Pojęcie phishingu było przedmiotem poprzedniego wpisu, do którego odsyłam, niemniej przypomnienia wymaga, iż jest to działanie polegające na manipulowaniu ofiarą w celu wyłudzenia danych, pieniędzy lub dostępu do systemów informatycznych. Kluczowa dla obrony przed tym zagrożeniem staje się zatem umiejętność jego wczesnego rozpoznania.
Sprawcy w celu wyłudzenia najczęściej podszywają się pod instytucje budzące zaufanie (np. banki lub firmy telekomunikacyjne) czy też organy państwowe (np. Policja), rzadziej natomiast pod osoby medialne (np. aktorzy). Phishing nie ogranicza się jednak tylko do sfery internetowej. Jego odmiany głosowe (vishing) i SMS-owe (smishing) są coraz powszechniejsze.
Coraz częściej mamy do czynienia również z kampaniami phishingowymi, czyli zmasowanym atakiem polegającym na wysłaniu tożsamej wiadomości nakierowanej na wyłudzenie danych do tysięcy osób. Takie kampanie z reguły nie cechują się wysoką jakością czy poziomem językowym, ale liczy się efekt skali, tak aby odsiać te kilka lub kilkadziesiąt osób, które dadzą się zmanipulować.
Po czym rozpoznać, że mamy do czynienia z phishingiem?
1. Podejrzane adresy e-mail i linki
Fałszywe wiadomości e-mail często pochodzą z adresów łudząco podobnych do autentycznych. Taka technika nosi nazwę spoofingu. Praktyczny przykład? Użycie zbitek literowych np. „rn”, które przy odpowiednim foncie łudząco przypomina „m” lub domeny „.com.pl” zamiast „.pl”.
2. Błędy językowe i stylistyczne
Kampanie phishingowe coraz częściej są realizowane na wysokim poziomie, ale nadal wiele z nich zawiera rażące błędy, które powinny wzbudzać podejrzenia. Ich obecność może świadczyć o pochodzeniu wiadomości z automatycznych translatorów lub zagranicznych grup przestępczych.
Szczególnie powinny wzbudzić czujność nieodpowiednie odmiany słów przez przypadki oraz używanie zamiennie form męskich i żeńskich.
3. Presja czasu i groźba konsekwencji
Ataki phishingowe często polegają na wywarciu presji czasu oraz przedstawienia zagrożenia, któremu należy przeciwdziałać. Od kilku lat popularne są ataki telefoniczne, w toku których osoba podająca się za pracownika banku (co ciekawe jako numer dzwoniący może nawet wyświetlać się numer oficjalnej infolinii banku) informuje o tym, że ktoś usiłuje dokonać transakcji naszą kartą gdzieś za granicą lub doszło do włamania na konto i przedstawia plan działania polegający np. na przelaniu pieniędzy na „bezpieczne” konto.
Oczywiście zgodnie z narracją kreowaną przez sprawców działania te należy podjąć natychmiast, bo zwłoka spowoduje nieodwracalne straty, co uniemożliwia potencjalnej ofierze przemyślenie sytuacji w jaką została wmanewrowana.
4. Prośba o dane osobowe lub logowania
Sprawcy wyłudzeń w celach rzekomego potwierdzenia tożsamości usiłują wyłudzić poufne dane. Należy pamiętać, że pracownik banku nigdy nie poprosi nas o podanie loginu i hasła do konta, numeru karty oraz nr CVV czy też podania kodów autoryzacyjnych, a co za tym idzie nie należy podawać tych danych również innym podmiotom.
O jakie dane może zatem prosić prawdziwy pracownik banku? Np. podanie nazwiska panieńskiego matki, daty czy miejsca urodzenia.
5. Nietypowe załączniki lub prośby o instalację oprogramowania
Należy także zwracać uwagę na załączniki w nietypowym formacie.
W oficjalnych kanałach komunikacji załączniki są przesyłane głównie w formacie .pdf, rzadziej, ale również spotykane są również .xlsx czy .jpg. Jeśli natomiast widzimy załączniki w formatach .exe, .scr czy .js to od razu powinna nam się zapalić lampka ostrzegawcza i nie powinniśmy ich otwierać, jeśli nie pochodzą od zaufanego nadawcy.
Podobnie ze wszelkiego rodzaju prośbami o zainstalowanie oprogramowania. Nie zawsze jest tak, że oszust poprosi nas o zainstalowanie szkodliwego oprogramowania pochodzącego z podejrzanego źródła. Do oszust wykorzystywane są również programy pochodzące z oficjalnych sklepów AppStore i Google Play, lecz wykorzystane w celu przejęcia kontroli nad urządzeniem ofiary i uzyskaniem dostępu do jej danych.
Często wykorzystywanym narzędziem jest np. TeamViewer QuickSupport, który stanowi przydatne urządzenie kiedy wiem komu oddajemy kontrolę nad swoim telefonem czy komputerem, ale w niewłaściwych rękach pozwala on przejąć dostęp do naszej bankowości elektronicznej.
***
Świadomość zagrożenia oraz umiejętność rozpoznanie sygnałów ostrzegawczych może zapobiec zarówno stratom finansowym, jak i odpowiedzialności prawnej. Niemniej co jeśli już damy się złapać?
W kolejnym wpisie zostanie podjęta tematyka, jak należy postępować po wykryciu próby wyłudzenia danych.
Zapraszam do kontaktu 🙂
Cezary Korolczuk
adwokat
