstwa, wprowadza nazwę użytkownika i hasło ze swojego konta, a tym samym użytkownik sam przekazuje dane oszustom.
Każdy może cierpieć. Zautomatyzowane e-maile phishingowe są najczęściej kierowane do szerokiego grona odbiorców (setki tysięcy, a nawet miliony adresów), ale zdarzają się też ataki skierowane na konkretny cel. Najczęściej celami tymi są najwyżsi kierownicy lub inni pracownicy, którzy mają uprzywilejowany dostęp do danych firmowych. Ta spersonalizowana strategia phishingu nazywa się vailing (ang. wielorybnictwo), co oznacza „łowienie wielorybów”.
Konsekwencje ataków phishingowych mogą być katastrofalne. Oszuści mogą czytać Twoją osobistą korespondencję, wysyłać wiadomości phishingowe do Twojego kręgu kontaktów, wypłacać pieniądze z kont bankowych i ogólnie działać w Twoim imieniu w szerokim znaczeniu. Jeśli prowadzisz firmę, ryzyko jest jeszcze większe. Phisherzy są w stanie wykraść tajemnice firmowe, zniszczyć poufne pliki lub ujawnić dane klientów, szkodząc reputacji firmy.
Według raportuRaport trendów aktywności phishingowych Anti-Phishing Working Group, tylko w ostatnim kwartale 2019 roku eksperci ds. Cyberbezpieczeństwa wykryli ponad 162 tysiące fałszywych witryn i 132 tysiące kampanii e-mailowych. W tym czasie około tysiąca firm z całego świata stało się ofiarami phishingu. Okaże się, ile ataków nie zostało wykrytych.
Ivan Budylin
Architekt Centrum Technologii Microsoft w Rosji.
Ważne jest, aby mieć jasność co do siebie i przekazać kilka rzeczy swoim współpracownikom, przyjaciołom i rodzinie. Po pierwsze, branża jest przeciwko nam. Cyberprzestępcy nie są już entuzjastycznymi dowcipnisiami, są to doświadczeni profesjonaliści, którzy w taki czy inny sposób chcą na tobie zarobić. Po drugie, każda informacja ma wartość, nawet jeśli nie wydaje się ważna. Twoja aktywność w sieciach społecznościowych i pseudonim ulubionego kotka - wszystko może być użyte do tego bezpośrednia monetyzacja lub jako etap ataku w celu uzyskania dostępu do droższych dane. Po trzecie, stosowanie uwierzytelniania wieloskładnikowego i logowania bez hasła stopniowo przechodzi z kategorii silnych rekomendacji do kategorii surowych wymagań zmienionej rzeczywistości.
Ewolucja i rodzaje phishingu
Termin „phishing” pochodzi od angielskiego słowa „fishing”. Ten rodzaj oszustwa naprawdę przypomina łowienie ryb: napastnik rzuca przynętę w postaci fałszywej wiadomości lub linku i czeka, aż użytkownik ugryzie.
Jednak w języku angielskim „phishing” jest zapisywany nieco inaczej: phishing. Zamiast litery f jest używany digraf ph. Według jednej wersji jest to odniesienie do słowa fałszywy („oszust”, „oszust”). Z drugiej strony - do subkultury wczesnych hakerów, których nazywano phreakers („phreakers”).
Uważa się, że termin phishing został po raz pierwszy użyty publicznie w połowie lat dziewięćdziesiątych na grupach dyskusyjnych Usenetu. W tym czasie oszuści przeprowadzili pierwsze ataki phishingowe na klientów amerykańskiego dostawcy Internetu AOL. Atakujący wysyłali wiadomości z prośbą o potwierdzenie poświadczeń, podszywając się pod pracowników firmy.
Wraz z rozwojem Internetu pojawiły się nowe rodzaje ataków phishingowych. Oszuści zaczęli fałszować całe strony internetowe i opanowali różne kanały i usługi komunikacyjne. Obecnie można wyróżnić te rodzaje phishingu.
- Phishing e-mailowy. Oszuści rejestrują adres korespondencyjny podobny do adresu znanej firmy lub znajomego wybranej ofiary i wysyłają z niego listy. Jednocześnie, po nazwie nadawcy, projekcie i treści, fałszywy list może być prawie identyczny z oryginałem. Tylko w środku znajduje się link do fałszywej strony internetowej, zainfekowane załączniki lub bezpośrednia prośba o przesłanie poufnych danych.
- Phishing SMS (smishing). Ten schemat jest podobny do poprzedniego, ale zamiast wiadomości e-mail używany jest SMS. Abonent otrzymuje wiadomość z nieznanego (zazwyczaj krótkiego) numeru z prośbą o poufne dane lub z odsyłaczem do fałszywej strony. Na przykład osoba atakująca może przedstawić się jako bank i zażądać kodu weryfikacyjnego, który otrzymałeś wcześniej. W rzeczywistości oszuści potrzebują kodu, aby włamać się na Twoje konto bankowe.
- Phishing w mediach społecznościowych. Wraz z rozprzestrzenianiem się komunikatorów internetowych i mediów społecznościowych ataki phishingowe zalały również te kanały. Atakujący mogą kontaktować się z Tobą za pośrednictwem fałszywych lub przejętych kont znanych organizacji lub Twoich znajomych. Reszta zasady ataku nie różni się od poprzednich.
- Phishing telefoniczny (vishing). Oszuści nie ograniczają się do wiadomości tekstowych i mogą do Ciebie dzwonić. Najczęściej do tego celu służy telefonia internetowa (VoIP). Dzwoniący może podszywać się np. Pod pracownika działu wsparcia Twojego systemu płatności i żądać danych dostępu do portfela - rzekomo w celu weryfikacji.
- Wyszukaj phishing. Możesz natknąć się na phishing bezpośrednio w wynikach wyszukiwania. Wystarczy kliknąć link prowadzący do fałszywej strony i zostawić na niej dane osobowe.
- Phishing w wyskakujących okienkach. Atakujący często używają wyskakujących okienek. Odwiedzając wątpliwy zasób, możesz zobaczyć baner obiecujący pewne korzyści - na przykład rabaty lub bezpłatne produkty - w imieniu znanej firmy. Klikając ten link, zostaniesz przeniesiony na stronę kontrolowaną przez cyberprzestępców.
- Rolnictwo. Nie jest bezpośrednio związane z phishingiem, ale rolnictwo jest również bardzo częstym atakiem. W tym przypadku osoba atakująca fałszuje dane DNS, automatycznie przekierowując użytkownika zamiast oryginalnych witryn na fałszywe. Ofiara nie widzi żadnych podejrzanych wiadomości ani banerów, co zwiększa skuteczność ataku.
Phishing wciąż ewoluuje. Microsoft ujawnił nowe techniki, które jego usługa antyphishingowa Office 365 Advanced Threat Protection odkryła w 2019 roku. Na przykład oszuści nauczyli się lepiej ukrywać złośliwą zawartość w wynikach wyszukiwania: na górę wyświetlać legalne linki, które prowadzą użytkownika do witryn phishingowych przy użyciu wielu przekierowania.
Ponadto cyberprzestępcy zaczęli automatycznie generować odsyłacze do phishingu i dokładne kopie plików elektronicznych listy na jakościowo nowym poziomie, który pozwala skuteczniej oszukiwać użytkowników i ominąć fundusze ochrona.
Poznaj usługę Office 365
Jak chronić się przed phishingiem
Popraw swoje umiejętności techniczne. Jak mówią, ten, kto jest ostrzeżony, jest uzbrojony. Zbadaj samodzielnie bezpieczeństwo informacji lub skonsultuj się z ekspertami. Nawet prosta znajomość podstaw higieny cyfrowej może zaoszczędzić wielu kłopotów.
Bądź ostrożny. Nie podążaj za linkami ani nie otwieraj załączników w listach od nieznanych rozmówców. Prosimy o dokładne sprawdzenie danych kontaktowych nadawców i adresów odwiedzanych witryn. Nie odpowiadaj na prośby o podanie danych osobowych, nawet jeśli wiadomość wygląda wiarygodnie. Jeśli przedstawiciel firmy prosi o informacje, lepiej zadzwonić do jego call center i zgłosić sytuację. Nie klikaj wyskakujących okienek.
Używaj haseł mądrze. Użyj unikalnego i silnego hasła do każdego konta. Subskrybuj usługi, które ostrzegają użytkowników, jeśli hasła do ich kont pojawiają się w sieci, i natychmiast zmieniaj kod dostępu, jeśli okaże się, że został naruszony.
Skonfiguruj uwierzytelnianie wieloskładnikowe. Ta funkcja dodatkowo zabezpiecza konto np. Przy użyciu haseł jednorazowych. W takim przypadku za każdym razem, gdy logujesz się na swoje konto z nowego urządzenia, oprócz hasła, będziesz musiał wprowadź cztero- lub sześcioznakowy kod wysłany do Ciebie SMS-em lub wygenerowany w specjalnym podanie. Może się to wydawać mało wygodne, ale takie podejście ochroni Cię przed 99% typowych ataków. W końcu, jeśli oszuści ukradną hasło, nadal nie będą mogli wejść bez kodu weryfikacyjnego.
Korzystaj z funkcji logowania bez hasła. W tych usługach w miarę możliwości należy całkowicie zrezygnować z haseł, zastępując je sprzętowymi kluczami bezpieczeństwa lub uwierzytelnianiem poprzez aplikację na smartfonie.
Użyj oprogramowania antywirusowego. Aktualizowany na czas program antywirusowy pomoże chronić komputer przed złośliwymi programami, które przekierowują do witryn phishingowych lub kradną loginy i hasła. Pamiętaj jednak, że Twoja główna ochrona to nadal przestrzeganie cyfrowych zasad higieny i zaleceń dotyczących cyberbezpieczeństwa.
Jeśli prowadzisz firmę
Poniższe wskazówki będą również pomocne dla właścicieli firm i kadry zarządzającej.
Szkol swoich pracowników. Wyjaśnij podwładnym, jakich wiadomości należy unikać, a jakich informacji nie należy przesyłać za pośrednictwem poczty elektronicznej i innych kanałów komunikacji. Nie zezwalaj pracownikom na używanie firmowej poczty do celów osobistych. Poinstruuj ich, jak pracować z hasłami. Warto również rozważyć politykę przechowywania wiadomości: na przykład ze względów bezpieczeństwa możesz usuwać wiadomości starsze niż określony okres.
Przeprowadzaj edukacyjne ataki phishingowe. Jeśli chcesz sprawdzić reakcję pracowników na phishing, spróbuj sfałszować atak. Na przykład zarejestruj adres pocztowy podobny do Twojego i wysyłaj z niego listy do podwładnych z prośbą o podanie poufnych danych.
Wybierz niezawodną usługę pocztową. Bezpłatni dostawcy poczty e-mail są zbyt podatni na komunikację biznesową. Firmy powinny wybierać tylko bezpieczne usługi korporacyjne. Na przykład użytkownicy usługi pocztowej Microsoft Exchange zawartej w pakiecie Office 365 mają kompleksową ochronę przed phishingiem i innymi zagrożeniami. Aby przeciwdziałać oszustom, firma Microsoft każdego miesiąca analizuje setki miliardów wiadomości e-mail.
Zatrudnij eksperta ds. Cyberbezpieczeństwa. Jeśli Twój budżet na to pozwala, znajdź wykwalifikowanego specjalistę, który zapewni stałą ochronę przed phishingiem i innymi zagrożeniami cybernetycznymi.
Co zrobić, jeśli jesteś ofiarą phishingu
Jeśli istnieje jakikolwiek powód, by sądzić, że Twoje dane wpadły w niepowołane ręce, działaj natychmiast. Sprawdź swoje urządzenia pod kątem wirusów i zmień hasła do kont. Poinformuj personel banku, że Twoje dane do płatności mogły zostać skradzione. W razie potrzeby poinformuj klientów o potencjalnym wycieku.
Aby zapobiec powtarzaniu się takich sytuacji, wybierz niezawodne i nowoczesne usługi współpracy. Najlepiej nadają się produkty z wbudowanymi mechanizmami ochrony: będą działać tak wygodnie, jak to tylko możliwe i nie będziesz musiał ryzykować bezpieczeństwa cyfrowego.
Dodatkowo usługa zapewnia dynamiczną kontrolę dostępu z oceną ryzyka i uwzględniającą szeroki zakres uwarunkowań. Office 365 zawiera również wbudowaną automatyzację i analizę danych, a także pozwala kontrolować urządzenia i chronić informacje przed wyciekiem.
Wypróbuj Microsoft Office 365