21/10/2014

Dlaczego phishing działa i jak go uniknąć

Porady

W XXI wieku ataki phishingowe są zdecydowanie najbardziej popularną formą cyberprzestępczości. Media regularnie ogłaszają listę organizacji, których klienci padli ofiarami ataków phishingowych. Oszustw phishingowych jest coraz więcej i są one coraz lepsze jakościowo. O ile spam jest zaledwie denerwującym przerywnikiem, phishing często prowadzi do prawdziwych strat finansowych. Jeśli zagrożenie jest tak realne, dlaczego ludzie nie uczą się, jak go uniknąć? Why-phishing-works-and-ho-to-avoid-it

Dlaczego phishing działa

Zaufanie użytkowników można zdobyć na wiele sposobów 

Jest wiele powodów, dlaczego phishing działa tak dobrze. Na przykład oszuści mogą wykorzystywać różne złudzenia, aby ściągnąć kłopoty na swoje ofiary. Aby zwabić użytkowników, phisherzy mogą używać też kuszących ofert, np. obiecywać bezpłatne prezenty. Jest to bardzo skuteczna metoda, ponieważ wielu ludzi zapewne będzie chciało skorzystać z darmowej oferty.

Bezpłatna oferta to najlepszy sposób na zwabienie ofiary do oszustwa phishingowego.

Phisher może także wykorzystać zamieszanie wokół jakiegoś tematu lub wydarzenia – weźmy na przykład oszustwo na wielką skalę, które pojawiło się po mistrzostwach świata FIFA. Latem 2014 strona phishingowa imitująca oficjalną stronę FIFA nakłaniała użytkowników do podpisania petycji w obronie Luisa Alberta Suareza, gwiazdy urugwajskiej drużyny narodowej. Aby podpisać petycję, użytkownik musiał wypełnić formularz internetowy zawierający takie dane jak imię, kraj, numer telefonu i adres e-mail.

Inna oszukańcza strona oferowała odwiedzającym możliwość pobrania biletu na mistrzostwa. Po kliknięciu odnośnika pobierany był trojan, który mógł przechwytywać krytyczne dane osobiste i finansowe.

smsAby trafić do tych użytkowników, którzy są bardziej świadomi oszustw phisherów, cyberprzestępcy używają jeszcze innego skutecznego narzędzia, posiadającego ogromny zasięg dzięki kontom przyjaciół ofiar – jak to na przykład się dzieje w przypadku sieci społecznościowych.

Według firmy Kaspersky Lab w 2013 roku ponad 35% powiadomień modułu antyphishingowego to reakcja na strony phishingowe podszywające się pod serwisy społecznościowe. Z ponad 600 milionów wykrytych prób dostępu do stron phishingowych 22% przypadków stanowiły fałszywe strony do Facebooka.

Inną owocną metodą, w wyniku której ofiary klikają odnośniki phishingowe, jest tworzenie poczucia powagi sytuacji i paniki. Zdarza się to wtedy, gdy oszust grozi swojej ofierze zablokowaniem jej profilu lub nawet konta bankowego. Aby zwiększyć skuteczność takiego podejścia, przestępcy także korzystają z tzw. „vishingu” (lub phishingu głosowego, wykonywanego przez telefon). Nie każdy jest na tyle uważny w takich „krytycznych” sytuacjach, aby przyszło mu do głowy, że może się nie zgodzić na żądania osoby proszącej o dane karty kredytowej, która rzekomo jest odpowiedzialna za blokadę konta.

Phishing nieustannie ewoluuje

Jednym z głównych powodów, dlaczego phishing jest taki skuteczny, jest nieustanna  ewolucja techniki instrumentów phishingowych, które są coraz bardziej wyszukane.

Jeśli chodzi o kwestię wizualną, fałszywe strony są trudne do odróżnienia od oryginalnych; co więcej, wiele z nich ma całkiem sensowne nazwy domen i, w niektórych przypadkach, nawet posiadają bezpieczne połączenie HTTPS z oryginalnymi certyfikatami.

Phishing mobilny także stał się zajęciem dochodowym. Z powodu różnic technicznych smartfonów i tabletów (np. mniejszy rozmiar ekranu) trudniejsze może być odróżnienie takiej oszukańczej strony od oryginalnej.

Należy zawsze pamiętać, że podczas przeprowadzania ataku phishingowego cyberprzestępca niekoniecznie musi włamać się do Twojego systemu. Właśnie z tego powodu żadna istniejąca platforma nie jest w pełni odporna na phishing, a sam phishing jest atakiem uniwersalnym.

Jest to bardzo dochodowe zajęcie dla cyberprzestępców

Popularność phishingu nie spadnie, ponieważ jest to bardzo dochodowa forma cyberprzestępstwa. Narzędzia phishingowe łatwo zdobyć, a ich zasięg jest ogromny dzięki dużej popularności sieci społecznościowych (600 milionów użytkowników). Ponadto zorganizowanie ataku phishingowego wymaga mało wysiłku od przestępcy, ponieważ większość działań wykonywanych przez phisherów jest zautomatyzowana.

BustedDobruna

Wiedząc o tym, cyberprzestępca może uzyskać bardzo przyzwoitą sumę. W większości przypadków phisherzy polują na dane finansowe. Nie trzeba wyszukanych schematów, aby spieniężyć żniwa.

Co więcej, phishing jest zazwyczaj używany obok innych metod przestępczych, dzięki czemu złoczyńcy otrzymują skuteczną synergię. Powiedzmy, otrzymujesz phishing za pośrednictwem spamu. Gdy przestępcy uzyskają Twoje kontakty, przesyłają wiadomość phishingową dalej. W ten sposób tworzą obszerną bazę danych kontaktów, więc mogą rozsyłać szkodliwe oprogramowanie hurtowo i używać otrzymanego botnetu tak, jak uznają za stosowne.

Phishing jest zazwyczaj używany obok innych metod przestępczych, dzięki czemu złoczyńcy otrzymują skuteczną synergię.

Ostatecznie nie wolno zakładać, że jedyną rzeczą, którą są zainteresowani oszuści, to Twoja karta kredytowa czy dane finansowe. Wielu phisherów będzie szczęśliwych, gdy uzyska dostęp do Twoich danych logowania do poczty e-mail czy sieci społecznościowej.

Jak uniknąć phishingu?

A zatem: w co może uzbroić się użytkownik?

Po pierwsze, w zdrowy rozsądek.

Keep-Calm-And-Check-Twice

Zachowaj spokój i nie daj się sprowokować w internecie ani przez telefon (ang. vishing). Zwiększ swoją czujność co do odnośników i stron, do których kierują. Jeśli czekasz na jakiś odsyłacz od przyjaciela lub kolegi, sprawdź, czy to dokładnie ten, zanim go klikniesz. Natomiast aby nie paść  ofiarą vishingu, pamiętaj, że żaden pracownik banku nie może wymagać danych karty kredytowej, choćby nie wiem, jak pilna była sprawa.

Idealnie by było, abyś nie wchodził na stronę za pośrednictwem odnośników, ale wprowadzał adres ręcznie. Jest rzeczą oczywistą, że dostęp do wszystkich stron powinien być chroniony. Nie zapominaj o regularnej aktualizacji swojego oprogramowania antywirusowego, zwłaszcza jeśli oferuje ono funkcje antyphishingowe. Na przykład moduł antyphishingowy wbudowany w Kaspersky Internet Security może porównywać żądane strony z listą znanych stron zawierających oszustwa, jak również wykrywać potencjalnie niebezpieczne strony, określając je na podstawie listy ponad 200 kryteriów.