Phishing - nie daj się złowić!

Czy wyobrażacie sobie świat bez wszechobecnego Internetu? Rozwój tego medium stworzył szansę funkcjonowania w nowym otoczeniu, dając praktycznie nieograniczony zasięg działania. Internet pozwala na szybką i nieograniczoną wymianę informacji, a przez wielu zaliczany jest do największych innowacji w historii ludzkości. Wykorzystywany jest przez społeczeństwo nie tylko do komunikacji, przeglądania serwisów internetowych i surfowania w celu pozyskania informacji o towarach oraz usługach, ale również do manewrowania pieniądzem za pomocą internetowych usług bankowych. Szerokie zastosowanie i ogromne zainteresowanie ludzkości wykorzystaniem nowego typu przestrzeni społecznej spowodowało również ogromny wzrost przestępczości z jej udziałem. Do najczęściej spotykanych zagrożeń możemy zaliczyć ataki socjotechniczne typu phishing, które przez wielu uważane są za największe zagrożenie Internetu.

Czym jest phishing?

Jest to oszustwo internetowe mające na celu wyłudzenie poufnych danych. Do takich danych zalicza się numery kart kredytowych, hasła dostępowe do serwisów internetowych lub inne dane przydatne do dalszych przestępstw.

Najczęściej wykorzystywaną formą ataku przy pomocy metody phishingu jest przygotowanie przez phishera specjalnej strony internetowej łudząco podobnej do docelowej, gdzie nieświadoma ofiara podaje swoje dane dostępowe. Wprowadzone na niej login i hasło, zamiast otworzyć dostęp do określonej strony, trafiają do hakera, który gromadzi je i wykorzystuje przeciwko nam. Pewnie wielu z was zastanawia się, w jaki sposób taki przestępca zmusi nas do wejścia na tak spreparowaną stronę – istnieje na to bardzo prosta metoda. Najczęściej przesyłana jest ofierze na adres poczty elektronicznej fałszywa wiadomość mailowa, gdzie przestępca, podszywając się pod jakąś instytucję lub osobę, zachęca do zapoznania się z nową ofertą lub prosi o wprowadzenie danych uwierzytelniających poprzez podany link. Wiele osób daje się na to niestety nabrać.

Niestety phishing, mimo iż jest to metoda oszustwa bardzo stara, wciąż ewoluuje. Coraz popularniejsze są metody oszustwa polegające na wysłaniu krótkiej wiadomości tekstowej (SMS) do użytkownika z prośbą o pilny kontakt telefoniczny, np. z bankiem w celu reaktywacji karty kredytowej. Wykonując połączenie ofiara słyszy w słuchawce automat zgłoszeniowy, który dodaje realizmu całej operacji. Dodatkowo jest proszona o podanie numeru CVV2/CVC2, daty ważności karty oraz jej numeru. W zależności od banku, na podstawie takich danych potencjalny oszust może już wykonać transakcje elektroniczne z użyciem środków na naszym koncie.

Z ostatniej chwili…

Ostatnie wydarzenia wskazują, że phishing jest cały czas w modzie. Przekonali się o tym klienci jednego z polskich banków. Jego fatalna decyzja o dezaktywowaniu swoim klientom autoryzacji przelewu internetowego za pomocą kodu z SMS przyczyniła się do ułatwienia przestępcom kradzieży setek tysięcy złotych. Do wycieku danych autoryzacyjnych doszło właśnie poprzez phishing, polegający na rozesłaniu klientom banku fałszywej strony logowania. Dane autoryzacyjne oszukanych osób trafiały do bazy danych przestępców, którzy natychmiastowo czyścili konta, kupując różne przedmioty w sklepach internetowych np. giełdy bitcoinowe (wirtualna waluta).

Chociaż skradzione w ten sposób pieniądze uda się prawdopodobnie odzyskać, to banki raczej nie kwapią się do walki z cyberprzestępcami, bo po prostu nie mają jak. To prosty rachunek zysków i strat. Istnienie ataków nie prowokuje banków do zmian w architekturze systemu, bo kosztowałoby to znacznie więcej niż rekompensata strat. Po prostu instytucje finansowe nie mają często narzędzi do walki z tą formą przestępczości. Problem jest na poziomie globalnym. Zainfekowane komputery rozsyłają podejrzaną pocztę na przykład z Chin, a kontrolują je ludzie, którzy starannie zacierają za sobą ślady. Na globalny problem potrzebna jest globalna analiza i reakcja.

Nie tylko sektor bankowy jest pod ostrzałem przestępców. W ostatnim czasie niemal identycznej metody ataku użyto na jednej z największych platform handlowych w Polsce. Do losowo wybranych osób, podszywając się pod platformę zostały rozesłane wiadomości mailowe z informacją, iż konto zostało zawieszone. W polu nadawcy pojawił się znajomy każdemu użytkownikowi tego serwisu adres powiadomienia@nazwaplatformy.pl. Krótka wiadomość zawierała logo podmiotu, informację o regulaminie oraz możliwości skorzystania z pomocy. To co jednak powinno zaniepokoić klientów serwisu to zachęta do kliknięcia w link przekierowujący na stronę, gdzie należało podać swoje dane do konta. Organizacje dbające o bezpieczeństwo swoich użytkowników tego nie robią bowiem w wiadomości e-mail bardzo łatwo jest podstawić link kierujący do podrobionej, łudząco podobnej do oryginału strony.

Od dawna przez polski Internet przelewa się również fala e-maili rzekomo nadawanych przez znaną firmę kurierską informujących użytkowników o „niedostarczonych przesyłkach”. W wiadomości zamieszczony się załącznik, w którym jakoby znajduje się dokument z informacją o dalszym postępowaniu związanym z przekazaniem paczki. Oczywiście jest on zainfekowany. Tym razem jednak nie użyto oprogramowania do wykradania danych dot. bankowości internetowej i podmiany kopiowanych do schowka numerów rachunków, a tzw. ransomware, czyli oprogramowanie, które szyfruje pliki na dysku twardym ofiary i domaga się wpłaty za ich odszyfrowanie. Jego najbardziej znanym przypadkiem jest CryptoLocker. Dla nieco bardziej zaawansowanych użytkowników sieci Internet to nie nowość i na pewno nie daliby się nabrać na taki podstawowy trik. Jednak to, że przestępcy od lat wykorzystują identyczne metody do czerpania korzyści majątkowych świadczy o wysokiej skuteczności tych działań oraz o wielu osobach, które wciąż nie znają podstawowych zagrożeń w sieci i są w związku z tym łatwym celem ataków.

Statystyki

Phishing - do niedawna zwykła sztuczka, dziś przybiera formę plagi. Kradzież danych okazuje się przedsięwzięciem coraz bardziej dochodowym dla cyberprzestępców. Szeroki obraz tego, co naprawdę dzieje się w polskim Internecie przedstawia CERT Polska. Podaje ona, że według statystyk za 2012 rok około 50% zgłoszeń naruszeń bezpieczeństwa sieciowego obsłużonych ręcznie, stanowiły ataki z użyciem phishingu, a eksperci twierdzą, że ta forma ataku dopiero przybiera na sile. Działania phisherów koncentrują się głównie na podszywaniu się pod usługi finansowe, ale nie omijają też dostawców Internetu i sektora handlu detalicznego. Wśród najczęściej wykorzystywanych marek znajdują się: eBay, Amazon, PayPal, AOL, MSN, Huntington Bank i Citizen Bank.

Jak się bronić?

Społeczeństwo ma coraz większą świadomość tego, co dzieje się w cyberprzestrzeni. Zwiększa to zapotrzebowanie na rzetelną edukację w tej dziedzinie. Oto kilka podstawowych zasad ograniczających ryzyko „złowienia”:

• Ignoruj wszystkie podejrzane maile od nieznanych nadawców! Przy pomocy rozesłanych linków stron Internetowych, bardzo podobnych do docelowych, przestępcy wyłudzają nasze dane uwierzytelniające. Niech nie zmyli Cię podobna kolorystyka, układ strony czy też zamieszczone tam logo firmy.
• Regularnie uaktualniaj system i oprogramowanie, dzięki czemu będziesz miał pewność, że załatane są w nim wszystkie luki bezpieczeństwa.
• Korzystaj z oprogramowania antywirusowego! Filtr antyphishingowy powinien zareagować, a sam program zaalarmować Cię o fałszywej lub podejrzanej witrynie internetowej.
• Nie podawaj danych uwierzytelniających na stronach nieposiadających protokołu https. Przy adresie strony powinna znajdować kłódka, która informuje nas o tym, że połączenie jest szyfrowane, a dostawca zaufany.
• Ignoruj prośby mailowe o przesłanie danych uwierzytelniających lub innych danych osobowych.

Podsumowując, phishing to niebezpieczne zjawisko na skalę światową, które determinowane jest przez niski poziom świadomości użytkowników w zakresie metod wykorzystywanych przez oszustów do naśladowania autentycznych firm i organizacji. W konkluzji powyższych rozważań należy podkreślić, że nie ma na świecie rozwiązania, które zapewni nam pełny stan bezpieczeństwa teleinformatycznego, a to czym powinniśmy się kierować, poruszając się po sieci, to zasada ograniczonego zaufania i czujność na każdym kroku.

Do góry Case study