Phishing (atak phishingowy)

Co to jest phishing?

Phishing jest naruszeniem bezpieczeństwa, w którym sprawca podszywa si? pod prawdziw? firm? lub powa?an? osob? w celu uzyskania prywatnych i poufnych informacji, takich jak numery kart kredytowych, osobiste numery identyfikacyjne (PIN) i has?a.

Phishing opiera si? na podst?pie technicznym i socjotechnice. Ma na celu zmanipulowanie ofiary i nak?onienie do podj?cia okre?lonych dzia?ań w imieniu atakuj?cego, np. klikni?cia z?o?liwego linku, pobrania i/lub otwarcia z?o?liwego za??cznika do wiadomo?ci e-mail czy ujawnienia informacji, które atakuj?cy wykorzysta w przysz?ym ataku.

Wed?ug wspólnego projektu, który prowadzi amerykańska Agencj? ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), 90% wszystkich cyberataków rozpoczyna si? od phishingu. Jednym z kluczowych powodów powszechno?ci ataków phishingowych jest wszechstronno?? ataku i wysoki zwrot z inwestycji dla cyberprzest?pców.

Aby zmniejszy? ryzyko zwi?zane z phishingiem, osoby fizyczne i organizacje musz? bardziej koncentrowa? si? na edukacji na temat phishingu, wdro?y? solidne filtrowanie wiadomo?ci e-mail, rozwa?y? korzystanie z zapobiegaj?cych phishingowi us?ug w chmurze i przestrzega? najlepszych praktyk dotycz?cych bezpiecznego zachowania w Internecie.

Jak dzia?a phishing: Oznaki ataku phishingowego

W udanej próbie phishingu jednym z g?ównych celów oszusta jest zdobycie zaufania ofiary. Wykorzystuje wi?c zarówno taktyki techniczne, jak i psychologiczne, aby komunikacja z potencjalnymi ofiarami wygl?da?a na wiarygodn?.

Aby zabezpieczy? si? przed oszustwami phishingowymi, nale?y umie? rozpozna? wskazówki ataku phishingowego w wiadomo?ciach mailowych, g?osowych i tekstowych. Zawsze zachowuj szczególn? ostro?no??, gdy otrzymasz wiadomo?? z pro?b? o podanie danych osobowych, takich jak dane logowania czy numery kart kredytowych lub ubezpieczenia spo?ecznego. G?ównym znakiem ostrzegawczym jest niespodziewana komunikacja i pro?ba o poufne informacje lub ich weryfikacj?. Rzetelne organizacje zwykle nie wysy?aj? takich pró?b za po?rednictwem poczty elektronicznej, wiadomo?ci tekstowych lub g?osowych.

Je?li dane kontaktowe nadawcy nie wygl?daj? dok?adnie tak, jak powinny w przypadku rzetelnego ?ród?a, jest to kolejny sygna?, który wskazuje na prób? phishingu. Phisherzy cz?sto u?ywaj? myl?cych adresów e-mail, które na pierwszy rzut oka bardzo przypominaj? adresy prawdziwych podmiotów i numerów telefonów. Np. numer kierunkowy nie odpowiada temu, który posiada prawdziwa firma.

Niektórzy do przeprowadzania ataków wykorzystuj? jednak przej?te konta e-mail lub numery telefonów. Utrudnia to wykrycie rozbie?no?ci w informacjach kontaktowych.

Dlatego przy ocenie autentyczno?ci komunikacji warto wzi?? pod uwag? te? inne czynniki, takie jak tre?? wiadomo?ci, jej wygl?d i ogólny kontekst ??dania. Ka?d? niespodziewan? komunikacj?, która wymaga weryfikacji poufnych informacji, nale?y traktowa? jako mo?liw? prób? phishingu.

Rodzaje i przyk?ady phishingu

Ataki phishingowe mo?na dostosowa? w zale?no?ci od rodzaju ofiary i celu, jaki ma on wyegzekwowa?. W?a?nie ta wszechstronno?? pozwala cyberprzest?pcom wybra? medium komunikacyjne dopasowane do odbiorców i celów oraz zarzuci? szerok? sie?, która zwi?ksza szanse na znalezienie podatnej ofiary, albo w?sk?, zaprojektowan? w celu z?apania konkretnej osoby czy firmy.

Popularne rodzaje ataków phishingowych obejmuj?:

Phishing e-mail

Phishingowe wiadomo?ci e-mail s? najpopularniejszym rodzajem tego typu ataku. Oszust wysy?a maila, który wydaje si? pochodzi? z rzetelnego ?ród?a, takiego jak bank, firma obs?uguj?ca karty kredytowe lub agencja rz?dowa. Wiadomo?? ta cz?sto zawiera link, który po klikni?ciu przenosi ofiar? na fa?szyw? stron? internetow?, która przypomina prawdziw?. Gdy ofiara wprowadzi swoje dane logowania lub inne poufne informacje w takiej witrynie, oszu?ci mog? je ukra??.

Chatboty GenAI u?atwi?y phisherom tworzenie wiadomo?ci e-mail, które wygl?daj? tak, jakby pochodzi?y z rzetelnego ?ród?a.

Oto kilka przyk?adów phishingowych wiadomo?ci e-mail:

• Oszustwo na faktur?: Oszust wysy?a maila, która wydaje si? pochodzi? od prawdziwej firmy, np. z bran?y u?yteczno?ci publicznej lub obs?uguj?cej karty kredytowe. Wiadomo?? ta zwykle zawiera informacj?, ?e ofiara ma niezap?acon? faktur? i prosi o klikni?cie ??cza w celu uiszczenia op?aty. Link przenosi ofiar? na fa?szyw? stron? internetow?, która wygl?da jak prawdziwa. Gdy wprowadzi dane p?atnicze na fa?szywej stronie, oszu?ci je wykradaj?.
• Oszustwo na reset has?a: Oszust wysy?a wiadomo?? e-mail, która wydaje si? pochodzi? od zwyk?ej firmy, takiej jak bank lub portal spo?eczno?ciowy. Zawiera informacj?, ?e has?o ofiary zosta?o zresetowane. Prosi o klikni?cie linku w celu zmiany has?a. Link przenosi ofiar? na podrobion? stron? internetow?, która wygl?da jak prawdziwa. Gdy osoba wprowadzi nowe has?o, oszu?ci je przechwyc?.
• Oszustwo na pomoc techniczn?: Oszust wysy?a e-mail, który wydaje si? pochodzi? od prawdziwej firmy zajmuj?cej si? pomoc? techniczn?. Wiadomo?? zawiera informacj?, ?e komputer ofiary dzia?a nieprawid?owo i prosi o kontakt pod okre?lonym numerem telefonu w celu uzyskania pomocy. Je?li ofiara zadzwoni pod ten numer, po??czy si? z oszustem, który spróbuje przekona? j? do udzielenia mu zdalnego dost?pu do jej komputera. Gdy go uzyska, wykradnie dane osobowe lub instaluje z?o?liwe oprogramowanie.

Spear phishing

Jest to bardziej ukierunkowany rodzaj ataku phishingowego, w którym atakuj?cy tworzy komunikacj? specjalnie dostosowan? do ofiary. E-mail phishingowy mo?e np. dotyczy? tematu, którym ofiara wykaza?a wcze?niej zainteresowanie, poniewa? jest istotny dla jej pracy. Gdy do personalizacji wykorzystuje si? sztuczn? inteligencj? (AI) i uczenie maszynowe (ML), zwi?ksza si? prawdopodobieństwo, ?e wiadomo?? zostanie otwarta, a ofiara nabierze si? na oszustwo.

Oto kilka przyk?adów oszustwa spear phishing:

• Ukierunkowane oszustwo e-mail: Oszust wysy?a e-mail specjalnie dopasowany do danej ofiary. Wiadomo?? mo?e zawiera? imi? i nazwisko ofiary, nazw? firmy lub inne dane osobowe. Personalizacja zwi?ksza prawdopodobieństwo otwarcia wiadomo?ci, a ofiara wówczas ?atwiej nabiera si? na oszustwo.
• Atak Business Email Compromise (BEC): Oszust wysy?a wiadomo?? e-mail, która wydaje si? pochodzi? od prawdziwego partnera biznesowego, np. sprzedawcy lub klienta. Zawiera pro?b? o dokonanie p?atno?ci lub zmian? has?a. Oszust cz?sto wykorzystuje presj? czasu, aby zmusi? ofiar? do szybkiego dzia?ania.
• Oszustwo na autorytet: Oszust wysy?a wiadomo?? e-mail, która wydaje si? pochodzi? od kierownika wysokiego szczebla, którego nazwisko ofiara prawdopodobnie zna. W wiadomo?ci znajduje si? pro?ba o przelanie pieni?dzy na okre?lone konto, zazwyczaj zagraniczne. W tym przypadku oszust równie? cz?sto wykorzystuje presj? czasu, aby zmusi? ofiar? do szybkiego dzia?ania.

Whaling

Ten rodzaj ataku spear phishing ma na celu wykorzystanie ?grubej ryby”, takiej jak dyrektor finansowy (CFO) du?ego przedsi?biorstwa lub inny cz?onek kadry kierowniczej wy?szego szczebla.

Oto kilka przyk?adów whalingu:

• Oszustwo na CEO: Oszust wysy?a e-mail do wiceprezesa ds. finansów, który wydaje si? pochodzi? od dyrektora generalnego firmy. Wiadomo?? wzywa potencjaln? ofiar? do natychmiastowego podj?cia okre?lonych dzia?ań (w imieniu oszusta), które ostatecznie spowoduj? straty finansowe lub nieautoryzowane ujawnienie poufnych informacji.
• Oszustwo na sprzedawc?: Oszust wysy?a wiadomo?? do wiceprezesa ds. zaopatrzenia, która wygl?da tak, jakby pochodzi?a od kogo?, z kim firma ofiary prowadzi interesy. Fa?szywy mail zawiera pro?b? o autoryzacj? p?atno?ci za faktur?, która jest rzekomo ?przeterminowana”, albo zmian? adresu dostawy dla du?ego zamówienia.
• Oszustwo na wewn?trznego pracownika: Oszust celuje w wiceprezesa ds. sprzeda?y i wysy?a wiadomo?? e-mail maj?c? na celu nak?onienie go do podj?cia okre?lonych dzia?ań, które zapewni? atakuj?cemu dost?p do poufnych informacji o klientach.

Smishing

Ten rodzaj phishingu wykorzystuje wiadomo?ci tekstowe SMS do komunikacji z ofiar?. Wiadomo?ci tekstowe cz?sto zawieraj? link, po którego klikni?ciu ofiara zostanie przeniesiona na fa?szyw? stron? internetow? lub pro?b? o podanie poufnych informacji.

Oto niektóre przyk?ady smishingu:

• Oszustwo na paczk?: Oszust wysy?a wiadomo?? tekstow?, która wydaje si? pochodzi? od firmy kurierskiej, takiej jak DPD lub InPost. W ten sposób informuje ofiar?, ?e czeka na ni? paczka i prosi o klikni?cie linku w celu jej ?ledzenia. ??cze przenosi ofiar? na fa?szyw? stron? internetow?, która wygl?da jak prawdziwa witryna firmy spedycyjnej. Gdy ofiara wprowadzi tam swoje dane osobowe, oszu?ci je przechwyc?.
• Oszustwo bankowe: Oszust wysy?a wiadomo?? tekstow?, która wygl?da tak, jakby pochodzi?a od banku, takiego jak PKO BP czy mBank. Informuje w niej, ?e konto ofiary zosta?o przej?te i prosi o klikni?cie linku w celu weryfikacji danych. Link przenosi ofiar? na fa?szyw? stron? internetow?, która wygl?da jak prawdziwa strona banku. Gdy ofiara wprowadzi swoje dane logowania na fa?szywej stronie, oszu?ci je wykradn?.
• Oszustwo na reset has?a: Oszust wysy?a wiadomo?? tekstow?, która wydaje si? pochodzi? od popularnej firmy, takiej jak Allegro czy Amazon. Wiadomo?? informuje, ?e has?o ofiary zosta?o z?amane i prosi o klikni?cie linku w celu dokonania zmiany. ??cze przenosi ofiar? na fa?szyw? stron? internetow?, która wygl?da jak prawdziwa. Gdy ofiara wprowadzi tam swoje stare has?o w celu jego zmiany na nowe, oszu?ci je wykradn?.

Vishing (voice phishing)

Ten rodzaj phishingu jest przeprowadzany przez telefon. Atakuj?cy u?ywa w?asnego g?osu lub g?osu wygenerowanego przez AI, aby podszy? si? pod przedstawiciela prawdziwej firmy lub organizacji.

Oto kilka przyk?adów voice phishingu:

• Oszustwo na wsparcie klienta: Oszust dzwoni do ofiary i twierdzi, ?e reprezentuje obs?ug? techniczn? prawdziwej, rzetelnej firmy. Informuje, ?e jej komputer nie dzia?a prawid?owo i prosi o pozwolenie na zdalny dost?p do urz?dzenia. Gdy oszust go uzyska, wykrada jej dane osobowe lub instaluje na nim malware.
• Podszywanie si? pod rz?d: Oszust dzwoni do ofiary i twierdzi, ?e pochodzi z podmiotu rz?dowego, np. urz?du podatkowego czy Zak?adu Ubezpieczeń Spo?ecznych. Informuje ofiar?, ?e zalega z p?atno?ciami i prosi o sp?at? przez telefon. W tego rodzaju phishingu oszust mo?e u?ywa? gró?b lub zastraszania, aby zmusi? atakowan? osob? do zap?aty.
• Oszustwo na loteri?: Oszust dzwoni do ofiary i informuje j?, ?e wygra?a nagrod? w loterii. Prosi ofiar? o podanie danych osobowych, takich jak numer ubezpieczenia spo?ecznego czy konta bankowego, w celu odebrania nagrody. Nast?pnie wykorzystuje zebrane informacje do kradzie?y to?samo?ci lub pieni?dzy.

Crypto phishing

Ten rodzaj oszustwa jest skierowany do inwestorów i osób handluj?cych kryptowalutami. Oszu?ci wysy?aj? wiadomo?ci tekstowe lub e-mail, które wydaj? si? pochodzi? z prawdziwego ?ród?a, takiego jak np. gie?da kryptowalut czy dostawca portfela kryptowalutowego. Wiadomo?ci te cz?sto zawieraj? link, po którego klikni?ciu ofiara zostaje przeniesiona na fa?szyw? stron? internetow?. Gdy ofiara wprowadzi na niej swoje dane logowania lub inne poufne informacje, oszu?ci mog? je wykra??.

Oto kilka przyk?adów crypto phishingu:

• Oszustwo na naruszenie zabezpieczeń: Oszust wysy?a wiadomo?? e-mail, która wygl?da, jakby nadawc? by?a gie?da kryptowalut, ostrzegaj?c ofiar?, ?e jej konto zosta?o naruszone. Znajduje si? w niej te? pro?ba o klikni?cie linku w celu weryfikacji konta. Link przenosi ofiar? na fa?szyw? stron? internetow?, która wygl?da jak prawdziwa strona gie?dy. Gdy ofiara wprowadzi na niej swoje dane logowania, oszu?ci mog? je wykra??.
• Oszustwo na konkurs: Oszust wysy?a wiadomo?? w mediach spo?eczno?ciowych, która wydaje si? pochodzi? od celebryty lub influencera. Prosi w niej ofiar? o wys?anie kryptowaluty na okre?lony adres, aby wzi?? udzia? w konkursie lub rozdawaniu kryptowalut. Adres nale?y jednak do oszusta, a kryptowaluta ofiary zostanie skradziona.
• Oszustwo na sfa?szowan? witryn?: Oszust tworzy fa?szyw? stron? internetow? kryptowaluty, która wygl?da jak prawdziwa strona gie?dy lub dostawcy portfela. Nast?pnie oszust reklamuje fa?szyw? witryn? w mediach spo?eczno?ciowych lub na innych platformach. Gdy ofiary odwiedzaj? fa?szyw? witryn? i wprowadzaj? swoje dane logowania, oszu?ci mog? je wykra??.

Ataki watering hole

Ten rodzaj phishingu jest ukierunkowany na strony internetowe, które odwiedzane s? przez profesjonalistów z okre?lonej bran?y lub segmentu rynku.

Oto kilka przyk?adów oszustw typu watering hole:

• Oszustwo w mediach spo?eczno?ciowych: Oszust w?amuje si? na forum bran?owe lub stron? spo?eczno?ciow?, któr? odwiedzaj? specjali?ci z danej dziedziny. Gdy ofiary odwiedz? t? witryn?, ich urz?dzenia zostaj? zainfekowane z?o?liwym oprogramowaniem lub s? wówczas przekierowywane na fa?szyw? stron? logowania, która rejestruje ich dane uwierzytelniaj?ce.
• Oszustwo na portalu pracowniczym: Oszust atakuje portal pracowniczy lub witryn? intranetow?, do której pracownicy cz?sto uzyskuj? dost?p w celu zarz?dzania swoimi ?wiadczeniami, przegl?dania wyp?at lub uzyskiwania dost?pu do zasobów firmy. Naruszaj?c ten portal, atakuj?cy mo?e potencjalnie ukra?? dane logowania i dane osobowe pracowników, a nawet zainfekowa? ich urz?dzenia z?o?liwym oprogramowaniem. Informacje te mog? zosta? wykorzystane do szpiegostwa korporacyjnego lub dalszych ataków sieci organizacji.
• Oszustwo na z?o?liwy VPN: Atakuj?cy tworzy fa?szyw? stron? internetow?, która oferuje dost?p do darmowych sieci VPN. Osoby, które zarejestruj? si?, aby korzysta? z tych wirtualnych sieci prywatnych, s? nara?one na kradzie? danych karty kredytowej, wyciek lub sprzeda? prywatnych zdj?? i filmów online oraz nagrywanie prywatnych rozmów i przesy?anie ich na serwer atakuj?cego.

Malvertising

Ten rodzaj ataku phishingowego umieszcza z?o?liwe reklamy na zwyk?ych, rzetelnych stronach internetowych. Kiedy ofiary klikaj? reklamy, przenosz? si? na fa?szyw? stron? internetow?, która infekuje ich urz?dzenia z?o?liwym oprogramowaniem.

Oto kilka przyk?adów z?o?liwych reklam:

• Atak drive-by download: Ten rodzaj oszustwa polega na automatycznym zainstalowaniu z?o?liwego oprogramowania na komputerze u?ytkownika, gdy odwiedzi on stron? zainfekowan? z?o?liwym kodem. Malware mo?e pos?u?y? do kradzie?y danych osobowych, instalacji innego z?o?liwego oprogramowania lub przej?cia kontroli nad komputerem.
• Wyskakuj?ce okienka ze z?o?liwymi reklamami: Ten rodzaj oszustwa polega na wy?wietlaniu irytuj?cych wyskakuj?cych reklam na komputerze u?ytkownika. Reklamy mog? zawiera? z?o?liwy kod, który przejmuje kontrol? nad przegl?dark? ofiary lub umo?liwia atakuj?cemu poruszanie si? po jej sieci i szukanie innych luk do wykorzystania.
• Clickjacking: Ten rodzaj oszustwa polega na nak?onieniu u?ytkownika do klikni?cia z?o?liwego linku lub przycisku na stronie internetowej. Link lub przycisk mo?e wydawa? si? standardowy, ale w rzeczywisto?ci ma na celu instalacj? malware lub kradzie? danych osobowych.

Angler phishing

Ten rodzaj ataku phishingowego wykorzystuje jako wektor ataku popularne serwisy spo?eczno?ciowe, takie jak Facebook i TikTok. Atakuj?cy tworzy fa?szywe konta w mediach spo?eczno?ciowych, aby wchodzi? w interakcje z prawdziwymi u?ytkownikami i zdobywa? ich zaufanie. Ostatecznie wysy?a bezpo?redni? wiadomo?? (DM) lub publikuje na stronie co?, co zawiera link do strony phishingowej.

Przyk?ady angler phishingu:

• Wykorzystanie skarg w mediach spo?eczno?ciowych: Podczas tego rodzaju oszustwa atakuj?cy tworzy fa?szywe konto w mediach spo?eczno?ciowych, które wygl?da jak prawdziwe konto obs?ugi klienta danej firmy. Nast?pnie kontaktuje si? z osobami, które opublikowa?y skargi dotycz?ce tej firmy w mediach spo?eczno?ciowych i oferuje im ?pomoc” w rozwi?zaniu problemów. Nast?pnie przekierowuje ofiar? na stron? phishingow?, która prosi o podanie adresu e-mail, numeru telefonu lub innych danych osobowych. Te informacje atakuj?cy wykorzystuje pó?niej do kradzie?y to?samo?ci.
• Oszustwo na serwis spo?eczno?ciowy: W tym oszustwie atakuj?cy tworzy fa?szyw? platform? spo?eczno?ciow?, do której dost?p uzyskuje si? dopiero po podaniu danych osobowych, takich jak imi? i nazwisko, adres lub numer telefonu. Gdy oszust zbierze informacje o ofierze, u?yje ich wraz z innymi danymi do pope?nienia oszustwa lub kradzie?y to?samo?ci.
• Oszustwo na zwrot pieni?dzy: W tym oszustwie atakuj?cy wysy?a wiadomo?? e-mail lub SMS, która wydaje si? pochodzi? od prawdziwej firmy, np. z banku lub firmy obs?uguj?cej karty kredytowe. W wiadomo?ci ofiara zostaje poinformowana, ?e nale?y jej si? zwrot pieni?dzy i otrzyma link umo?liwiaj?cy jego odebranie. Ten link przeniesie j? jednak na fa?szyw? stron? internetow?, która wygl?da jak witryna danej firmy. Gdy ofiara wprowadzi swoje dane osobowe, atakuj?cy mo?e je wykra??.

Strategie psychologiczne w phishingu

Strategie phishingowe, które maj? na celu nak?onienie ofiary do wykonania okre?lonego dzia?ania, cz?sto wykorzystuj? ludzk? psychologi?. Gdy atakuj?cy podszywa si? pod zaufane podmioty, stwarza presj? czasu lub odwo?uje si? do ch?ci ofiar do udzielenia pomocy czy przynale?no?ci do grupy, mo?e wywo?a? impulsywne reakcje.

Cho? taktyki techniczne, takie jak fa?szowanie wiadomo?ci e-mail, na?ladowanie domeny lub dostarczanie z?o?liwego oprogramowania, s? kluczowymi elementami, manipulacja psychologiczna cz?sto decyduje o sukcesie oszustwa. Jak na ironi?, wi?kszo?? strategii stosowanych przez phisherów to dobrze znane techniki marketingowe.

Strategie psychologiczne wykorzystywane do przeprowadzania skutecznych ataków obejmuj?:

• Stworzenie presji czasu: Phisherzy cz?sto projektuj? swoj? komunikacj? tak, aby ofiara dzia?a?a pod presj? czasu. Ludzie maj? tendencj? do nadawania priorytetu pilnym sprawom i s? bardziej sk?onni do impulsywnego dzia?ania, gdy dostrzegaj? ograniczenie czasowe.
• Wzbudzanie strachu: Atakuj?cy w swojej wiadomo?ci twierdzi, ?e konto ofiary zostanie zawieszone lub zostan? wobec niej podj?te kroki prawne, je?li nie podejmie natychmiastowych dzia?ań. Osoby wystraszone wykazuj? wi?ksz? sk?onno?? do impulsywnych reakcji.
• Wzbudzanie ciekawo?ci: Wiadomo?ci atakuj?cego maj? na celu rozbudzenie ciekawo?ci ofiary poprzez dostarczenie jej nieprawid?owych informacji lub kusz?cych szczegó?ów, które sk?oni? j? do klikni?cia linku lub otwarcia za??cznika, aby dowiedzie? si? wi?cej.
• Odwo?ywanie si? do autorytetu: Komunikacja phishera cz?sto wydaje si? pochodzi? od osób wy?szego szczebla, takich jak dyrektor generalny, administrator IT czy urz?dnik państwowy.
• Odwo?ywanie si? do czego? znanego: Atakuj?cy wykorzystuje zaufanie ofiary do znanej marki, organizacji lub osoby, aby stworzy? fa?szywe poczucie bezpieczeństwa.
• Tworzenie poczucia niedoboru: Oszust tworzy wra?enie ekskluzywno?ci lub ograniczonej dost?pno?ci, aby zmotywowa? ofiary do szybkiego podj?cia dzia?ań.
• Wzbudzanie poczucia winy: Wiadomo?ci atakuj?cego mog? te? mie? na celu wzbudzenie w ofierze poczucia winy lub wstydu za niezastosowanie si? do ??dania, podkre?laj?c, ?e nie jest to pierwsza wys?ana wiadomo??.
• Korzystanie z dowodów spo?ecznych: Atakuj?cy dostarcza fa?szywe opinie, polecenia lub referencje, aby pro?ba o dane dzia?anie wydawa?a si? godna zaufania i potwierdzona przez innych ludzi.
• Zach?canie do obopólnej korzy?ci: Atakuj?cy mo?e oferowa? ofierze co? o postrzeganej warto?ci (np. zni?k? lub gratis) w zamian za podj?cie przez ni? po??danego dzia?ania.
• Odwo?ywanie si? do przesz?o?ci: Wiadomo?? oszusta mo?e zawiera? pro?b? zgodn? z wcze?niejszym dzia?aniem ofiary, z którym jest ju? ona zaznajomiona.
• Odwo?ywanie si? do przyja?ni: Atakuj?cy czasami na?laduje styl pisania kolegi lub przyjaciela ofiary w celu obni?enia jej czujno?ci.
• Wzbudzanie wspó?czucia: Komunikacja oszusta mo?e mie? na celu wzbudzenie wspó?czucia u ofiary i ch?ci pomocy atakuj?cemu w wydostaniu si? z opresji.
• Wykorzystanie FOMO (Fear of Missing Out): Komunikacja atakuj?cego czasem wykorzystuje strach ofiary przed przegapieniem okazji lub wydarzenia. Zazwyczaj oszust twierdzi, ?e do wzi?cia udzia?u wymagane jest natychmiastowe dzia?anie.
• Odwo?ywanie si? do uprzedzeń grupowych: Komunikacja atakuj?cego ma na celu wzbudzenie poczucia przynale?no?ci do grupy spo?ecznej lub ?grupy wewn?trznej”, z któr? ofiara jest zaznajomiona. Phisher tworzy phishingowe wiadomo?ci tekstowe lub e-mail, które wydaj? si? pochodzi? ze ?róde?, które posiadaj? wspóln? to?samo?? lub cechy z ofiar?.

Techniczne taktyki stosowane w phishingu

Powy?sze strategie psychologiczne w po??czeniu z poni?szymi taktykami technicznymi sprawiaj?, ?e ataki phishingowe s? bardzo skuteczne. Gdy ofiary dadz? si? nabra? na dany trik psychologiczny, cz?sto wpadaj? tak?e w pu?apk? techniczn? ukryt? w phishingowych wiadomo?ciach e-mail, vishingowych po??czeniach telefonicznych i wiadomo?ciach tekstowych SMS. (Uwaga od redaktora: Atakuj?cym, którym brakuje umiej?tno?ci technicznych do przeprowadzenia ataku, mog? zakupi? zestawy phishingowe w dark webie).

Strategie techniczne powszechnie stosowane w atakach phishingowych obejmuj?:

Spoofing wiadomo?ci e-mail: Atakuj?cy manipuluje tematami wiadomo?ci e-mail, aby wygl?da?y na pochodz?ce z zaufanego ?ród?a. E-mail spoofing u?atwiaj? mankamenty standardowego protoko?u wysy?ania wiadomo?ci e-mail, Simple Mail Transfer Protocol (SMTP). SMTP nie wymaga od nadawców wiadomo?ci e-mail weryfikacji poprawno?ci adresu ?Od”, który podaj?, co sprawia, ?e atakuj?cy mog? stosunkowo ?atwo sfa?szowa? te informacje.

Manipulacja linkami: Atakuj?cy wykorzystuje fa?szywe linki w wiadomo?ciach e-mail, aby skierowa? ofiary na z?o?liwe strony internetowe. Cz?sto osadzaj? fa?szywe adresy URL w zaufanych subdomenach, aby omin?? filtry URL.

Domain Spoofing: Atakuj?cy kupuje nazwy domen, które wydaj? si? by? rzetelne, poniewa? bardzo przypominaj? prawdziwe, dobrze znane nazwy domen.

Przej?cie subdomeny: Atakuj?cy znajduje podatne na ataki subdomeny organizacji i przejmuje nad nimi kontrol? w celu hostowania stron phishingowych.

Ataki przez za??cznik: Atakuj?cy wysy?a wiadomo?ci phishingowe z za??cznikami zawieraj?cymi makra lub skrypty wykonuj?ce z?o?liwy kod. W e-mailach zazwyczaj wykorzystuj? taktyki socjotechniczne maj?ce na celu przekonanie odbiorcy do w??czenia instrukcji makr lub z?o?liwych skryptów w za??czniku.

Z?o?liwe przekierowania: Atakuj?cy wykorzystuje ukryte elementy iframe lub JavaScript, aby przekierowa? ofiary z prawdziwych witryn na strony phishingowe.

Atak drive-by downloads: Atakuj?cy wykorzystuje luki w przegl?darce lub oprogramowaniu ofiary, aby pobra? i zainstalowa? z?o?liwe oprogramowanie bez jej wiedzy.

Techniki maskowania: Atakuj?cy wykorzystuje techniki kodowania lub maskowania w celu ukrycia z?o?liwego kodu w wiadomo?ciach e-mail czy na stronach internetowych.

Dynamiczne ?adowanie tre?ci: Atakuj?cy wykorzystuje us?ug? internetow? lub framework JavaScript, taki jak React lub Angular, do tworzenia dynamicznych elementów, które nie s? osadzona w kodzie strony internetowej. Dynamiczna zawarto?? generowana na bie??co nie mo?e zosta? wykryta przez analiz? statyczn?.

Ataki oparte na JavaScript: Atakuj?cy wstawia z?o?liwy kod JavaScript w wiadomo?ciach e-mail lub na zaatakowanych stronach internetowych w celu dostarczenia z?o?liwego oprogramowania, które umo?liwia atak ransomware.

Ataki Man-in-the-Middle (MitM): Atakuj?cy przechwytuje komunikacj? mi?dzy ofiar? a prawdziw? stron? internetow? w celu uzyskania poufnych danych.

Eksfiltracja danych: Atakuj?cy wysy?a dane skradzione z urz?dzeń ofiar na serwer, który kontroluje, dzi?ki czemu mog? one zosta? wykorzystane pó?niej.

Zbieranie danych: Atakuj?cy tworzy fa?szywe strony logowania do popularnych us?ug w celu przechwycenia nazw u?ytkowników, hase? i innych danych uwierzytelniaj?cych.

Przechwytywanie sesji (session hijacking): Atakuj?cy kradnie aktywne sesyjne pliki cookie lub tokeny, aby podszy? si? pod u?ytkownika i uzyska? nieautoryzowany dost?p do jego kont.

Tabnabbing: Atakuj?cy wykorzystuje zaufanie u?ytkownika do kart przegl?darki, zast?puj?c nieaktywne karty stronami phishingowymi.

Ataki homograficzne: Atakuj?cy wykorzystuje w nazwach domen znaki Unicode, które wygl?daj? podobnie do znaków ?acińskich, aby oszuka? ofiary.

Content Spoofing (fa?szowanie tre?ci): Atakuj?cy manipuluje tre?ci? na zaatakowanej stronie internetowej, aby nak?oni? odwiedzaj?cych do podj?cia dzia?ań dla niego korzystnych.

Przekierowanie wiadomo?ci e-mail: Atakuj?cy konfiguruje filtry poczty e-mail (regu?y) na zainfekowanych kontach, które automatycznie przekazuj? poufne wiadomo?ci do atakuj?cego.

DNS Spoofing (zatruwanie DNS): Atakuj?cy manipuluje rekordami DNS, aby przekierowa? u?ytkowników na fa?szywe strony internetowe, gdy wprowadzaj? w?a?ciwe adresy URL.

Cross-Site Scripting (XSS): Atakuj?cy implementuje z?o?liwy skrypt do kodu strony internetowej, który ma wykona? akcj? w jego imieniu. XSS mo?e by? wykorzystywany do kradzie?y plików cookie sesji, zawieraj?cych dane logowania lub inne poufne informacje, które pozwol? atakuj?cemu podszy? si? pod ofiar?.

Podszywanie si? pod mark?: Atakuj?cy wy?udza poufne informacje od ofiary, wykorzystuj?c jej zaufanie do konkretnej marki.

SQL Injection: Atakuj?cy wprowadza specjalnie spreparowany kod SQL do pól wej?ciowych strony internetowej, aby uzyska? nieautoryzowany dost?p do baz danych, z których korzysta witryna. Chocia? SQL injection jest cz??ciej kojarzone z naruszeniami danych i atakami na aplikacje internetowe, mo?e by? wykorzystywane tak?e w atakach phishingowych w celu gromadzenia informacji lub dostarczania z?o?liwych ?adunków.

Jak zapobiega? phishingowi?

Dzi?ki poufnym informacjom, uzyskanym w wyniku udanego oszustwa phishingowego, przest?pcy mog? nie tylko wyrz?dzi? szkody finansowe swoim ofiarom, ale tak?e nadszarpn?? ich reputacj? osobist? i zawodow?, której naprawa zajmie lata. Po??czenie elementów psychologicznych i technicznych w atakach phishingowych zwi?ksza ich skuteczno?? oraz podkre?la znaczenie edukacji w zakresie cyberbezpieczeństwa, a tak?e stosowania solidnych zabezpieczeń w celu przeciwdzia?ania tym zagro?eniom.

Zaleca si? zachowanie poni?szych ?rodków ostro?no?ci, aby chroni? si? przed phishingiem:

• Nigdy nie otwieraj za??czników wiadomo?ci e-mail, których si? nie spodziewasz.
• Nigdy nie klikaj linków do wiadomo?ci e-mail z pro?b? o podanie danych osobowych.
• Weryfikuj adres URL przed jego klikni?ciem poprzez najechanie na niego kursorem myszy, aby wy?wietli? rzeczywisty adres docelowy. URL powinno si? zgadza?.
• Nigdy nie klikaj linków rozpoczynaj?cych si? od HTTP zamiast HTTPS.
• Ostro?nie podchod? do wszystkich po??czeń telefonicznych z pro?b? o podanie danych osobowych (PII) lub przelew ?rodków z jednego konta na drugie.
• Nie odbieraj telefonów komórkowych od nieznanych numerów.
• Je?li kto? do ciebie zadzwoni z informacj?, ?e reprezentuje podmiot rz?dowy lub inn? prawdziw? firm?, roz??cz si? i zadzwoń pod numer podany na oficjalnej stronie internetowej tego podmiotu lub firmy.
• Nigdy nie podawaj numerów kart kredytowych przez telefon.
• Zawsze zezwalaj na aktualizacje przegl?darek internetowych, systemów operacyjnych i aplikacji dzia?aj?cych lokalnie na urz?dzeniach z dost?pem do Internetu.
• U?ywaj zaktualizowanych narz?dzi do zabezpieczenia komputera, takich jak oprogramowanie antywirusowe i zapory nowej generacji.
• Zweryfikuj numer telefonu podany w wiadomo?ci e-mail przed wykonaniem po??czenia.
• U?ywaj silnych hase? i uwierzytelniania dwusk?adnikowego (2FA) dla wszystkich kont internetowych.
• Zg?aszaj podejrzenie oszustwa w firmie, pod któr? podszywa si? phisher, a tak?e podmiotom rz?dowym, takim jak Federalna Komisja Handlu (FTC).

Je?li ma to zastosowanie w twojej sytuacji, popro? zespó? ds. technologii informacyjno-komunikacyjnych (ICT) o:

• przegl?d i zmniejszenie liczby kont firmowych z dost?pem do krytycznych danych i urz?dzeń;
• ograniczenie udost?pniania hase?;
• zmniejszenie mo?liwo?ci eskalacji uprawnień poprzez ograniczenie uprawnień dost?pu;
• wdro?enie kontroli bezpieczeństwa, które uniemo?liwi? u?ytkownikom uruchamianie whoami i innych programów narz?dziowych wiersza poleceń.

Oprogramowanie antyphishingowe

Program antyphishingowy mo?na traktowa? jako zestaw narz?dzi cyberbezpieczeństwa, który wykorzystuje szeroki zakres technik do identyfikacji i neutralizacji zagro?eń phishingowych. Oto kilka kluczowych cech i funkcji pakietów oprogramowania antyphishingowego:

1. Filtrowanie wiadomo?ci e-mail: Rozwi?zania antyphishingowe cz?sto obejmuj? funkcje filtrowania wiadomo?ci e-mail. Skanuj? przychodz?ce wiadomo?ci pod k?tem podejrzanych tre?ci, a tak?e analizuj? adresy nadawców, otrzymywane tre?ci i osadzone w nich linki w celu identyfikacji prób phishingu. Adaptacyjne aplikacje do ochrony e-mail mog? wykrywa? nietypowe zachowania i automatycznie ogranicza? dost?p pracownika do wra?liwych danych i systemów.
2. Analizy linków: Narz?dzia te sprawdzaj? adresy URL w wiadomo?ciach tekstowych i e-mail, aby zweryfikowa? ich wiarygodno??. Porównuj? linki ze znanymi czarnymi listami z?o?liwych domen i sprawdzaj? ich reputacj?.
3. Analizy tre?ci: Ten rodzaj oprogramowania anti-phishing analizuje tre?? wiadomo?ci e-mail i szuka wskazówek phishingu, takich jak b??dy ortograficzne, podejrzane za??czniki lub pro?by o poufne informacje.
4. Analiza zagro?eń w czasie rzeczywistym: Wiele us?ug antyphishingowych opiera si? na wirtualnych uk?adach odporno?ciowych z kana?ami analizy zagro?eń w czasie rzeczywistym. Dzi?ki temu pozostaj? na bie??co z pojawiaj?cymi si? zagro?eniami i taktykami phishingowymi. Pomaga to w szybkiej identyfikacji i blokowaniu nowych rodzajów kampanii phishingowych.
5. Uczenie maszynowe i AI: Zaawansowany program anti phishing wykorzystuje algorytmy ML i AI, aby dostosowa? i poprawi? swoje mo?liwo?ci wykrywania zagro?eń. Mo?e rozpoznawa? wzorce wskazuj?ce na ataki phishingowe nawet w przypadku wcze?niej niewidocznych zagro?eń

Podczas gdy oprogramowanie antyphishingowe i us?ugi antyphishingowe w chmurze zapewniaj? pot??n? broń przeciwko cyberprzest?pcom, nale?y pami?ta?, ?e ludzka ostro?no?? wci?? pozostaje kluczowym elementem skutecznego cyberbezpieczeństwa. ?adne oprogramowanie nie zast?pi ostro?no?ci, sceptycyzmu i ?wiadomo?ci zagro?eń.

Szkolenie w zakresie cyberbezpieczeństwa powinno i?? w parze z rozwi?zaniami antyphishingowymi, aby stworzy? solidn? ochron? przed zagro?eniami.