Dowiedz się, co to jest phishing i jakie są cechy charakterystyczne tego rodzaju oszustwa internetowego wykorzystywanego do kradzieży danych użytkowników, w tym loginów do kont i numerów kart kredytowych.
Co to jest phishing (atak phishingowy)?
Phishing to rodzaj ataku socjotechnicznego, który jest często wykorzystywany do kradzieży danych użytkowników, w tym loginów do kont i numerów kart kredytowych.
Występuje, gdy atakujący, podszywając się pod zaufaną osobę, nakłania ofiarę do samodzielnego otwarcia wiadomości e-mail lub SMS. Odbiorca jest następnie nakłaniany do kliknięcia w link, co może prowadzić do instalacji złośliwego oprogramowania, zamrożenia systemu lub ujawnienia poufnych informacji.
Atak może mieć katastrofalne skutki. W przypadku osób fizycznych obejmują one nieautoryzowane zakupy, kradzież środków lub kradzież tożsamości.
Jak sprawdzić czy twój telefon jest na podsłuchu?
Ponadto phishing jest często wykorzystywany do uzyskania dostępu do sieci korporacyjnych lub rządowych oraz jako część większego ataku w celu ominięcia barier bezpieczeństwa, rozprzestrzeniania złośliwego oprogramowania w zamkniętym środowisku lub uzyskania uprzywilejowanego dostępu do chronionych danych.
Organizacja poddana takiemu atakowi zazwyczaj ponosi poważne straty finansowe, a także traci udział w rynku, reputację i zaufanie konsumentów. W zależności od skali, próba phishingu może przerodzić się w incydent bezpieczeństwa, z którego firmie może być trudno wyjść.
Przykłady ataków phishingowych
Poniżej znajduje się typowy przykład tego, czym jest phishing i oszustwo phishingowe.
Fałszywa wiadomość e-mail rzekomo pochodząca z myuniversity.edu jest masowo rozsyłana do jak największej liczby nauczycieli.
E-mail twierdzi, że hasło użytkownika wkrótce wygaśnie. Gdy odbiorca kliknie link, może wydarzyć się kilka rzeczy.
Na przykład:
Użytkownik zostaje przekierowany na fikcyjną stronę, która wygląda jak prawdziwa strona uniwersytetu, gdzie jest proszony o wprowadzenie hasła.
Atakujący kontrolujący tę stronę kradnie oryginalne hasło, uzyskując w ten sposób dostęp do bezpiecznych obszarów sieci uniwersyteckiej.
Strony darknetu, które są warte uwagi
Techniki phishingu
Oszustwa typu phishing e-mail
Co to jest phishing e-mailowy? To bardziej gra liczbowa. Atakujący, który wysyła tysiące fałszywych wiadomości, może uzyskać znaczące informacje i kwoty pieniędzy, nawet jeśli tylko niewielki procent odbiorców nabierze się na oszustwo. Atakujący używają pewnych technik, aby zwiększyć prawdopodobieństwo sukcesu.
Po pierwsze, tworzą wiadomości phishingowe imitujące e-maile od prawdziwych organizacji. Użycie tych samych zwrotów, czcionek, logo i podpisów sprawia, że wiadomości te wyglądają, jakby pochodziły od prawdziwych organizacji.
Ponadto atakujący zwykle próbują zmusić użytkowników do działania, tworząc poczucie pilności. Na przykład, jak pokazano wcześniej, wiadomość e-mail może grozić wygaśnięciem konta i ustawić odbiorcę na licznik czasu.
Stosowanie tego rodzaju presji sprawia, że użytkownik staje się mniej czujny i bardziej podatny na popełnianie błędów.
Wreszcie, linki w wiadomościach przypominają ich legalne odpowiedniki, ale zazwyczaj mają nieprawidłową nazwę domeny lub dodatkowe subdomeny. W powyższym przykładzie adres URL myuniversity.edu/renewal został zmieniony na myuniversity.edurenewal.com. Podobieństwo między tymi dwoma adresami stwarza wrażenie bezpiecznego łącza, dzięki czemu odbiorca jest mniej wyczulony na fakt, że ma miejsce atak.
Spear phishing
Celem phishingu szpiegowskiego jest konkretna osoba lub firma, a nie przypadkowi użytkownicy. Jest to bardziej zaawansowana wersja phishingu, która wymaga specjalistycznej wiedzy na temat organizacji, w tym jej struktury.
Atak może przebiegać w następujący sposób:
- Atakujący bada nazwy działu marketingu organizacji i uzyskuje dostęp do najnowszych faktur za projekty.
- Podszywając się pod dyrektora marketingu, atakujący wysyła wiadomość e-mail do kierownika projektu (PM) działu, używając tematu: Zaktualizowana faktura za kampanię Q3. Tekst, styl i logo powielają standardowy szablon wiadomości e-mail organizacji.
- Link w wiadomości e-mail przekierowuje do chronionego hasłem dokumentu wewnętrznego, który w rzeczywistości jest fałszywą wersją skradzionej faktury.
- Kierownik projektu jest proszony o zalogowanie się, aby wyświetlić dokument. Atakujący kradnie jego dane uwierzytelniające, uzyskując pełny dostęp do wrażliwych obszarów w sieci organizacji.
Zapewniając atakującemu prawidłowe dane logowania, phishing jest skuteczną metodą przeprowadzenia pierwszego etapu ataku.
Jak zapobiegać phishingowi
Dowiedzieliśmy się już, czym jest phishing, ale jak możemy się przed nim chronić? Ochrona przed atakami phishingowymi wymaga działań zarówno ze strony użytkowników, jak i firm.
W przypadku użytkowników ważna jest czujność. Fałszywa wiadomość często zawiera drobne błędy, które ujawniają jej prawdziwą tożsamość. Mogą one obejmować błędy ortograficzne lub zmiany nazwy domeny, jak pokazano w poprzednim przykładzie adresu URL.
Użytkownicy powinni również zatrzymać się i zastanowić, dlaczego w ogóle otrzymują taką wiadomość e-mail.
W przypadku firm istnieje szereg kroków, które można podjąć, aby uniknąć zagrożenia:
Uwierzytelnianie dwuskładnikowe (2FA) jest najskuteczniejszą metodą przeciwdziałania atakom phishingowym, ponieważ dodaje dodatkową warstwę weryfikacji podczas logowania się do wrażliwych aplikacji. 2FA polega na tym, że użytkownicy używają dwóch rzeczy: czegoś, co znają, na przykład hasła i nazwy użytkownika, oraz czegoś, co mają, na przykład smartfona.
Nawet jeśli atakujący zna już dane osobowe pracownika, 2FA uniemożliwia ich wykorzystanie, ponieważ nie są one wystarczające do uzyskania dostępu.
Oprócz korzystania z 2FA, organizacje powinny przestrzegać ścisłej polityki zarządzania hasłami. Na przykład pracownicy powinni często zmieniać swoje hasła i nie zezwalać na używanie tego samego hasła do wielu aplikacji.
Kampanie edukacyjne mogą również pomóc zmniejszyć zagrożenie atakami phishingowymi. Powinny one koncentrować się na przestrzeganiu bezpiecznych zachowań, takich jak nie klikanie zewnętrznych linków e-mail.
Źródło: www.imperva.com