TEMAT:

Definicja Phishingu to za wikipedia - metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej.



1. Ale co ja mam wartościowego?

To pytanie zadaje sobie wielu użytkowników Internetu, którzy myślą, że tylko firmy padają ofiarą wykradania informacji. Niestety tak nie jest, zazwyczaj parunastu "zwykłych" użytkowników Internetu jest dużo bardziej wartościowymi ofiarami dla cyberprzestępców niż duże firmy.

W wyniki phishingu możemy stracić min.:

• - pieniądze
• - dane
• - tożsamość
• - reputacje

Pieniądze - to one są najczęściej celem działania phisherów, bardzo popularna bankowość elektroniczna daje furtkę do działań w kradzieży pieniędzy. O ile banki są bardzo dobrze zabezpieczone i wykradanie pieniędzy bezpośrednio z banków to znikomy przykład incydentów wymagający od atakującego bardzo dużej wiedzy to wykradanie pieniędzy za pośrednictwem właściciela konta, przy jego nieświadomości nie wymaga dużej wiedzy (w Internecie są dostępne gotowe narzędzia do przeprowadzanie ataków phishngowych).

Dane - dla niektórych osób dane, przeważnie służbowe trzymane na prywatnych komputerach (co oczywiście jest bardzo złą praktykom) są więcej wartę niż pieniądze na konto i wyciek tych danych, lub zaszyfrowanie może doprowadzić do bardzo dużych strat.

Tożsamość - dość często zdarza się kradzież tożsamości, czyli cyberprzestępcy po wykradzeniu naszych danych i np. skanu dowodu osobistego z wiadomości wysłanych zakładają na nas firmy, biorą "chwilówki" albo sprzedają tożsamość innym cyberprzestępcom.

Reputacja - publikacja prywatnych materiałów czy też niekoniecznie stosownych zdjęć zakończyła już nie jedną karierę zawodową, a nawet związek.

2. Skąd cyberprzestępca ma nasze dane?

Zapewne daliśmy mu je sami, oczywiście nie bezpośrednio. Rejestrując się mailem, który podaliśmy w banku, bądź na allegro zarejestrowaliśmy się także na jakiś forum, które z powodu błędów w aplikacji udostępniało cała bazę adresów zarejestrowanych e-mail.
Cyberprzestępca wie, że jeśli jest "polski" e-mail to zapewne taki użytkownik podał tego e-maila do kontaktu z bankiem, do otrzymywania e-faktur od operatora telefonii komórkowej czy też do np. allegro.
Zazwyczaj atakujący przeprowadza kampanie, które mogą przejść przez SPAM i przez filtr antywirusowy i do tego trafić w usługę, która posiadamy.
Raczej nie klikniemy w linka o sprawdzenie salda konta w banku, w którym nie mamy konta, ale możemy kliknąć w linka do śledzenia przesyłki jeśli zamawialiśmy coś na allegro.


Przykład fałszywego e-maila, podszywającego się pod serwis allegro.

3. Jakie są sposoby ataku?



E-mail - główne medium ataku, ponieważ łatwo je pozyskać i łatwo "trafić" w ofiarę. Jakiś czas temu przychodziły do nas wiadomości tlumaczone z angielskiego, bez polskich znaków ze złym formatowaniem, wtedy łatwo było poznać, że to nie jest prawidłowa wiadomość. Niestety, aktualnie wiadomości są bardzo dobrze przygotowe i trudno odróżnic je o orginału. Jak je odróżnić powiemy w kolejnym punkcie.


Przykład fałszywego e-maila, podszywającego się pod PGE.

Facebook - albo inne medium społecznościowe, ale zazwyczaj Facebook jest polem do popisu dla cyberprzestępców. Ataki mogą być różne:

• - wyłudzanie "like" - lubimy serwis o kotkach, a później zostaje on sprzedany i przemianowany na serwis o samochodach
• - wyłudzanie smsów premium - aby obejrzeć jakiś materiał wpisujemy swój nr i podajemy sms zwrotny, zamiast materiałów dostajemy smsy po 30zł każdy
• - wyłudzenia pieniędzy "na znajomego potrzebującego pomocy" - konto naszego znajomego zostaje skradzione i wysyła do wszystkich znajomych prośbę o pomoc i nr konta, że utknął na wycieczce i nie ma pieniędzy, wbrew pozorom, sporo osób przelewało w ten sposób znaczne kwoty.

Przykład fałszywej wiadomości do „znajomego”, które konto zostało przejęte.

Strony www - po przejęciu strony przez cyberprzestępców podmieniane są treści i zamiast kliknięcia w link, który przekierowywał nas na zakładkę strony, zostajemy przekierowani np. na fałszywą stronę do logowania do konta e-mail lub facebook.


Przykład dobrze przygotowanej, fałszywej strony banku PKO.


4. Jak się bronić przed pishingiem?

Oczywiście pierwsze co robimy to czytamy nasz jedne z poprzednich artykułów i zabezpieczamy nasz komputer .

Niestety, nie zawsze to wystarczy, ale na pewno wyeliminuje potencjalne wektory ataków.

Jako, że pishing polega na socjotechnice możemy "sami" podać dane na tacy.

Oto kilka bardzo ważnych porad:

• - czytamy uważnie e-maile w których piszą do nas różne instytucje, które proszą nas o kliknięcie na link lub otworzenie załącznika. Wbrew pozorom, bank czy inne instytucje finansowe nigdy nie proszę o logowanie się do banku przez link zawarty w e-mailu, a już na pewno nie proszą o podanie w e-mailu naszych danych do logowania.


• - sprawdzamy nadawcę e-maila, co zazwyczaj może nam niewiele dać, bo atakujący potrafią fałszować nagłówek wiadomości, ale bardziej zaawansowani użytkownicy mogą sprawdzić w źródle wiadomości czy na pewno pochodzi ona od konkretnego nadawcy


• - logujemy się na stronę banku przez adres, który otrzymaliśmy od banku, a nie w e-mailu. Tak samo w przypadku innych serwisów (allegro, facebook). Niestety mit o zielonej kłódce przy adresie można już przestać powtarzać, bo certyfikat dla strony można otrzymać za darmo, a stronę łatwo oszukać zamieniając litery np. w domenie.

Lepiej zadzwonić do banku czy innej instytucji od które rzekomo dostaliśmy e-maila i sprawdzić czy wysyłali takie wiadomości niż stracić pieniądze.


• - jeśli dostaniemy wiadomość od "znajomego", który prosi nas o wysłanie smsy, przelew bądź kliknięcie w podejrzany link - lepiej zadzwonić do niego i zapytać czy faktycznie nam to wysyła, jeśli nie mamy do niego numeru tel to czy na pewno warto przelewać mu choćby 10zł?


• - czytamy 2-3 wszystkie komunikaty i podejrzane e-maile, lepiej usunąć e-maila o śledzeniu przesyłki od firmy kurierskiej (i tak dostaniemy paczkę, albo sprawdzimy na stronie firmy kurierskiej bądź infolinii) niż stracić dane.

- Dodajemy do zakładek stronę niebezpeicznik.pl lub zaufanatrzeciastrona.pl i sprawdzamy co jakiś czas czy aktualnie nie trwa jakaś kampania cyberprzestępców.



UWAGA!
Po wakacjach planujemy darmowe szkolenie dotyczące bezpieczeństwa danych w firmie. Na szkoleniu poruszymy min.:
- bezpieczeństwo infrastruktury przedsiębiorstwa
- możliwe ataki na dane przedsiębiorstwa
- dostosowanie przedsiębiorstwa do nowej ustawy o danych osobowych (tzw. RODO)

Szkolenie przeznaczone jest dla właścicieli firm, jak i dla osób zarządzających infrastrukturą informatyczną firmy. Pokażemy na nich możliwe scenariusze ataków jak i możliwe sposoby zabezpieczenia się przed nimi.

Wiemy już na pewno, że termin szkolenia to początek września br, i odbędzie się ono w jednej z sal konferencyjnych Colegium Polonicum w Słubicach.

Szczegółowe informacje pojawią się w połowie sierpnia.