I. PHISHING – DEFINICJA ZJAWISKA
Phishing to jedna z technik socjotechnicznych wykorzystująca psychologiczne metody manipulacji w celu oszustwa. Termin pochodzi od słów "password" (hasło) i "fishing" (wędkowanie), sugerując działanie polegające na "wędkowaniu" za danymi użytkowników.
Technika ma na celu uzyskanie poufnych informacji, takich jak nazwy użytkowników, haseł, numerów kart kredytowych lub innych danych, które mogą być następnie wykorzystane do przestępnych celów, takich jak kradzież tożsamości, nieautoryzowany dostęp do systemu informatycznego ofiary socjotechnika, wyłudzenia środków finansowych lub innej formy oszustwa.
Mechanizm działania phishing’u polega na stworzeniu wiadomości e-mail lub innej formy komunikacji (np. SMS, wiadomości na platformie społecznościowej lub komunikatorze), która wygląda, jakby pochodziła od zaufanej strony, np. banku, platformy handlowej, instytucji rządowej, czy serwisu społecznościowego. Jej treść zwykle zawiera przekonujące przesłanie zachęcające do podjęcia jakiegoś działania (może to być ostrzeżenie o naruszeniu bezpieczeństwa, prośba o potwierdzenie danych, informacja o wygranej w loterii, itp.)
Nieodzownym elementem wiadomości jest link przekierowujący nas do strony internetowej, która jest fałszywą repliką wiarygodnej organizacji (np. serwisu transakcyjnego). Najczęściej zaprojektowana jest tak, aby wyłudzić od użytkownika wprowadzenie swoich poufnych danych. W momencie ich wprowadzenia są one przechwytywane przez oszusta.
II. FORMY ZASTOSOWANIA
Phishing jest powszechną techniką, która może przyjąć różne formy, w zależności od celu ataku i grupy docelowej. Oto kilka przykładów:
1. Email Phishing- jest to najczęściej spotykana forma omawianej techniki. Atakujący wysyłają fałszywe e-maile, które wyglądają jak autentyczne wiadomości od zaufanych organizacji. Wiadomości zwykle zawierają linki do fałszywych stron internetowych, które są zaprojektowane tak, aby wykraść od użytkowników dane logowania lub inne cenne informacje.
2.
Spear Phishing - jest to bardziej wyspecjalizowana forma phishingu, która ukierunkowana jest na konkretną osobę lub organizację. Atakujący zbiera informacje
o swojej ofierze,
celem stworzenia spersonalizowanej, bardziej przekonującej wiadomości (np. e-mail może wyglądać jak wiadomość od kolegi z pracy lub od zaufanego dostawcy usług).
3.
Whaling – jest to forma spear phishing’u, która skierowana jest na wysokiej rangi pracowników, takich jak CEO, czy CFO. Ataki te są często bardzo spersonalizowane
i mogą zawierać informacje, które wydają się być bardzo prywatne lub poufne.
4. Smishing - jest to forma phishingu, która wykorzystuje SMS-y, zamiast e-maili. Atakujący wysyłają fałszywe wiadomości tekstowe, które wyglądają jak wiadomości od banków, instytucji publicznych lub innego zaufanego dostawcy usług.
5. Vishing - Jest to forma phishingu, która wykorzystuje połączenia telefoniczne. Atakujący może na przykład udawać pracownika banku i prosić o podanie poufnych informacji.
6. Pharming: - w tym przypadku, atakujący manipuluje systemem DNS (Domain Name System), przekierowując użytkowników z prawdziwej strony internetowej na fałszywą, choćby jeżeli wpisali poprawny adres URL.
Należy pamiętać, iż niezależnie od formy omawianej techniki, jej podstawowym celem jest wyłudzenie poufnych informacji poprzez manipulację i oszustwo.
III. ASPEKT PSYCHOLOGICZNY ZJAWISKA
Aspekt psychologiczny phishingu jest kluczowym elementem tej techniki, ponieważ polega na manipulowaniu zachowaniami i emocjami ludzi, aby osiągnąć cel wyłudzenia poufnych informacji. Oto kilka psychologicznych mechanizmów wykorzystywanych w phishingu:
1.
Autorytet - ludzie mają skłonność do ulegania autorytetowi. Socjotechnicy wykorzystują ten mechanizm, podszywając się po zaufane organizacje, takie jak banki, instytucje rządowe, czy firmy technologiczne. W sytuacji, kiedy wiadomość wydaje się pochodzić od wiarygodnej instytucji ofiara jest bardziej skłonna uwierzyć w jej treść
i podjąć wymagane działania.
2.
Poczucie pilności - fałszywe scenariusze, które wymagają natychmiastowego działania, takie jak zagrożenie bezpieczeństwa konta, niezapłacony rachunek czy wygrana
w loterii są częstym elementem przekazywanych wiadomości. Wywołując stres
i naciskając na ofiarę, mogą powodować podjęcie szybkich, nieprzemyślanych decyzji.
3. Zachłanność lub ciekawość: Niektóre ataki phishingowe kuszą ofiary obietnicą nagród finansowych lub innych korzyści, co wywołuje zachłanność. Inne mogą wykorzystać ciekawość ofiary, sugerując na przykład, iż otrzymała tajemniczą paczkę lub wiadomość.
4. PRZYKŁADY ZASTOSOWANIA
Phishing jest szeroko stosowaną techniką i istnieje wiele znanych przypadków jej zastosowania. Oto kilka przykładów:
1. Atak na użytkowników Google – w maju 2017 roku przeprowadzono skomplikowany atak phishingowy na użytkowników Google Docs. Ofiary otrzymały e-maila, który wyglądał jak zaproszenie do edycji dokumentu tekstowego w Google Docs od kogoś kogo znały. Kliknięcie w plik przekierowywało ofiary do prawdziwej strony logowania Google z prośbą o zgodę na dostęp do maila i książki adresowej. (1)
2. Atak na użytkowników Facebooka - w marcu 2018 roku dane około 50 milionów (liczba ta może sięgać choćby 87 mln) kont użytkowników Facebooka zostały przejęte przez socjotechników wykorzystujących do tego atak phishingowy. Atakujący stworzyli fałszywą stronę logowania Facebooka i wysłali linki do niej użytkownikom poprzez wiadomości e-mail i SMS. Ofiary, które wpisały swoje dane logowania na fałszywej stronie ujawniły i umożliwiły dostęp do swoich kont oszustom. (2)
3. Atak na klientów Netflixa – w 2021 roku odkryto kampanię phishingową skierowaną do klientów Netflixa. Atakujący przesyłali maile podszywające się pod wymienioną platformę informowali o problemach z płatnością i prosili o zaktualizowanie informacji kart kredytowych/debetowych. Kliknięcie na link przekierowywało następnie ofiary na fałszywą stronę logowania, gdzie ich dane logowania i informacje o karcie kredytowej były kradzione. (3)
4. Atak na mBank - w 2021 roku klienci mBanku byli podmiotem ataku phishing’owego. Klienci otrzymali e-maila wyglądającego na oficjalną wiadomość od banku, informującą o potrzebie aktualizacji systemu. Zawierała ona link, który przekierowywał do fałszywej strony logowania. Użytkownicy, którzy wprowadzili tam swoje dane logowania, stali się ofiarami ataku. (4)
Co istotne, phishing może dotknąć każdego, zarówno indywidualnych użytkowników,
jak i duże organizacje. Dlatego tak ważnym działaniem w kontekście zapewnienia bezpieczeństwa jest sprawdzanie wiadomości e-mail i stron internetowych pod kątem oznak phishingu. Warto tutaj zwrócić uwagę na ewentualne błędy ortograficzne i gramatyczne, dziwne adresy URL lub prośby o podanie poufnych informacji.
5. PODSUMOWANIE
Phishing to niebezpieczna technika socjotechniczna, która wykorzystuje autorytet, poczucie pilności i zaufanie do znanych marek czy usług w celu oszustwa. Przeprowadzany jest najczęściej poprzez fałszywe e-maile lub wiadomości, które wyglądają jakby pochodziły z wiarygodnego i zaufanego źródła. Najczęściej zawierają linki do fałszywych stron internetowych, które imitują prawdziwe (np. strony serwisów transakcyjnych banków, administracji publicznej, mediów społecznościowych, sklepów internetowych, itp.).
Phishing może przybierać wiele form, takich jak spear phishing, whaling, smishing czy vishing. Każda z nich ma na celu wyłudzenie cennych informacji od ofiary, takich jak dane logowania, dane karty kredytowej, dane osobowe czy informacje biznesowe.
Przykłady z Polski i ze świata pokazują, iż jest to powszechne zagrożenie, które może dotknąć każdego, zarówno indywidualnych użytkowników, jak i duże organizacje. Kluczową rolą w ochronie przed phishingiem odgrywa edukacja i świadomość zagrożeń, jakie niesie ze sobą cyberprzestrzeń, dlatego też warto zgłębiać tę wiedzę.
Dziękuję, Michał Szpot
Bibliografia:
1. Adam Bednarek, Atak na konta Google. Zmiana hasła nie pomoże!, 04.05.2017 r., TECH.WP, źródło: https://tech.wp.pl/atak-na-konta-google-zmiana-hasla-nie-pomoze,6118967488296577a
2. (b.d.), Wielka kara dla Facebooka za wyciek danych. Gigant zapłaci 5 mld dol., 13.07.2019 r., DGP, źródło: https://www.rp.pl/media/art1232981-wielka-kara-dla-facebooka-za-wyciek-danych-gigant-zaplaci-5-mld-dol
3. Jowita Wizerkaniuk, Ataki phishingowe na użytkowników Netflixa, 25.06.2021 r., PC World, źródło: https://www.pcworld.pl/news/Ataki-phishingowe-na-uzytkownikow-Netflixa,429120.html
4. Piotr Grabiec, Podrobili stronę mBanku. Nie zauważysz jednej kropki i jesteś bez pieniędzy, 29.11.2021 r., źródło: https://spidersweb.pl/2021/11/mbank-phishing-atak-domena-a-kropka.html
5.
6.
7. Piotr Dziubak, Uważajcie na Locky bo nie będziecie lucky. Ten trojan szyfruje dane komputera, 11.04.2016, Cashless.pl, źródło: https://www.cashless.pl/1175-uwazajcie-na-locky-bo-nie-bedziecie-lucky-ten-trojan-szyfruje-dane-komputera