Europejski Miesiąc Cyberbezpieczeństwa z OSE: whaling i inne rodzaje phishingu

Wiecie już, że cyberprzestępcy za sprawą ataków phishingowych łowią swoje ofiary jak wędkarze. Czy w ich sidła wpadają też… wieloryby? Poznajcie różne typy oszustw wykorzystujących socjotechnikę!

Europejskie Miesiąc Cyberbezpieczeństwa (ECSM) powoli dobiega końca. Jego tematem przewodnim były w tym roku ataki wykorzystujące inżynierię społeczną (socjotechnikę), czyli różne techniki manipulacji (np. groźby, szantaż). Przez cały październik w naszych aktualnościach publikowaliśmy dla Was artykuły przybliżające takie oszustwa – pisaliśmy o phishingu, smishingu i vishingu. Na zakończenie przygotowaliśmy pigułki wiedzy dotyczące innych ataków, których celem jest zdobycie naszych danych osobowych, danych logowania i innych cennych informacji.

Pamiętajcie – o swoje bezpieczeństwo w internecie musicie dbać przez cały rok, nie tylko w październiku!

Co trzeba wiedzieć o phishingu?

Ataki z wykorzystaniem socjotechniki mają wspólną cechę – oszust stara się wprowadzić nas w błąd i przekonać do wykonania określonej czynności: otwarcia zainfekowanego załącznika, kliknięcia w złośliwy link lub zalogowania się w oknie fałszywej strony (np. bramki do płatności elektronicznych). Różnią się jedynie sposoby, jakie wykorzystuje. Przyjrzyjmy się temu bliżej!

  • Przestępca posługuje się tutaj sfabrykowanymi wiadomościami e-mail, które kierowane są do jak największej liczby odbiorców. Wiadomość phishingowa będzie zawierać groźby, że wydarzy się coś złego, gdy niezwłocznie nie spełnimy opisanego w niej żądania, np. nie uregulujemy jakiejś zaległej płatności. W e-mailu znajdziemy najczęściej link, który przekieruje nas np. do formularza lub fałszywej strony logowania. Jeśli podamy tam jakiekolwiek informacje, niestety trafią one w ręce oszustów.
  • To kolejna forma ataku, którego celem jest wyłudzenie naszych danych. Złodzieje tym razem używają jednak SMS-ów z pogróżkami. Konieczność dopłaty do paczki czy zainstalowania aplikacji do potwierdzenia tożsamości? Wiadomość o wygranej w konkursie, w którym nie braliście udziału? Najprawdopodobniej macie do czynienia z oszustwem.
  • Przestępcy nie śpią i stale wymyślają nowe metody dotarcia do swoich ofiar. Nie tylko korzystają z e-maili i SMS-ów, ale też próbują złapać nas w pułapkę podczas rozmów telefonicznych. Musimy uważać na wszystkie podejrzane próby kontaktu i podchodzić na chłodno do rozmów z „przedstawicielami banku”, którzy proszą o podanie danych do logowania do bankowości internetowej, czy z „wnuczkiem”, który znalazł się w trudnej sytuacji i natychmiast potrzebuje pomocy.

Szczegółowe informacje znajdziecie w tekstach z naszej październikowej serii:

Whaling i inne typy phishingu

Warto wiedzieć, że na oszukańczych wiadomościach i podejrzanych rozmowach telefonicznych nie kończy się arsenał środków, jakimi posługują się przestępcy. Z jakimi jeszcze typami phishingu możecie się spotkać?

  1. Whaling. Nazwa „phishing” kojarzy się z fishingiem, czyli łowieniem ryb. Przestępca, tak jak wędkarz, zarzuca tutaj sieć, w którą łowi swoje ofiary. W whalingu również mamy do czynienia z połowem, jednak tutaj przynęta wabi… wieloryby. Ten typ oszustwa również bazuje na wiadomościach e-mail, jednak są one wysyłane nie do dużego, przypadkowego grona odbiorców, ale do określonych osób. Są to np. pracownicy działów finansowych w dużych firmach czy urzędnicy wysokiego szczebla (stąd nazwa oszustwa – whale to po angielsku wieloryb). To wyrafinowany, dobrze przygotowany atak, który może wywołać poważne skutki: zagrozić reputacji i bezpieczeństwu organizacji oraz narazić firmę na znaczne straty finansowe.
  2. Spear phishing. Kolejny typ ataku phishingowego także jest ukierunkowany na konkretne osoby. Rozsyłane wiadomości (e-maile, SMS-y) mają wywoływać w ofierze wrażenie, że zna nadawcę – odwołują się np. do jakichś prywatnych informacji lub „wspólnego” znajomego. Jak to możliwe? Przestępcy, zanim wyślą e-mail, najpierw starają się dowiedzieć jak najwięcej o osobie lub grupie osób będących ich celem. Podszywają się też pod osoby i instytucje, które ofiara zna i lubi, co zwiększa ich wiarygodność i wzbudza zaufanie. To większe zaangażowanie oszusta najczęściej procentuje – spersonalizowany spear phishing jest o wiele skuteczniejszy od phishingu skierowanego do anonimowej grupy odbiorców.
  3. Clone phishing. Na to oszustwo wyjątkowo łatwo się nabrać. Dlaczego? Przestępcy wykorzystują tu prawdziwe komunikaty rozsyłane w przez znane firmy w formie mailingów do klientów lub informacji np. o udzielonych rabatach czy zdobytych nagrodach. Pojawiające się w nich w oryginale linki oszuści zastępują jednak odnośnikami do złośliwego oprogramowania lub fałszywych domen służących do kradzieży danych dostępowych do różnych kont. Takie e-maile pochodzą niestety z pozornie zaufanego źródła, dlatego na pierwszy rzut oka nie budzą żadnych podejrzeń.
  4. Pharming. Na koniec jedna z groźniejszych odmian phishingu. Tutaj nie musimy już klikać w linki przesyłane w podejrzanych wiadomościach – nasze poufne dane możemy stracić podczas próby logowania się do banku. Na czym dokładnie polega pharming? Osoby korzystające ze stron bankowości elektronicznej, mimo że wpisały prawidłowy adres strony lub użyły prawdziwego linku, trafiają na stronę phishingową, służącą do przejmowania podawanych danych dostępowych i innych poufnych informacji. Dzieje się to za sprawą złośliwego oprogramowania: złośliwej wtyczki do przeglądarki lub trojana bankowego. Bywa też, że cyberoszuści infekują od razu cały serwer DNS, a więc wszyscy, którzy chcą zalogować się do banku, trafiają na podrobioną wersję strony.

Jak się bronić przed atakami z użyciem  socjotechniki? Najważniejszy jest zdrowy rozsądek i zasada ograniczonego zaufania. Nie podawajcie nikomu swoich wrażliwych danych, w tym haseł i danych logowania czy numeru karty płatniczej wraz z numerem CVV/CVC. Weryfikujcie czy osoba, która do Was dzwoni, na pewno jest tą, za którą się podaje. Nie pozwalajcie się zastraszyć i nie spełniajcie bez zastanowienia gróźb z podejrzanych e-maili i SMS-ów. Zawsze sprawdzajcie adres strony internetowej na której się znajdujecie. Jeśli w jakikolwiek sposób różni się od tego, z którego korzystacie zazwyczaj, lub coś budzi Wasze wątpliwości, wyłączcie się.  A przede wszystkim: bądźcie czujni!

Europejski Miesiąc Cyberbezpieczeństwa – już po raz jedenasty

Październik jak co roku jest wspaniałą okazją, by dowiedzieć się czegoś więcej na temat cyberbezpieczeństwa. Wciąż jeszcze możecie wziąć udział w bezpłatnych wydarzeniach (webinarach, szkoleniach, kursach itd.) organizowanych w ramach ECSM. Wykaz działań jest dostępny na stronie internetowej Europejskiego Miesiąca Cyberbezpieczeństwa.

Na tym nie koniec! Możecie też zgłaszać swoje inicjatywy, które pomogą szerzyć wiedzę na temat zagrożeń w sieci w Waszych lokalnych środowiskach. Swoje wydarzenia zgłaszajcie za pośrednictwem formularza na stronie bezpiecznymiesiac.pl.

Europejski Miesiąc Cyberbezpieczeństwa organizowany jest przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską. W Polsce koordynatorem kampanii jest Państwowy Instytut Badawczy NASK (NASK-PIB).

26.10.2023

Najnowsze artykuły

Europejski Miesiąc Cyberbezpieczeństwa z OSE: whaling i inne rodzaje phishingu - Ogólnopolska Sieć Edukacyjna