
Bezpieczni w sieci z OSE: spear phishing
W dobie rozwoju sztucznej inteligencji phishing może być bardziej skuteczny niż zwykle. Przestępcy wykorzystują bowiem zdobycze technologii, by zebrać w sieci jak najwięcej informacji o potencjalnej ofierze i wymierzyć bardzo precyzyjny atak. Jak poznać, że ktoś próbuje wyłudzić od nas dane czy pieniądze?
Phishing – co to?
Zacznijmy od przypomnienia, czym jest phishing. To typ ataku, podczas którego oszuści w specjalnie przygotowanych wiadomościach – najczęściej SMS, ale i przesyłanych w e-mailach lub komunikatorach – podszywają się pod znaną firmę lub instytucję i próbują nakłonić nas do określonego działania: otwarcia zainfekowanego załącznika, instalacji niebezpiecznego oprogramowania, kliknięcia w złośliwy link czy zalogowania się w oknie fałszywej strony, np. bramki do płatności elektronicznych.
Oszuści stosują specjalne sztuczki socjotechniczne, żebyśmy zrobili dokładnie to, na czym im zależy. Najczęściej grają na silnych emocjach: straszą koniecznością dokonania pilnej płatności, proszą o pomoc, grożą zablokowaniem konta czy kuszą atrakcyjnymi ofertami. Jeśli damy się nabrać, narazimy się na stratę pieniędzy lub poufnych informacji. Niestety, phishing to wciąż jedna z najbardziej popularnych form ataku. Według danych z raportu CERT Polska w 2023 r. zarejestrowano 41 423 przypadki phishingu, co stanowiło blisko 52% wszystkich incydentów (CERT Polska, 2024).
Otrzymaliście dziwną wiadomość? Te sygnały powinny Was zaniepokoić:
- Adresat wiadomości to zazwyczaj odbiorca masowy, o czym świadczą zwroty typu „Szanowny Kliencie”, „Witaj!”.
- Oszust twierdzi, że jest ze znanej organizacji, ale jego e-mail zawiera błędy językowe lub jest wysłany z ogólnodostępnych adresów, np.: @gmail.com, @wp.pl lub @hotmail.com.
- Wiadomość wywołuje w Was potrzebę natychmiastowego działania, w przeciwnym razie ominie Was prawdziwa okazja lub wydarzy się coś złego, np. stracicie pieniądze, nie dotrze do Was paczka, zostaniecie bez prądu.
- Atakujący próbuje Was nakłonić do zignorowania wszelkich zasad bezpieczeństwa w sieci, np. wymaga od Was podania danych uwierzytelniających (loginów i haseł), kodów autoryzacyjnych, numerów kart płatniczych lub żąda instalacji dodatkowego oprogramowania.
- Nadawca wiadomości pyta o informacje, które potencjalnie powinien już znać.
- Wydaje się Wam, że otrzymana wiadomość pochodzi od znajomego, ale ton wypowiedzi i zastosowane zwroty temu przeczą (por. „OUCH”, 2018).
Niebezpieczny spear phishing
O ile phishing, który bazuje na wysyłanych masowo tysiącach wiadomości do przypadkowych osób, jest stosunkowo łatwy do rozpoznania, o tyle spear phishing może już stanowić większe zagrożenie. Wszystko przez to, że oszuści próbują dokładnie poznać swoją ofiarę, zebrać o niej jak najwięcej informacji i przygotować spersonalizowane wiadomości. Oczywiście w poszukiwaniu cennych danych na temat wybranego celu przeczesują internet. Starają się poznać otoczenie ofiary, szukają np. nazwisk i imion rodziny, współpracowników (np. z innych oddziałów firmy), klientów, informacji o zajmowanych stanowiskach, historii zatrudnienia, zainteresowaniach. Dysponując taką wiedzą, łatwiej wzbudzają zaufanie i tworzą bardziej wiarygodne historie.
Popularnym przykładem spear phishingu jest tzw. oszustwo na dyrektora (Business Email Compromise, BEC), podczas którego przestępca podszywa się pod współpracownika lub kontrahenta i wymaga od pracownika udostępnienia poufnych danych firmowych czy wykonania przelewu pieniędzy, które finalnie trafią na konto oszustów.
Ochrona przed cyberatakiem
W dobie rozwoju sztucznej inteligencji OSINT (z ang. open-source intelligence), czyli biały wywiad – wyszukiwanie, gromadzenie i analizowanie informacji z różnych, ogólnodostępnych źródeł na temat firm, organizacji, osób – staje się o wiele mniej kosztowny dla oszustów, przez co bardziej powszechny. Jak zatem chronić się przed spear phishingiem?
Przede wszystkim dbajcie o swoje cyfrowe ślady zostawiane w internecie!
- Z rozwagą dzielcie się w sieci informacjami o sobie. Nie udostępniajcie prywatnych informacji typu numer telefonu, adres zamieszkania, e-mail.
- Kontrolujcie, jakie dane zdradzacie nieświadomie. Zdjęcia, filmy i inne dokumenty mogą zawierać informacje o ich autorze, czasie utworzenia czy lokalizacji.
- W mediach społecznościowych dbajcie o ustawienia prywatności – nie każdy musi mieć dostęp do publikowanych przez Was treści.
- Reagujcie, jeśli ktoś bez Waszej zgody udostępnił w internecie materiał zdradzający szczegóły z Waszego życia. Ustalcie z rodziną i znajomymi zasady zamieszczania online wspólnych zdjęć i filmików.
- Zapoznajcie się z polityką prywatności za każdym razem, gdy zaczynacie korzystać z nowego portalu lub aplikacji. Niektóre z nich zawierają zapisy dotyczące dostępu do zbyt wielu Waszych informacji, np. galerii zdjęć czy listy kontaktów w telefonie.
- Korzystajcie z prawa do bycia zapomnianym. Zawsze możecie prosić o usunięcie z internetu materiałów, które Was dotyczą. Takie prawo wynika z rozporządzenia unijnego RODO.
Przed phishingiem i spear phishingiem na pewno uchroni Was zdroworozsądkowe myślenie. Nigdy nie działajcie pod wpływem emocji, nie ulegajcie presji czasu i autorytetu. Co jeszcze możecie zrobić?
- Jeśli dostaniecie podejrzaną wiadomość od znajomego, kogoś z rodziny lub współpracownika, skontaktujcie się z nim inną drogą, np. telefonicznie, i ustalcie, czy rzeczywiście jest jej nadawcą.
- Nie klikajcie w linki i nie otwierajcie załączników z nieznanych źródeł.
- Nikomu nie podawajcie numerów kart płatniczych, wrażliwych danych, haseł logowania i innych kodów autoryzacyjnych.
- Zabezpieczcie swoje urządzenia: dbajcie o regularne aktualizacje, stosujcie silne hasła, wszędzie, gdzie to możliwe, włączcie uwierzytelnianie dwu- lub wieloskładnikowe.
- Regularnie sprawdzajcie, czy Wasze hasła nie wyciekły, np. na stronie bezpiecznedane.gov.pl. Jeśli tak się stało, użyjcie programu antywirusowego, żeby sprawdzić bezpieczeństwo swoich urządzeń , a następnie bezzwłocznie zmieńcie dotychczasowe hasła do logowania, w tym również hasła pokrewne, które łatwo zgadnąć.
- Aktywujcie w smartfonie funkcję blokady spamu, czyli podejrzanych SMS-ów bądź połączeń.
- Śledźcie ostrzeżenia o aktualnych zagrożeniach publikowane przez CERT Polska, np. w zakładce „Aktualności”.
- Jeśli natkniecie się na fałszywą stronę, za pomocą której przestępcy będą próbowali wyłudzić dane logowania lub pieniądze, zgłoście ją do CERT Polska, wypełniając formularz dostępny na stronie CERT Polska – zgłoś incydent.
- Do CERT Polska wysyłajcie też wiadomości SMS zawierające potencjalnie groźne linki. Skorzystajcie z bezpłatnego numeru 8080i funkcji „przekaż” albo „udostępnij” lub skontaktujcie się przez WhatsApp: 780 907 000.
Źródła:
„Ataki spear phishing na pracowników polskich firm i instytucji publicznych”, (2023), artykuł na portalu cert.pl [online, dostęp dn. 2.01.2025].
„Bezpieczni w sieci z OSE na wakacje: letni phishing”, (2024), artykuł na portalu ose.gov.pl [online, dostęp dn. 2.01.2025].
CERT, (2024), „Krajobraz bezpieczeństwa polskiego internetu. Raport roczny z działalności CERT Polska 2023”, Warszawa: Państwowy Instytut Badawczy NASK [online, dostęp dn. 2.01.2025].
Dudley T., (2018), „Powstrzymać phishing”, „OUCH! Biuletyn Bezpieczeństwa Komputerowego”, nr 4 [online, dostęp dn. 2.01.2025].

