potrzebujesz pomocy?

  • 500 65 65 75

Godziny: Poniedziałek – Piątek 8:00 – 18:00; Sobota: 10:00 – 13:00

Phishing

Jestem informatykiem, odpowiadam za bezpieczeństwo w kilku firmach, które przetwarzają dane osobowe i niektóre z nich to dane wrażliwe, które są pod szczególną ochroną – tak RODO, ale o tym później. Widzę, jakie strony i jak często są odwiedzane przez użytkowników, muszę o tym wiedzieć i to monitorować w obawie przed wynoszeniem danych.  Znacznym ruchem w sieci jest ruch skierowany na portale aukcyjne. Osobiście nie uważam tego za coś zabronionego, więc nie jest on blokowany, a tym bardziej że część pracowników uważa komputer służbowy za bezpieczniejszy niż ten w domu i czasami przychodzi na przykład po to, by opłacić rachunki. Ale czasami zdarzają się aukcje, których właściciele nie chcą niczego innego jak naciągnąć swoich klientów i nie mam tutaj na myśli kilograma ziemniaków zamiast nowego komputera, lecz próbę przekierowania klienta na fałszywą stronę banku, która jest spreparowana tak by przypominała tę prawdziwą. Wpisując w niej swoje dane w trybie natychmiastowym są one przekazywane do przestępcy, który zyskuje dostęp do naszych środków zgromadzonych na koncie. Tak w praktyce wygląda część phishingu, czyli metody „oszustwa, w której przestępca podszywa się pod inną osobę lub organizację w celu wyłudzenia określonych informacji (np. danych logowania do bankowości internetowej) lub nakłonienia ofiary do realizacji określonych działań[1]”.

Na phishing możemy się natknąć nie tylko w przytoczonej wcześniej sytuacji. Próba uśpienia naszej czujności może spotkać nas wszędzie. Podrobione wiadomości przesyłane drogą elektroniczną, takie jak pokazuję na fotografii 4, czy telefon od przestępcy podszywającego się pod pracownika banku, informującego nas o włamaniu na nasze konto i próba wyłudzenia danych. Scenariuszy jest bardzo dużo.

Zabezpieczenie

O tym czym dokładnie jest phishing pisałem we wcześniejszym rozdziale. Teraz poddajmy rozważaniom jak się przed nim uchronić. Jak już wiemy samo odebranie wiadomości nie czyni nas zainfekowanymi. Zadaniem phishingu jest bowiem wykonanie jakiejś czynności, zaplanowanej przez przestępcę. Na szczęście istnieje kilka przesłanek, które mogą pomóc w wykryciu takiego ataku.

Wiadomości te zazwyczaj wywołują u nas potrzebę czy nakaz natychmiastowej reakcji, gdyż w przeciwnym wypadku wydarzy się coś złego. Jest to bardzo skuteczna sztuczka socjotechniczna stosowana w celu uśpienia czujności i sprowokowania nieprzemyślanych działań. Atakujący zazwyczaj próbuje nakłonić nas do ominięcia lub całkowitego zignorowania procedur, panujących w danej firmie czy instytucji. Czasami też może to być druga strona medalu i wiadomość będzie sprawiała wrażenie czegoś zbyt pięknego, aby było to prawdziwe. Przykładem może być wygrana – w formie darmowych wakacji czy telefonu za złotówkę. Warto również być ostrożnym przy odczytywaniu wiadomości, które są adresowane w sposób bardzo ogólny – „Szanowny Kliencie”, albo „Szanowny Panie Prezesie”. Wiadomości takie mogą zawierać pytania o informacje, które nadawca powinien już znać, bądź o dane wrażliwe (np. numery kart, hasła). Zwracajmy też uwagę na nadawcę twierdzącego, że jest on przedstawicielem dużej korporacji, a korzysta z ogólnodostępnych adresów, takich jak @wp.pl czy @gmail.com, a także na wiadomości zawierające znaczną ilość błędów językowych. Ostatnią rzeczą, która będzie wskazywała nam na próbę ataku, jest wiadomość od znajomego, w której zastosowany ton czy zwroty nie pasują do tej osoby. W takim przypadku warto zadzwonić do nadawcy i zweryfikować czy faktycznie kontaktował się z nami.

Pamiętajmy, by nigdy nie korzystać z linków w wiadomościach do tego, by zalogować się do banków, poczty czy innych serwisów. Może się okazać, że będą to fałszywe strony przypominające te oryginalne. Znakomitym przykładem są zdjęcia umieszczone poniżej, na których widzimy podrobioną stronę znanego banku. Strona ta miała za zadanie kradzież nazwy użytkownika i jego hasła. Bank ten – próbując utrudnić ten proceder – zastosował maskę wprowadzania hasła, jednak przestępcy i na to znaleźli sposób. Strona pierwszego logowania wyglądała tak:

Następnie klient dostawał informację o niepoprawnym haśle i proszony był o ponowną próbę zalogowania się na stronie, która wyglądała tak:

Strona ta wygląda prawie identycznie i na pierwszy rzut oka możemy nie dostrzec w niej bardzo ważnej rzeczy, którą zobaczymy po połączeniu obu fotografii.

Zwróćmy uwagę na pola do wpisania hasła, które są dokładnym przeciwieństwem pomiędzy pierwszą, a drugą próbą logowania. Dzięki takiemu zabiegowi przestępca posiada całe hasło logowania, mimo zabezpieczenia ze strony banku. Świadomość zagrożeń i zdrowy rozsądek to podstawowa linia obrony. Jeśli wiadomość wydaje się być podejrzana – zawiera wspomniane wcześniej cechy – z wielkim prawdopodobieństwem może to być atak phishingowy.


[1] M. Górnisiewicz, R. Obczyński, M. Pstruś, Bezpieczeństwo finansowe w bankowości elektronicznej, Warszawa 2014
Fragment pracy dyplomowej.