Właśnie dostałeś e-mail z prośbą o ponowne zalogowanie się na Twoje konto bankowe, profil w social media lub konto administratorskie np. konsoli Windows? Jeżeli wiadomość wzbudza Twoje wątpliwości, a jesteś proszony o przesłanie danych dostępowych, zachowaj czujność! Może to być próba wyłudzenia Twoich danych, czyli tzw. phishing.
Czym jest phishing?
Phishing to próba wyłudzenia danych dostępowych np. do kont bankowych, konsoli administratorskich wewnętrznych systemów firmowych, kont social media, wirtualnych dysków pamięci etc. Oszuści w celu uzyskania danych logowania zazwyczaj podszywają się pod dobrze znane firmy. Wykorzystują między innymi elementy socjotechniki oraz spreparowane maile, łudząco podobne do ich oryginałów z prośbą o zalogowanie się do konta.
Ofiary nieświadome zagrożenia wchodzą poprzez spreparowany mail na podrobioną stronę internetową i podają tam dane logowania. Często zdarza się, że ofiary są nieświadome wyłudzenia ich danych ponieważ spreparowana strona w czasie rzeczywistym loguje się danymi podanymi przez użytkownika i odsyła go następnie na już prawdziwy, zalogowany panel. Nie zmienia to faktu, że strona trzecia od tego momentu dysponuje danymi służącymi do zalogowania się do naszego konta co może skutkować np. wytransferowaniem naszych pieniędzy na drugi koniec świata, uzyskaniem dostępu do wewnętrznych plików i dokumentów organizacji czy kradzieżą tożsamości profilu w social media.
Pod jakie firmy najczęściej podszywają się maile phishingowe?
Według raportu firmy Vade Secure do ataków phishingowych najczęściej wykorzystuje się markę Microsoft. Z raportu wynika, że z roku na rok ataki pod brandem giganta technologicznego wzrosły aż o 15,5%. Wiąże się to z dużym zaufaniem, rozpoznawalnością oraz obszarem działalności Microsoftu.
Firma ta wydaje się być naturalnym celem ataków hakerskich, biorąc pod uwagę fakt rozpoznawalności marki oraz ilości kont użytkowników Outlook i Office 365. Konta Microsoft są bardzo cennym celem, ponieważ ich przejęcie może otworzyć drogę do wejścia w całą wewnętrzną strukturę organizacji opierającej swoje działania o rozwiązania Microsoft.
Jednym z najczęściej wykorzystywanych schematów przeprowadzenia ataku, jest scenariusz wysłania maila z informacją np. o wygasającej usłudze Microsoft lub problemach związanych z kontem Office 365. Mail zawiera link, który prowadzi do sfałszowanej strony internetowej. Nieświadomy użytkownik wpisuje dane logowania, przekazując tym samym dostęp do konta atakującym. Haker w tym momencie może wykorzystać przejęte konto do zwiększenia zasięgu ataku na innych użytkowników lub do przejęcia danych lub zasobów organizacji.
Czy phishing jest groźny dla osób prywatnych?
Oczywiście, że tak! Pomińmy doskonale znaną kwestię wykorzystywania metod phishingu do przejmowania prywatnych kont bankowych w celu wytransferowania pieniędzy. Skupy się na mniej znanym problemie kradzieży i wykorzystywania profili użytkowników social media.
Obecnie ponad 4,3 miliarda ludzi posiada dostęp do Internetu, z czego niemal 3,5 miliarda korzysta z social media – stanowi to niemal 45% światowej populacji. Tylko na przestrzeni 2018 roku przyrost użytkowników social media wzrósł o 9% czyli o 280 milionów użytkowników. Według raportu Digital 2019 w Polsce z portali społecznościowych korzysta ponad 18 milionów użytkowników co stanowi 47% społeczeństwa, a na każdego użytkownika przypada średnio 7,3 konta na różnych platformach społecznościowych.Źródło: Raport Digital 2019 Polska
Ataki phishingowe na użytkowników Facebooka
Wystarczy wspomnieć, że w samym 2018 roku ataki phishingowe podszywające się pod markę Facebook wzrosły o 176%, co ustawia ten rodzaj ataku jako 3 najpopularniejszy sposób wyłudzania danych. Włamanie się do konta Facebooka niesie za sobą bardzo duże ryzyko w postaci:
- Wykorzystania socjotechniki i zaufania innych użytkowników sieci do naszego profilu w celu wyłudzenia pieniędzy;
- Nieautoryzowanego dostępu do wysłanych zdjęć oraz wiadomości, co może zagrozić poufności korespondencji;
- Publikowania niechcianych materiałów oraz treści w głównym kanale informacyjnym;
- Wykorzystania konta w celu wyrażania niechcianych opinii i komentarzy, etc.
Przejęcie konta w social media to nie tylko ryzyko utraty kontroli nad profilem. Z uwagi na wszechobecną możliwość logowania się za pośrednictwem Facebooka do innych aplikacji i programów, istnieje duże ryzyko rozszerzenia skali ataku. Adrien Gendre, główny architekt rozwiązań bezpieczeństwa w Vade Secure powiedział:
Phishing wykorzystujący Microsoft Office 365 jest bramą do ogromnej ilości danych korporacyjnych, a uzyskanie dostępu do danych logowania na Facebooku zagraża dużej części j poufnych informacji osobistych użytkownika. Fakt, że widzieliśmy tak znaczną liczbę osób podszywających się pod te dwie marki, oznacza, że praktycznie wszyscy użytkownicy poczty e-mail i organizacje muszą być w pogotowiu.
Co zrobić aby nie paść ofiarą phishingu?
Dlaczego ataki phishingowe są tak popularne? Ponieważ działają (niestety, wielu użytkowników jest wciąż podatnych na działania na pograniczu socjotechniki) oraz są bardzo tanie w realizacji.
W rzeczywistości żadne rozwiązanie nie zablokuje 100% zagrożeń, więc musisz być przygotowany na nieoczekiwane. Pierwszym najważniejszym krokiem jest szkolenie użytkowników końcowych, aby pracownicy mogli wykrywać samodzielnie phishingowe wiadomości e-mail.
Adrien Gendre, ekspert Vade Secure
W sytuacji, gdy dostaniemy email, który wzbudza nasze wątpliwości, warto zastanowić się przed kliknięciem w podejrzany link. Dobrą praktyką jest kontakt lub weryfikacja za pośrednictwem stron internetowych należących do kontaktujących się podmiotów, czy przesłana wiadomość faktycznie pochodzi od nich. W sytuacjach krytycznych, wymagających szybkiego podjęcia działania, warto wchodzić na strony logowania bezpośrednio z przeglądarki, nie wykorzystując linków odsyłających zaszytych w otrzymanym mailu.
Warto również rozważyć zainstalowanie dodatkowych narzędzi do ochrony przed phishingiem, takich jak np. Bitdefender Antivirus Plus lub ESET NOD 32, które wzmocnią ochronę zarówno biznesu jak i użytkowników prywatnych.
