Czym jest phishing?

Źródło: ibm.com

Ataki phishingowe są formą  inżynierii społecznej. W przeciwieństwie do innych cyberataków bezpośrednio skierowanej na sieci czy zasoby, ataki spod inżynierii społecznej wykorzystują ludzki błąd, fałszywe opowieści oraz strategie nacisku, aby manipulować ofiarami po to,żeby nieświadomie siebie naraziły lub organizacje na niebezpieczeństwo. W typowym oszustwie phishingowym, haker podszywa się pod kogoś, komu ofiara jak kolega, szef, autorytet bądź przedstawiciel dobrze znanej marki.  Haker bezpośrednio wysyła wiadomość do ofiary z prośbą o zapłatę faktury, otwarcie załącznika, klikanie na link lub podjęcie jakiegoś działania. Ze względu na zaufanie wobec podejrzanego źródła wiadomości, użytkownicy podążają za instrukcjami i wpadają prosto w zasadzkę zastawioną przez oszusta. Ta „faktura” mogłaby doprowadzić wprost do konta hakera. Ten załącznik może zainstalować w urządzeniu użytkownika oprogramowanie wymuszające okup. Ten link może doprowadzić użytkownika do witryny okradającej numery kard kredytowych, numery kont bankowych, dane logowania lub inne dane osobiste.   

Dlaczego phishing jest głównym zagrożeniem w sieci? 

Phishing jest popularny pośród cyberprzestępstw i jest bardzo skuteczny. Według raportu Cost of a Data Breach IBM, phishing jest powszechnym wektorem naruszenia danych, do którego się wlicza 16% wszystkich naruszeń. Naruszenia spowodowane przez phishing wynosi średnio 19,04 miliardów złotych, który jest wyższy of ogólnego średniego kosztu naruszenia, który wynosił 17,80 miliardów złotych. Phishing jest szczególnym zagrożeniem, bo raczej nadmiernie wykorzystuje ludzi aniżeli słabe punkty ze strony technologii. Atakujący nie muszą bezpośrednio się włamać do systemów lub przechytrzyć narzędzia cyberbezpieczeństwa. Mogą oszukać ludzi, którzy mają autoryzowany dostęp do swojego celu – będą to pieniądze, dane wrażliwe lub coś jeszcze – aby odwalili brudną robotę. Phisherzy mogą być samotnymi oszustami lub zorganizowaną grupą przestępczą. Mogą wykorzystać phishing do wielu niecnych planów, wliczając w to kradzież tożsamości, wyłudzania karty kredytowej, kradzieży monetarnej, szantażu, przejęcia kont, szpiegostwa i wielu innych. Na cel phishingu mogą być obrani zwykli ludzie a nawet główne korporacje oraz agencje rządowe. W jednym z dobrze znanych ataków phishingowych, rosyjscy hakerzy wykorzystali fałszywy email do resetu hasła, aby okraść tysiące e-maili z kampanii prezydenckiej Hillary Clinton w 2016 r. Oszustwa phiszhingowe manipulują istotami ludzkimi, sztandarowe narzędzia oraz techniki monitorujące sieć nie zawsze wyłapują ataki w toku. W rzeczywistości, w atakach w ramach kampanii na Clington, nawet biuro pomocy informatycznej pomyślało, że fałszywe e-maile mające na celu reset hasła były autentyczne.  Aby zwalczyć phishing, organizacje muszą połączyć zaawansowane narzędzia wykrycia zagrożenia z solidną edukacją pracowników, aby się upewnić, że użytkownicy mogą dokładnie zidentyfikować oraz bezpiecznie odpowiedzieć na próby oszustwa. 

Rodzaje ataków phishingowych 

Słowo „phishing" wpływa na fakt, że oszuści wykorzystują atrakcyjne „przynęty”, aby oszukać ofiary, właśnie w ten sam sposób, jak rybacy wykorzystują przynętę, aby złowić rybę, na którą polują. W phishingu, przynętami są fałszywe wiadomości sprawiające wrażenie wiarygodnych oraz powołujące na silne uczucia takie jak strach, chciwość oraz ciekawość. Tego rodzaju przynęty wykorzystują oszuści w zależności od tego, na kogo i na co polują. Do niektórych powszechnych przykładów ataków phisingowych należą:   

Bulk email phishing

W bulk e-mail phishingu, oszuści bez wyjątku wysyłają spamy do możliwie największej liczby osób w nadziei, że część ofiar natknie się na atak. Oszuści często tworzą e-maile sprawiające wrażenie, jakoby przyszły z wielkich, legalnych przedsiębiorstw takie jak banki, sprzedawcy detaliczni lub twórcy popularnych aplikacji. Po przez podszycie się pod dobrze znane marki, oszuści zwiększają szanse na to, że klienci tych marek staną się celem. Jeśli ofiara ma częstą styczność z marką, prawdopodobnie może ona otworzyć e-mail zawierający phishing, który się podszywa pod tę markę. Cyberprzestępcy idą jeszcze dalej, tworząc e-maile zawierające phishing, które sprawiają wrażenie przystępnych. Przestępcy ci mogą wykorzystać fałszywe logo firmy oraz markę branży. Mogą oni podrobić adresy e-mailowe celem wmówienia ofierze, jakoby pochodzi z wiarygodnej domeny. Mogą nawet oni skopiować prawdziwy adres mailowy od nadawcy, pod którego się podszywają oraz zmodyfikować go do swoich niecnych celów. Oszuści piszą w e-mailu linie przewodnie, które się powołują się na silne uczucia lub tworzą poczucie, że trzeba natychmiast działać. Co zręczniejsi scamerzy tworzą tematy, w których fałszywy nadawca może obecnie używać takie jak „Problem z poleceniem” lub „Załączono fakturę”. Treść z e-maila nakazuje, aby odbiorca podjął pozornie na miejscu działanie skutkujące w tym, że ujawnione zostaną dane wrażliwe lub pobrane będzie złośliwe oprogramowanie. Na przykład, link zawierający phishing odczytany będzie jako „Kliknij tutaj, aby zaktualizować profil”. Po kliknięciu na podstępny link, ofiara zabrana zostanie do fałszywej strony okradającej dane logowania.  Niektórzy oszuści organizują zbiorowe ataki phishingowe podczas świąt oraz innych wydarzeń i to wtedy, kiedy ludzie są bardziej podatni na sugestię. Na przykład, ataki phishingowe na klientów często ulegają nasileniu podczas tzw. Prime Day, wydarzenia skupiającego na rocznej sprzedaży towarów u sprzedawcy detalicznego w sieci.2 Oszuści wysyłają e-maile o treści zawierającej fałszywe treści o transakcjach oraz problemów z płatnościami po to, aby uśpić czujność ludzi. 

Spear phishing 

Spear phishing  to rodzaj ataku phishingowego, w którym określona jednostka obrana jest na cel. Z reguły jest ktoś, kto ma dostęp do danych wrażliwych lub szczególny autorytet, który ulegnie nadużyciu w zawodach takich jak zarządca finansami, któremu oszust pobiera pieniądze z konta firm. Haker zajmujący się spear phishingiem obserwuje ofiarę celem zebrania informacji potrzebnych do podszycia się pod kogoś zaufanego jak przyjaciel, szef, współpracownik, sprzedawca lub organizacja finansowa. Social media oraz profesjonalne strony sieciowe, w których ludzie publicznie gratulują współpracownikom, wspierają sprzedawców oraz mają ludzie tam skłonności do zbytniej wylewności, są bogatym źródłem informacji na przygotowanie na tzw. spear phishing. Spear phisherzy wykorzystują swoje badania po to, aby stworzyć wiadomości zawierające konkretne szczegóły osobiste, które sprawiają wrażenie wysoce wiarygodnych w oczach ofiary. Na przykład, spear phisher może się podszywać pod jej szefa oraz wysłać maila o treści: „Wiem, że dzisiaj wieczorem jesteś na urlopie, ale czy można zapłacić tę oto fakturę, zanim zwiniemy interes?”. Atak typu spear phishing skierowany na zawodowego wykonawcę, bogatą jednostkę lub na inną wysoce cenioną ofiarę, nosi miano whale phishingu lub ataku typu whaling.

Oszustwo typu Business email compromise (BEC)  

Oszustwo typu BEC  to pewna kategoria ataków typu spear phishing próbująca okraść przedsiębiorstwom lub innym organizacjom pieniądze lub cenne informacje, na przykład, tajemnice handlowe, dane klienta lub informacje finansowe. 

Oszustwa typu BEC mogą przyjąć kilka postaci. Do dwóch najpowszechniejszych należą: 

• Atak „na prezesa”: Oszust podszywa się pod prezesa, który często to robi poprzez przejęcie konta e-mailowego rzeczonego prezesa. Oszust wysyła wiadomość do pracownika niższego stopnia, w którym instruuje w przelaniu funduszy do fałszywego konta oraz dokonuje zakupu u fałszywego sprzedawcy lub wysłać pliki do nieautoryzowanej grupy. 
• Oszustwo typu Email account compromise (EAC): Oszust naraża na szwank konto mailowe pracownika niższego szczebla na przykładzie konta managera ds. finansowych, sprzedaży lub badań i rozwoju. Oszust wykorzystuje konto, aby wysłać fałszywe faktury do sprzedawców, w których instruuje innym pracownikom dokonującym fałszywych płatności lub proszą o dostęp do danych poufnych. 

Takie ataki mogą być po wśród najkosztowniejszych cyberataków a pośród nich oszuści, którzy często okradają 4 miliardy złotych naraz. Niektórzy oszuści typu BEC zarzucają powszechne strategie na rzecz przeprowadzania mniejszych ataków na większą liczbę ofiar. Według Anti-Phishing Working Group (APWG), oszustwa typu BEC w 2023r. Stają się co raz częstsze, lecz oszuści z każdym atakiem żądają co raz mniej pieniędzy. 

Inne techniki oszustw phishingowych 

Smishing 

SMS phishing lub smishing wykorzystuje fałszywe wiadomości tekstowe, które mają na celu oszustwo. Oszuści powszechnie się podszywają pod dostawcę usług bezprzewodowych poprzez wysyłanie tekst oferujący „darmowy prezent” lub prosi użytkownika o aktualizację informacji na karcie kredytowej. Niektórzy smisherzy podszywają się pod personel ze środowiska Poczty Polskiej lub innej firmy dostawczej. Wysyłają wiadomości nakazujące ofiarom wysyłanie rachunku celem otrzymania paczki pod podany adres.   

Vishing 

Voice phishing lub vishing to rodzaj phishingu, w którym telefon jest głównym narzędziem. W niedawnych latach nagłośniono przypadki vishingu, które zdaniem APWG wzrosły o 260% w latach 2022 oraz 2023. 5 Wzrost vishingu ma częściowe źródło w dostępności technologii voice over IP (VoIP), w których oszuści mogą wykorzystać tę technologię do wykonania miliardów zautomatyzowanych rozmów vishingowych w ciągu dnia. Oszuści często wykorzystują ID spoofing dzwoniącego, aby sprawić, że rozmowy pochodzą z organizacji prawnych lub z lokalnych numerów telefonów. Rozmowy vishingowe typowo straszą odbiorców ostrzeżeniami of postępujących problemach z kartą kredytową, zaległymi płatnościami lub problemami prawnymi. Odbiorcy w końcu przekazują dane wrażliwe lub pieniądze cyberprzestępcom, aby sprawę „załatwili”. 

Social media phishing 

Social media phishing wykorzystuje platformy social mediów, aby oszukać ludzi. Oszuści wykorzystują wbudowane w platformach komunikatory - na przykład, Messenger w Facebooku, inMail w Linkedln oraz DMs w X (dawniej w Twitterze) - tak samo czynią to z emailem oraz SMS-ami. Oszuści często się podszywają pod użytkowników proszących ofiarę o pomoc w logowaniu do konta lub tę w wygraniu konkursu. Wykorzystuję tę farsę po to, aby okraść ofierze dane logowania do platformy. Te ataki mogą być zwłaszcza kosztowne dla ofiar wykorzystującym te same hasła do wielu kont, które są powszechną praktyką. 

Niedawne trendy w phishingu  

Oszuści stale wykorzystują nowe metody phishingu celem unikania rozpoznania. Do niektórych z najnowszych sztuczek należą: 

AI phishing 

AI phishing wykorzystuje narzędzia generatywnej sztucznej inteligencji (SI) po to, aby stworzyć wiadomości phishingowe. Te narzędzia mogą wygenerować zindywidualizowane maile oraz wiadomości tekstowe, które nie zawierają błędów ortograficznych, błędów gramatycznych oraz innych powszechnych flag ostrzegawczych ataków phishingowych. Generatywna sztuczna inteligencja również może pomóc oszustom przeskalować operacje. Według  IBM X-Force Threat Intelligence Index, it zajmuje to oszustowi 16 godz. na ręczne stworzenie maila phishingowego. Przy pomocy SI, oszust nawet może stworzyć więcej przekonujących wiadomości w zaledwie pięć minut. Oszuści mogą również wykorzystać generatory obrazów oraz syntezatorów głosów celem nadania większej wiarygodności swoim machinacjom. Na przykład, w roku 2019 wykorzystali SI po to, aby sklonować głos prezesa koncernu energetycznego oraz wykraść zarządcy banku równowartość 90002,8 złotych. 

Quishing 

Quishing wykorzystuje fałszywe kody QR załączone w mailach oraz w wiadomościach tekstowych lub opublikowanych poprzez post w świecie rzeczywistym. Quishing pozwala hakerom ukryć niecne strony internetowe oraz oprogramowanie na widoku. Na przykład, For example, Federalna Komisja Handlu w USA w zeszłym roku ostrzegła o oszustwie, w którym przestępcy podmieniają kody QR w parkometrach publicznych na swoje własne okradające dane płatnicze.

Hybrid vishing 

Ataki typu Hybrid vishing łączą w sobie voice phishing oraz inne metody ominięcia filtrów spamowych oraz te na uzyskanie zaufania ofiary. Na przykład, oszust może wysłać maila, którzy rzekomo pochodzi z IRS. Ten mail mówi ofierze, że jest problem ze zwrotem podatku. Aby rozwiązać tę sprawę, ofiara musi zadzwonić pod podany w mailu nr telefoniczny, który bezpośrednio się łączy z oszustem. 

Jakie są znamiona ataku phishingowego?  

Szczegóły oszustw mogą się różnić od siebie, lecz posiadają wspólne cechy zakładające, że wiadomość może być atakiem phishingowym. Do tych cech należą: 

Silne uczucia oraz taktyki wywierania nacisku 

Oszustwa phishingowe próbują wymusić na ofiarach poczucie pilności w taki sposób, że działają bez zastanowienia. Oszuści często to robią poprzez powoływanie się na silne uczucia takie jak strach, chciwość oraz ciekawość. Mogą nałożyć ograniczenia czasowe oraz grozić nierealnymi skutkami takimi jak pobyt w więzieniu. 

Do powszechnych zagrywek phishingowych należą: 

• „Jest problem z Twoim kontem lub Twoimi informacjami finansowymi. Trzeba natychmiast zaktualizować, aby nie stracić dostępu do dostępu do konta lub do informacji”.  
• „Wykryto bezprawną aktywność. Zapłać teraz rachunek albo grozi Ci areszt”. 
• „Zdobyto darmową nagrodę, lecz trzeba ją teraz zdobyć”.  
• „Nie zapłacono faktury. Trzeba ją natychmiast zapłacić albo dostęp do usługi będzie zablokowany”. 
• „Jest okazja do wykorzystania zdumiewającej inwestycji. Wpłać teraz pieniądze a nieoczekiwany zwrot pieniędzy będzie zagwarantowany”. 

Prośby o pieniądze lub dane wrażliwe 

Oszuści proszą typowo o dwie rzeczy: pieniądze lub dane. Nieproszone lub nieoczekiwane prośby o płatność lub dane osobiste mogą oznaczać ataki phishingowe. Proszą o pieniądze pod płaszczykiem niezapłaconych faktur, grzywien lub opłaty za usługi. Żądają informacji pod płaszczykiem prośby o aktualizację informacji o płatności lub koncie i o restart hasła. 

Błędy gramatyczne oraz ortograficzne 

Wiele grup phishingowych działają na skalę międzynarodową, co oznacza, że często tworzą wiadomości phishingowe w językach, którym daleko do biegłości. Zatem, wiele treści phishingowych zawiera błędy gramatyczne oraz logiczne.

Ogólnie brzmiąca treść 

Wiadomości od legalnych firm często zawierają konkretne szczegóły. Mogą się zwrócić do klientów po imieniu, odnieść się do szczególnego numeru dostawy lub dokładnie objaśnić istotę problemu. Niejasna wiadomość na przykładzie treści typu „Jest pewna sprawa z kontem” bez dalszych wyjaśnień stanowi flagę ostrzegawczą. 

Fałszywe adresy mailowe oraz adresy URL 

Oszuści często wykorzystują adresy mailowe oraz adresy URL na pierwszy rzut oka sprawiające wrażenie legalnych. Na przykład, adres mailowy od  „admin@rnicrosoft.com" może się wydawać bezpieczny, lecz jeszcze raz się przyjrzyj. Litera „m" w słowie „Microsoft" obecnie zastępuje literę „r" oraz  „n". Kolejną powszechną taktyką jest wykorzystanie adresu URL pokroju „bankingapp.scamsite.com". Użytkownik może myśleć, że go przenosi do strony, która się zwie bankingapp.com, lecz tak naprawdę wskazuje na poddomenę scamsite.com. Hakerzy również mogą wykorzystać usługi skracania linków, aby ukryć niecne adresy URL. 

Inne cechy 

Oszuści mogą wysyłać pliki i załączniki, o które cel nie prosił i których się nie spodziewał. Stosują obrazy tekstu zamiast rzeczywistego treści w wiadomościach i na stronach internetowych, aby uniknąć filtrów antyspamowych. Niektórzy nawiązują do spraw drażliwych po to, aby ofiary rozjuszyć. Na przykład,  IBM® X-Force® odkryło, że oszuści powszechnie wykorzystuje konflikt na Ukrainie po to, aby grać na uczuciach ofiar. 

Zapobieganie oraz minimalizacja ryzyka phishingu 

Trening świadomości o bezpieczeństwie oraz polityka organizacji 

Ze względu na to, że oszustwa phishingowe celują w ludzi, pracownicy często są pierwszą i ostatnią linią obrony organizacji przed phishingiem. Organizacje mogą nauczać użytkowników rozpoznania cech ataków phishingowych oraz odpowiedzi na podejrzane adresy mailowe oraz wiadomości tekstowe. Do tego można wliczyć podanie pracownikom lepszego sposobu na raportowanie ataków phishingowych na zespół informatyków lub zespół ochroniarski. 

Organizacje również mogą ustanowić politykę oraz praktykę utrudniające pracę phishera.   

Na przykład: 

• Zakazać ludziom inicjowanie przelewu monetarnego drogą mailową. 
• Mogą od pracowników wymagać weryfikacji próśb o pieniądze lub o informacje poprzez kontakt inny niż podano w treści wiadomości. 
• Pracownicy mogą bezpośrednio na klawiaturze napisać w przeglądarce adres URL zamiast klikać na link albo zadzwonić do biura kolegi po fachu zamiast odpowiedzieć na treść wiadomości pod nieznany numer.    

Narzędzia i technologia zapobiegające phishingowi 

Organizacje mogą uzupełnić pracownikom trening oraz politykę firmy o narzędzia bezpieczeństwa pomagające w wykryciu wiadomości phishingowych oraz udaremnić hakerom wykorzystanie phishingu do włamania się do sieci.   

• Filtry antyspamowe oraz oprogramowanie zabezpieczające wiadomości elektroniczne wykorzystują dane o istniejących oszustwach phishingowych oraz algorytmy  uczenia maszynowego , które mają na celu zidentyfikowanie maili phishingowych oraz inne wiadomości zawierające spam. Fałszywe wiadomości oraz te zawierające spam potem są przenoszone do oddzielnego folderu, w którym się usuwa podejrzane linki oraz kody. 
• Oprogramowanie antywirusowe oraz chroniące przez złośliwym oprogramowaniem mogą wykryć i zneutralizować podejrzane pliki oraz kody przenoszone poprzez maile zawierające phishing. 
• Uwierzytelnianie wieloskładnikowe  może uniemożliwić hakerom przejęcie kont użytkowników. Phisherzy mogą okraść hasła, lecz znacznie trudniej będzie im okraść drugi czynnik taki jak skan linii papilarnych lub hasło jednorazowego użytku. 
• Wielowarstwowa ochrona punktów końcowych pokroju oprogramowań zabezpieczających typu wykrywanie i reagowanie na punkty kontrolne (EDR) oraz  ujednolicone zarządzenie urządzeń końcowych (UEM) mogą wykorzystać sztuczną inteligencję (SI) oraz zaawansowaną analizę po to, aby przechwycić próby ataków phishingowych oraz zablokować złośliwe oprogramowanie. 
• Filtr treści chroni użytkowników przed wejściem w podejrzane strony internetowe oraz ogłasza alarm za każdym razem, jak użytkownicy wchodzą na podejrzane strony. Te narzędzia mogą pomóc w minimalizowaniu szkód po kliknięciu na link zawierający phishing. 
• Rozwiązania typu Enterprise cybersecurity takie jak platformy technologi orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR) and zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM) wykorzystują SI oraz automatyzację po to, aby wykryć i zareagować na aktywność anomalną. Te rozwiązania mogą pomóc powstrzymać phisherów próbujących zainstalować złośliwe oprogramowanie oraz przejąć konta użytkowników.