Phishing: Rośnie skala ataków. Nie daj się złapać
Ataki phishingowe przeżywają prawdziwy renesans. Cyberprzestępcy zwiększają swoją aktywność w sieci, ale są też coraz bardziej kreatywni. "Przejmując" kolejne obszary naszego codziennego życia - kradną pieniądze i dane.
Czym jest phishing? Najprościej można by napisać, że to forma oszustwa, gdy przestępcy podszywając się pod inną osobę, instytucję lub firmę, próbują przejąć nasze dane osobowe i hasła do np. skrzynki pocztowej, aplikacji mobilnych, sieci społecznościowych lub bankowości internetowej.
Phishing nie jest nowym sposobem kradzieży stosowanym przez cyberprzestępców. Ma już swoje lata, co nie oznacza, że traci na popularności. Za jego stosowaniem przemawiają niskie koszty, duża skala i wciąż stosunkowo spora skuteczność. Nie ma dnia, by media lub służby odpowiedzialne za cyfrowe bezpieczeństwo nie ostrzegały przed nowym rodzajem ataku phishingowego.
Ataki te są nie tylko bardziej spersonalizowane i przekonujące, ale - po okresie pandemii i rosnącym znaczeniu e-usług w codziennym życiu - docierają do użytkowników w większej liczbie miejsc niż kiedykolwiek wcześniej. Phishing z wykorzystaniem wiadomości SMS to tzw. smishing.
Vishing to próba wyłudzania danych w wersji głosowej - złodziej dzwoni do swojej ofiary i nakłania ją do przejścia kolejnych etapów kradzieży. Sam phishing, czyli fałszywa korespondencja stosuje zasady spoofingu, czyli podszywania się pod osobę lub instytucję, którą znamy lub której ufamy, by w ogóle wejście w interakcję było możliwe.
Sam schemat e-kradzieży nie jest nowy i dla użytkowników internetu powinien być on już dobrze znany i rozpoznany. Błędem jest jednak bagatelizowanie "starych" rozwiązań. Uczą się nie tylko konsumenci, ale również złodzieje. Gdy jeden rodzaj ataku staje się już nieskuteczny, wymyślają oni nowe, chociaż model działania pozostaje ten sam.
Stare metody kradzieży przeżywają dzisiaj prawdziwy renesans. Wpływ na to miała pandemia, która spowodowała, że przechodzenie do cyfrowego świata przyśpieszyło ze względu na obowiązujące obostrzenia epidemiczne. Tworzenie kolejnych e-usług otwiera dla cyberprzestępców kolejne furtki, a stare sposoby na kradzież pieniędzy, dostosowywane są do potrzeb czasu i danej sytuacji.
Z danych Komendy Głównej Policji wynika, że w 2020 r. odnotowano łącznie 6,7 tys. przestępstw sklasyfikowanych jako oszustwa dotyczące e-bankowości lub phishingu. Dla porównania rok wcześniej było ich 6,3 tys., a w 2018 r. - 3,6 tys. Trend wzrostowy jest wyraźny.
Według raportu "2020 Phishing and Fraud Report" w 2020 wzrost liczby przypadków phishingu w porównaniu z 2019 r. sięgnął 15 proc. W szczytowym okresie obaw związanych z pandemią na świecie liczba oszustw tego rodzaju wzrosła aż o 220 proc. w porównaniu ze średnią za cały rok.
Kto daje się złapać? Nie ma na to pytanie jednoznacznej odpowiedzi. Są to zarówno młodzi, jak i starsi, doświadczeni użytkownicy internetu, jak i ci, którzy dopiero stawiają w sieci pierwsze kroki. Nie ma i nie będzie jednego profilu ofiary - złapać może się każdy. Najczęściej wystarczy chwila nieuwagi, moment roztargnienia lub pośpiech. Złodzieje bazują na naszej naiwności (problem cyberataków mnie nie dotyczy), innym znów razem na chęci pomocy.
Jak kradną cyberprzestępcy? Na Netflix w sytuacji, gdy zamiast wychodzić do kina, kolejne seanse w czasach pandemii organizowaliśmy w domowym zaciszu. Na PayPal - bo znaczenie e-zakupów ze względu na ograniczenia epidemiczne zyskało na znaczeniu. Na kuriera, np. InPost, np. o konieczności dopłaty do paczki, przekierowaniu lub zatrzymaniu przez służby celne. Wraz z rozwojem pandemii pojawiły się wiadomości o kwarantannie, o potrzebie stawienia się na test na koronawirusa, z czasem - dotyczące szczepienia. Były też SMS-y o blokadzie środków na rachunku na poczet specjalnych rezerw krajowych w NBP.
Nie zabrakło tradycyjnych wiadomości o zaległościach w zapłacie za prąd lub gaz, problemach z obsługą rachunku bankowego, złożonym wniosku kredytowym, nieautoryzowanym przelewie... Ataki te, jakiej by nie miały tematyki, nie są profilowane. Rozsyłane są one masowo na wcześniej przejęte adresy e-mail lub numery telefonu. Charakteryzują się one jednak jedną podstawową cechą - mają wzbudzić u odbiorcy zainteresowanie, a przede wszystkim niepokój lub strach, przez co kliknie on w link lub otworzy załącznik. Często tak się dzieje. Wiadomość, którą otrzymujemy jest dla nas nierzadko stresująca sama w sobie. Tak reagujemy przecież, gdy dowiadujemy się, że rzekomo nasz rachunek bankowy został przejęty lub zaciągnięto na nas pożyczkę (próbujemy jak najszybciej to zweryfikować, niestety często klikając w link, który nam podesłano) lub gdy dostajemy informację o kwarantannie (próbujemy dowiedzieć się do kiedy będziemy musieli się izolować i co musimy robić dalej).
Czy można się przed takimi atakami zabezpieczyć? Na szczęście tak i nie jest to wcale tak skomplikowane, jak może się na początku wydawać. Nie trzeba do tego ani zaawansowanych technologii, ani ukończenia kursów cyberbezpieczeństwa. Trzeba pamiętać jednak o kilku podstawowych rzeczach.
Pierwsza i najważniejsza: to my jesteśmy słabym ogniwem - nie technologia. Oczywiście zdarza się, że w etapie tworzenia nowych rozwiązań pojawią się luki w oprogramowaniu, które przestępcy wykorzystują. W przypadku samego phishingu i wszystkich jego odmian to jednak nie zachodzi. To my klikamy bez zastanowienia w link, otwieramy załącznik lub przekazujemy dane do bankowości w rozmowie z złodziejem, który podszywa się pod pracownika banku. Dlatego - i jest to druga zasada - w sieci, jak na co dzień np. na drodze, stosujmy zasadę ograniczonego zaufania. Nie otwierajmy załączników od nieznanych nadawców. Nie klikajmy w link, który nam podesłano. Jeśli musimy sprawdzić szybko konto w banku w związku z otrzymaną wiadomością - zróbmy to przez aplikację mobilną lub stronę internetową - tak jak robiliśmy to wcześniej - samodzielnie wpisując adres strony i sprawdzając czy wszystkie zabezpieczenia są na swoim miejscu (adres powinien rozpoczynać się od skrótu: "https://", a nie "http://"). Brak litery "s" w skrócie "http" oznacza brak szyfrowania, czyli, że dane są transmitowane przez internet tekstem jawnym. Sprawdźmy też prawidłowość certyfikatu (znak kłódki).
"Nie otwieraj załączników, nie klikaj w linki w tego rodzaju e-mailach i załącznikach. Jeśli klikniesz w link możesz stracić pieniądze i kontrolę nad kontem" - przestrzegał kilka dni temu jeden z banków, pod który przestępcy się podszywali właśnie mailowo.
Po trzecie, stawiajmy właściwe pytania. Dlaczego miałbym kliknąć w link do przekierowania paczki, skoro niczego ostatnio nie zamawiałem. Czy faktycznie nie opłaciłem rachunków za prąd lub gaz? - to łatwo sprawdzić wchodzą na stronę dostawcy (nigdy nie przez link, który wysłano do nas) lub dzwoniąc na infolinię. Jeśli dzwoni pracownik banku i pyta o numer rachunku to pierwszy sygnał ostrzegawczy - takie dane powinien mieć na monitorze przed sobą. Nigdy też nie będzie prosić nas o login i hasło do bankowości internetowej lub mobilnej, kod CVC z karty płatniczej ani kod BLIK. Nigdy. Jeśli proces autoryzacji ma polegać na podaniu przez nas nr dowodu osobistego, PESEL i kolejnych poufnych informacji - najlepiej od razu przerwać taką rozmowę. Nic złego się nie stanie, jeśli to zrobimy.
Po czwarte - ustawmy uwierzytelnianie dwuskładnikowe (lub wieloskładnikowe) na dowolnym koncie, które na to pozwala. Nie warto też dodawać kolejnych stron do zaufanych, by płacić np. bez potwierdzania transakcji w aplikacji. Lepiej za każdym razem dla bezpieczeństwa dodatkowo potwierdzać każdą transakcję kodem SMS lub w aplikacji, dokładnie sprawdzając wszystkie dane, które są wyświetlane np. w telefonie. W końcu chodzi o bezpieczeństwo naszych danych i pieniędzy.
Po piąte, nie instalujmy żadnych aplikacji na komputerze ani telefonie, o które możemy zostać poproszeni w trakcie rozmowie z rzekomym pracownikiem banku lub innej firmy czy instytucji. Nikt o podobne działania nie powinien nas nakłaniać.
Po szóste, zwracajmy uwagę na styl w jakim napisana jest wiadomość (czy nie ma np. literówek, czy jest gramatycznie poprawna), sprawdzajmy jak wygląda adres mailowy, z którego ją wysłano - często już na pierwszy rzut oka widać, że coś jest nie tak. Dodatkowo możemy sprawdzić czy dana instytucja lub firma korzysta z takiego adresu jak ten z maila.
Co jednak robić, gdy daliśmy się złapać i przekazaliśmy złodziejom nasze dane? Trzeba działać szybko, a podjęte kroki dostosować do informacji, które podaliśmy. Jeśli to hasło do sieci społecznościowej lub skrzynki pocztowej - zmieńmy je natychmiast. Pamiętajmy też, by różnicować hasła do różnych serwisów. Jeśli to dane do logowania do bankowości internetowej lub mobilnej - podobnie zmieńmy hasło a dodatkowo zadzwońmy na infolinię banku lub wybierzmy się do oddziału. Pracownik banku doradzi, co jeszcze można zrobić i sprawdzi czy nie doszło do nieautoryzowanych prób logowania. Gdy podamy numer karty - warto ją zastrzec. Jeśli był to numer dowodu osobistego - podobnie warto go zablokować korzystając dla tego np. ze strony dokumenty zastrzeżone. Natomiast, w sytuacji, gdy padliśmy ofiarą kradzieży powinniśmy też jak najszybciej zgłosić to do organów ścigania.
Bartosz Bednarz
