Krótko o phishingu

Phishing i jak się przed nim chronić

Co to jest phishing?

Phishing to nieuczciwa próba uzyskania wszelkiego rodzaju poufnych informacji lub danych, które mogą zostać użyte do ataku na niczego niepodejrzewających użytkowników. Przestępca próbuje ukryć się jako podmiot godny zaufania, zwykle za pośrednictwem wiadomości e-mail, SMS lub komunikatora internetowego i w jakiś sposób wydobywa dane osobowe od ofiar, prosząc je o wypełnienie formularza lub odwiedzenie (złośliwej) strony internetowej.

Rodzaje phishingu (Wikipedia, 2020)

  • Spear phishing: skierowany do konkretnych osób lub firm (pracowników i kadry kierowniczej)
  • Whaling: skierowany do kierownictwa wyższego szczebla wielkich firm
  • Catphishing: oszustwo online polegające na osobistym poznaniu ofiary
  • Clone phishing: tworzenie fałszywej komunikacji w oparciu o przechwycony oryginał i zastępowanie legalnych łączy lub plików złośliwymi
  • Phishing głosowy: nakłanianie użytkowników do dzwonienia do serwisu „banku” w celu wykonania jakiegoś zadania lub zaktualizowania niektórych informacji
  • SMS Phishing (lub smishing): cel otrzymuje wiadomość SMS z linkiem lub jest proszony o zadzwonienie na numer telefonu lub wysłanie wiadomości
    e-mail lub SMS

Zastosowane techniki

  • Manipulacja linkiem: umieszczenie linku w jakimś miejscu lub zrobienie czegoś, co może naruszyć lub wydobyć poufne informacje
  • Unikanie filtrów: manipulowanie treścią wiadomości e-mail w celu uniknięcia filtrów umieszczanych na serwerach poczty e-mail
  • Fałszowanie witryn internetowych: wykorzystywanie technik programowania internetowego do nakłaniania użytkowników do myślenia, że odwiedzają legalną witrynę, podczas gdy w rzeczywistości tak nie jest
  • Ukryte przekierowanie: osoby atakujące manipulują odsyłaczami, aby wyglądały na uzasadnione, ale kierują do złośliwych witryn
  • Inżynieria społeczna: użytkownicy są zachęcani do klikania linków lub otwierania załączników

Jak uniknąć phishingu

  • Na dużą skalę:
    • Wielcy dostawcy usług pocztowych obejmują filtry antyspamowe i antyphishingowe, które zatrzymują wiadomości, zanim dotrą one do serwerów
    • Administratorzy systemu mogą wyposażyć serwer pocztowy w filtry antyphishingowe
    • Istnieje wiele witryn internetowych, które zgłaszają szczegóły prób phishingu. Jednym z przykładów jest: FraudWatch International
    • Większe firmy szkolą pracowników w rozpoznawaniu popularnych prób phishingu
  • Na poziomie użytkownika:
    • ZAWSZE ZWRACAJ UWAGĘ
    • Nigdy nie otwieraj e-maili od osób, których nie znasz
    • Jeśli otworzysz wiadomość e-mail, przeczytaj ją uważnie i zwróć uwagę na szczegóły, takie jak legalność adresu nadawcy, prawidłowe użycie języka polskiego, istnienie niejasnych (a nie konkretnych) informacji
    • Nigdy nie klikaj załączników z wiadomości e-mail, których się nie spodziewałeś. Jeśli pierwotny nadawca wydaje się być wiarygodny, skontaktuj się z nim bezpośrednio i zapytaj, czy coś Ci przesłał
    • Nigdy nie klikaj łączy zawartych w wiadomościach e-mail, których się nie spodziewałeś. Jeśli wiadomość e-mail wydaje się wiarygodna i zawiera prośbę o zweryfikowanie swoich danych, nie klikaj linku. Wejdź na stronę firmy i spróbuj znaleźć stronę lub powiadomienie o tym procesie weryfikacji
    • Nigdy nie dzwoń pod numer tylko dlatego, że mówi o tym e-mail, SMS lub inna wiadomość. Skontaktuj się z główną centralą firmy i poproś o połączenie z tym, kto rzekomo wysłał ci wiadomość
    • Wszelkie wiadomości, w których twierdzi się, że wygrałeś jakieś zawody lub jesteś zwycięzcą szczęśliwego losowania, z pewnością można uznać za próbę phishingu
    • Wszelka komunikacja informująca o zawieszeniu usługi i konieczności pilnej aktualizacji danych w celu ochrony danych z pewnością może zostać uznana za próbę wyłudzenia informacji

Filmy (na YouTube) do identyfikacji phishingu:

Pobierz PDF: krótko o phishingu i jak go unikać