Kampanie phishingowe- jak działają i dlaczego wciąż działają na ludzi

Phishing nie jest niczym nowym. Pierwsze ataki tego typu odnotowano jeszcze w latach 90. Od tamtej pory minęły dekady, a metoda wciąż jest jednym z najpopularniejszych narzędzi cyberprzestępców. Nie dlatego, że jest szczególnie wyrafinowana technicznie, ale dlatego, że działa. Warto zrozumieć, na czym polega jej skuteczność, zanim trafi się na wiadomość, która wygląda jak każda inna. Phishing to atak polegający na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia danych – najczęściej loginów, haseł, danych karty płatniczej lub nakłonienia ofiary do przelania pieniędzy. Najczęściej odbywa się przez e-mail, ale coraz częściej przestępcy korzystają też z SMS-ów (tzw. smishing) oraz połączeń głosowych (vishing). Kanał jest drugorzędny – mechanizm zawsze ten sam: nadawca udaje kogoś, kim nie jest, a treść wiadomości ma skłonić odbiorcę do konkretnego działania, najczęściej kliknięcia w link lub podania danych.

Przestępcy rzadko działają przypadkowo. Masowe kampanie phishingowe są starannie przygotowane – często pod konkretny moment w roku, konkretną branżę lub grupę odbiorców. Schemat jest zazwyczaj podobny. Atakujący wybierają markę, pod którą się podszywają – bank, urząd skarbowy, firmę kurierską, platformę streamingową. Rejestrują domenę zbliżoną do oryginalnej, czasem różniącą się jedną literą lub końcówką. Przygotowują stronę łudząco podobną do prawdziwej i rozsyłają wiadomości do setek tysięcy adresatów. Treść wiadomości jest zazwyczaj krótka i opiera się na presji czasu: konto zostanie zablokowane, paczka nie dotrze, płatność nie przeszła, coś wymaga pilnej weryfikacji. Odbiorca ma działać szybko – i właśnie na tym polega cała mechanika ataku. Pośpiech wyłącza krytyczne myślenie.

Wiadomości phishingowe coraz rzadziej wyglądają podejrzanie. Jeszcze kilka lat temu łatwo było je rozpoznać – błędy językowe, dziwne czcionki, podejrzane adresy. Dziś narzędzia do tłumaczenia i generowania tekstu są powszechnie dostępne, więc jakość takich wiadomości znacząco wzrosła. Logotypy są skopiowane piksel w piksel, a strony, na które prowadzą linki, mają certyfikat SSL i wyglądają identycznie jak oryginał. Do tego dochodzi kontekst. Jeśli czekasz na paczkę i przychodzi SMS o problemie z dostawą, jesteś naturalnie bardziej skłonny kliknąć. Przestępcy wiedzą, że w okolicach Black Friday, świąt czy początku roku podatkowego ludzie są bardziej podatni na konkretne scenariusze i odpowiednio dobierają treść kampanii.

Najczęściej atakujący celują w:

  • dane logowania do bankowości elektronicznej lub poczty,
  • dane kart płatniczych,
  • dane osobowe, które można wykorzystać do kradzieży tożsamości,
  • dostęp do kont firmowych – szczególnie w atakach ukierunkowanych na konkretne organizacje.

W przypadku ataków na firmy, phishing jest często tylko pierwszym krokiem. Przejęcie konta pracownika może dać atakującym dostęp do wewnętrznych systemów, baz danych klientów lub umożliwić przeprowadzenie ataku ransomware. Szczególnie groźny wariant- spear phishing. Masowe kampanie trafiają do wszystkich. Spear phishing to atak ukierunkowany na konkretną osobę lub organizację. Atakujący wcześniej zbierają informacje o ofierze z mediów społecznościowych, ze stron firmowych, z wcześniej wykradzionych danych i przygotowują wiadomość, która wygląda jak korespondencja od kogoś znajomego. Pracownik działu finansowego może dostać e-mail wyglądający jak wiadomość od prezesa z prośbą o pilny przelew. Osoba zajmująca się IT: wiadomość od dostawcy oprogramowania z prośbą o zalogowanie się i potwierdzenie licencji. Takie ataki są trudniejsze do wykrycia właśnie dlatego, że są spersonalizowane.

Kilka rzeczy warto sprawdzić, zanim kliknie się w link lub poda dane:

  • Adres nadawcy. Nie nazwa wyświetlana, ale faktyczny adres e-mail. Nazwa może brzmieć jak bank, podczas gdy adres ma zupełnie inną domenę.
  • Adres strony internetowej. Przed wpisaniem czegokolwiek warto spojrzeć na pasek adresu. Jedna zmieniona litera w nazwie domeny jest wystarczającym sygnałem ostrzegawczym.
  • Charakter wiadomości. Każda wiadomość wymuszająca natychmiastowe działanie powinna wzbudzić ostrożność. Banki i urzędy rzadko wymagają pilnego klikania w linki z e-maila.
  • Prośba o dane. Żadna wiarygodna instytucja nie prosi o podanie hasła, numeru karty ani kodu SMS w odpowiedzi na e-mail.

W przypadku wątpliwości najlepiej nie klikać w link z wiadomości, tylko samodzielnie wejść na stronę instytucji wpisując adres w przeglądarce i tam sprawdzić, czy coś rzeczywiście wymaga uwagi.

Jeśli doszło do podania danych logowania jak najszybciej trzeba zmienić hasło, a jeśli to były dane bankowe, skontaktować się z bankiem. Wiele banków ma całodobowe linie do zgłaszania incydentów. Podejrzane wiadomości można też zgłaszać do CERT Polska przez stronę incydent.cert.pl lub przesyłając e-mail na adres cert@cert.pl Takie zgłoszenia pomagają blokować złośliwe strony i ostrzegać innych użytkowników. 

ul. Namysłowska 8, IV piętro

(Centrum Biznesu Grafit)

50-304 Wrocław

NIP: 8971793846

REGON: 022287361

tel.: +48 71 777 90 32

faks: +48 71 798 44 90

e-mail: cui@cui.wroclaw.pl

ePUAP: /CUI/SkrytkaESP

Biuletyn Informacji Publicznej

Link otwiera się w nowej karcie przeglądarki.
Wróć na górę