Powiat
Hajnowski

W poprzedniej lekcji wyjaśniliśmy, czym jest phishing. To jeden z najpopularniejszych typów ataków, oparty o wiadomości e-mail, SMS, przez telefon, w mediach społecznościowych (w postaci reklam prowadzących do fałszywych stron, np. sklepów internetowych), kody QR. Polega na tym, że przestępcy internetowi próbują Cię oszukać i spowodować, abyś podjął działanie zgodnie z ich zamierzeniami (czyli kliknął w link, pobrał załącznik, wypełnił formularz online).

Co łączy te przykłady? – Twoja nieuwaga! Klikniesz, pobierzesz załącznik, zalogujesz się na fałszywą stronę – tracisz dane osobowe/pieniądze!

Wspominaliśmy, że atak phishingowy bazuje na silnych emocjach – nie tylko strachu, ale też współczuciu czy ciekawości. To ten stan, w którym emocje biorą górę nad rozumem, stajemy się nieostrożni, łatwiej popełniamy błędy. Łatwiej o sprowokowanie Twojej reakcji, gdy na skrzynkę/telefon wpadnie Ci email/sms z informacją o zalegającej płatności, przez co nie dostaniesz paczki, bo wyłączą Ci prąd, albo zapłacisz jakąś karę…

Jak skutecznie się bronić? Pomgą wiedza, ostrożność i rozwaga!

W tym artykule na tapet weźmiemy najpopularniejsze fortele i podpowiemy, na co zwrócić uwagę:

1. Numer „na fakturę”:

Kilka lat temu na skrzynkę mailową naszej redakcyjnej koleżanki wpadła taka oto wiadomość:

Dość lakoniczna, ale wiadomo – urząd. Przesyłanie faktur, wyciągów pomiędzy partnerami biznesowymi to coś normalnego. Podobnie jak w życiu osobistym – bo kto nie dokonuje płatności online? Dlaczego jednak ta wiadomość wydała się nam podejrzana?

• Po pierwsze – w kwestii płatności, bank nigdy nie inicjuje kontaktu z klientami za pośrednictwem emalia!
• Po drugie – sam adres email wydał się podejrzany – niby nazwa domenowa serwera poczty się zgadzała (to ten człon po @ - pkobp.pl) ale identyfikator użytkownika – „wyciagi” nam „nie zagrały”. Sprawdziliśmy na stronie PKO BP – bank posługuje się WYŁĄCZNIE mailem informacje@pkobp.pl ale żeby mailowo skontaktować się bankiem, należy wypełnić formularz online na stronie.
• Po trzecie – wspominana koleżanka, która otrzymała tego maila, nie pracuje w księgowości - hacker nie trafił z adresatem wiadomości :P

Ale co by było, gdyby atak był bardziej spersonalizowany, jak np. ten…?:

źródło: BANK PKO BP

Co tu jest nie tak? Na pierwszy rzut oka, email wygląda OK. Logo banku jest, sprawa też wydaje się prawdopodobna. A jednak… Wiadomość w polu nadawcy zawiera sfałszowany adres: PKO Bank Polski <serwis@pkobp.pl>.

Umieszczony w treści przycisk „WYMAGANA ALKTUALIZACJA” prowadzi do fałszywej strony, gdzie cyberprzestępcy wykradają dane dostępowe. Jest ona podobna do strony logowania banku. Jeśli się zalogujesz – stracisz dane logowania i pieniądze! Nie tylko te na koncie – przestępca może również wziąć kredyt na Twoje dane. Łatwo dać się złapać w pułapkę, bo przestępcy często bazują na powtarzalności, a banki przesyłają do nas różne informacje mailem, np. o promocjach. Ale nigdy z żądaniem wykonania określonych czynności, jak kliknięcie w link czy realizację transakcji gotówkowych!

A co by było, gdyby koleżanka pobrała załącznik z rzekomymi wyciągami (patrz przykład nr 1)? W załączniku znajdowało się złośliwe oprogramowanie śledzące, za pośrednictwem którego hacker mógłby przejąć dostęp do komputera, zapisanych w przeglądarce danych logowania, np. do banku, do mediów społecznościowych, do poczty (nasze ślady w Internecie, odsyłamy do pierwszej lekcji naszego cyklu - link u dołu), a dzięki temu -  ukraść naszą tożsamość i pieniądze, a nawet zainfekować sieć! Nieostrożność sporo kosztuje!

2. Fałszywie strony

Aby atak phishingowy był skuteczny, sprowokowany treścią wiadomości, musisz wykonać określoną czynność – pobrać załącznik (jak w przypadku przykładu nr 1) lub kliknąć w link (przykład nr 2) celem zalogowania się lub dokonania płatności na fałszywej stronie.

Do popularnych metod wyłudzania danych osobowych lub/i danych do logowania (i pieniędzy) poprzez fałszywe strony, jest również fortel na fakturę z PGE. Ofiara dostaje maila z lakoniczną wiadomością, że zalega z płatnością lub zbliża się termin płatności faktury. Brak opłaty wiąże się z odcięciem prądu lub, co gorsza, wylądujemy w rejestrze dłużników. Kierowani strachem, klikamy w link, przekierowujący do bramki płatności, logujemy się do banku i…. tracimy pieniądze oraz tożsamość!

Fałszywe strony www, do których odsyłają linki w mailach lub sms są tak dobrze podrobione, że często tylko adres domeny zdradza oszustwo! By zmylić ofiarę, przestępcy wykupują certyfikat SSL (to ten teoretycznie bezpieczny początek adresu www, zaczynający się od https:// – języczkiem u wagi jest litera „s”), na co wskazuje przykład niżej:

źródło: NASK - Państwowy Instytut Badawczy

No cóż, jak się okazuje „s”, mimo, że wskazuje na "secure”, czyli „bezpieczny”, nie zawsze bezpiecznym jest.

Identyczny mechanizm, jak fortel na fakturę z PGE, obowiązuje w przypadku numeru „na skarbówkę”. Trwa kampania rozliczania PIT, czas żniw dla przestępców. Przykład numer 3 to kwintesencja ataku phishingowego za pośrednictwem maila:

źródło: NASK - Państwowy Instytut Badawczy

Mamy fałszywy adres email, fałszywy kontekst wiadomości (skarbówka, podobnie jak banki, NIGDY nie informuje o transakcjach gotówkowych za pośrednictwem maila), link do strony www w postaci hiperłącza. Adresat tego maila – hacker, liczy na to, że skuszona wizją łatwych pieniędzy ofiara wypełni formularz (oczywiście na fałszywej stronie) ze swoimi danymi, zawierającymi np. PESEL, adres zamieszkania, numer telefonu, email czy numer konta. Posiadając ten zestaw danych o osobie, przestępca może się podszyć pod ofiarę i spróbować wyłudzić pieniądze (na jej nazwisko, lub – mając dostęp do konta np. na Facebook - od jej znajomych) lub sprzedać z zyskiem dane osobowe w dark necie.

Jak wcześniej wspominaliśmy, emocjonalny ładunek phishingowej wiadomości email/sms może dotyczyć także pozytywnych informacji, np. na Twoją skrzynkę email może trafić info o wygranej na loterii – np. od banku, PKP, dostawcy usług internetowych. Rzekomo wygrasz jak – klikniesz w link i uzupełnisz formularz na stronie/pobierzesz załącznik, np. zip, w którym ma znajdować się formularz/regulamin, a w pakiecie – także złośliwe oprogramowanie śledzące.

Jak się bronić? Pełen zestaw zaleceń, to lekcja nr 4 (przed nami), ale na początek:

1. przede wszystkim wyłącz emocje! Zwróć uwagę na kontekst wiadomości – czy ukierunkowany jest na podjęcie przez nas szybkich działań, czy jest to jakaś groźba, czy niesie jakiś emocjonalny ładunek. To istotny wskaźnik, który może wskazywać na próbę oszustwa. Druga sprawa - banki, urzędy, skarbówka, PGE nie wymagają do klientów maili/sms z żądaniem wykonania przez nich określonych czynności – przelewów, potwierdzenia tożsamości, pobierania aktualizacji itp. Nie nakłaniają też do wykonania operacji gotówkowych – przelewów, logowania, pobrania załączników z danymi finansowanymi, nie proszą też o podawanie danych osobowych itp.
2. Nie daj się zwieść pozorom (logo, stopka, maila, kolorystka treści – oszuści naprawdę dobrze podszywają się pod Nadawcę!).
3. Kolejna sprawa – zanim klikniesz/ pobierzesz, zweryfikuj nadawcę maila! Sprawdzaj, skąd przychodzi dana wiadomość. Zweryfikuj adres domeny serwera poczty, z którego przyszedł dany email (nazwa domeny to cześć adresu po @) – wystarczy w Google wrzucić nawę firmy.
4. Kolejna sprawa – nawet jeśli klikniemy w fałszywą stronę, przed zalogowaniem, sprawdźmy jej adres URL:

URL to inaczej nazwa strony www. Na podstawie wyżej opisanych przykładów wiesz już, że strony internetowe banków, skarbówki, firm kurierskich czy Facebook mogą być podrabiane jeden do jednego tak, że często tylko adres www może zdradzić oszustwo. Ale nawet w tym przypadku, o oszustwie mogą świadczyć szczegóły, np. rozszerzenie .pl, .com, .org itp. (np. adres strony banku PKO BP to www.pkobp.pl, każda inna nazwa np. z końcówką com.pl będzie FAŁSZYWA! Inny przykład - zamiast www.allegro.pl, wykorzystywany może być fałszywy adres typu allegro.com.pl)

5. Uwaga na hiperłącza (czyli podlinkowany tekst, zamiast pełnego adresu www) lub tiny-URL, czyli skrócone adresy stron internetowych. Zanim klikniesz, najedź wskaźnikiem myszy na link (nadal nie klikaj!), a na dole przeglądarki zostanie wyświetlony pełen adres linku.
6. Czujność należy zachować do ostatniej chwili - przed zatwierdzeniem przelewu jednorazowym kodem, który dostajemy w SMS, należy sprawdzić, czy numer konta odbiorcy zgadza się z tym w wiadomości.
7. Zwracaj uwagę na pisownię! Twoją czujność powinny wzbudzić wszystkie literówki i przejęzyczenia. Czasem może chodzić o jedną przestawioną literę w adresie www. Wiele wiadomości phishingowych – sms i email, lub fałszywe strony ma niepoprawną gramatykę, interpunkcję, pisownię, czy też brak w nich polskich znaków np. „ą”, „ę” itd.
8. Jeśli zauważysz podejrzanego e-maila, oznacz go w skrzynce odbiorczej jako spam lub wiadomości śmieci lub podejrzany (jeśli masz taką opcję na poczcie).
9. Zgłoś incydent! W ciągu 24 h przekaż zgłoszenie poprzez formularz internetowy znajdujący się na stronie incydent.cert.pl lub przez sms: 8080, lub w aplikacji mObywatel. Dzięki temu poszerzana jest liczba ostrzeżeń – a w przeglądarce po kliknięciu w fałszywą stronę pojawia się komunikat o zagrożeniu.

W kolejnej lekcji – omówimy sobie phishing na Facebooku! Bądź bezpieczny, chroń swoje dane w internecie!

Katarzyna Miszczuk