Czym jest phising?
Phishing jest jedną z najpowszechniejszych i jednocześnie najbardziej podstępnych form cyberprzestępczości, z którą w dzisiejszych czasach może zetknąć się praktycznie każdy użytkownik internetu. W najprostszym ujęciu jest to metoda oszustwa polegająca na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia poufnych informacji. Cyberprzestępcy wykorzystują techniki inżynierii społecznej, aby nakłonić swoje ofiary do dobrowolnego przekazania danych, takich jak loginy i hasła do kont bankowych, portali społecznościowych czy skrzynek e-mail, a także numerów kart kredytowych lub innych danych osobowych. Nazwa zjawiska, będąca grą słów łączącą angielskie "password" (hasło) i "fishing" (łowienie), doskonale oddaje jego istotę – przestępcy zarzucają przynętę w nadziei, że nieświadoma oferta złapie haczyk.
Mechanizm działania phishingu opiera się na stworzeniu wiadomości, która do złudzenia przypomina autentyczną korespondencję znanej i budzącej zaufanie marki. Może to być bank, operator telekomunikacyjny, popularny serwis aukcyjny, platforma streamingowa, a nawet instytucja rządowa czy pocztowa. Wiadomości te najczęściej przybierają formę e-maili, ale phishing równie często rozprzestrzenia się za pomocą SMS-ów, komunikatorów internetowych, a nawet fałszywych powiadomień w mediach społecznościowych. Charakterystycznym elementem takiej wiadomości jest wezwanie do natychmiastowego działania, które ma wywołać u odbiorcy poczucie zagrożenia lub niecierpliwości. Ostrzeżenie o blokadzie konta, konieczności pilnej weryfikacji danych, nieautoryzowanej próbie logowania czy rzekomej wygranej, którą trzeba natychmiast odebrać – to tylko niektóre z typowych scenariuszy. Celem jest sparaliżowanie racjonalnego myślenia ofiary i skłonienie jej do kliknięcia w dołączony link.
Kliknięcie w spreparowany link otwiera przed oszustami dwojakie możliwości. Najczęściej ofiara zostaje przekierowana na fałszywą stronę internetową, która jest wierną kopią oryginalnego serwisu. Logowanie się na takiej stronie skutkuje natychmiastowym przechwyceniem wpisanych danych przez przestępców. Strona ta może być tak perfekcyjnie podrobiona, że nawet uważny użytkownik może mieć trudności z odróżnieniem jej od prawdziwej, zwłaszcza jeśli nie zwróci uwagi na drobne szczegóły w adresie URL, takie jak dodatkowa litera, inna domena czy brak certyfikatu bezpieczeństwa. Innym scenariuszem jest zainfekowanie urządzenia ofiary złośliwym oprogramowaniem po kliknięciu w link lub otwarciu załącznika. Takie oprogramowanie może rejestrować wszystkie wciśnięcia klawiszy, wykradać zapisane hasła lub dawać przestępcom zdalny dostęp do komputera, co jest szczególnie niebezpieczne w przypadku urządzeń firmowych.
Phishing ewoluował na przestrzeni lat, dając początek bardziej wyrafinowanym odmianom, które są jeszcze trudniejsze do wykrycia. Jedną z nich jest spear phishing, czyli phishing ukierunkowany. W przeciwieństwie do masowych, przypadkowych ataków, spear phisherzy starannie dobierają swoje ofiary, najczęściej są to konkretne osoby w firmach, takie jak księgowe, menedżerowie czy pracownicy działów kadr. Przestępcy poświęcają czas na zebranie informacji o swojej ofierze z mediów społecznościowych lub innych publicznie dostępnych źródeł, aby spersonalizować wiadomość. Dzięki temu e-mail może wydawać się pochodzić od zaufanego współpracownika, klienta lub przełożonego i odnosić się do rzeczywistych projektów, co znacząco zwiększa prawdopodobieństwo sukcesu ataku. Jeszcze bardziej zaawansowaną formą jest whaling, czyli wielorybnictwo, gdzie celem są tzw. grube ryby – wysocy rangą menedżerowie, dyrektorzy finansowi lub prezesi firm, którzy mają dostęp do najbardziej wrażliwych danych i funduszy.
Walka z phishingiem wymaga połączenia nowoczesnych technologii z nieustanną czujnością i edukacją samych użytkowników. Po stronie technologicznej stosuje się zaawansowane filtry antyspamowe, mechanizmy uwierzytelniania wieloskładnikowego, które stanowią dodatkową barierę nawet w przypadku przechwycenia hasła, oraz oprogramowanie antywirusowe blokujące dostęp do znanych, złośliwych stron. Jednak to właśnie świadomość zagrożeń wśród użytkowników jest najskuteczniejszym orężem w walce z phishingiem. Umiejętność krytycznej analizy każdej wiadomości z prośbą o dane, weryfikacja adresu nadawcy, zwracanie uwagi na błędy językowe i niegramatyczne zwroty, a przede wszystkim zdroworozsądkowa powściągliwość wobec próśb o natychmiastowe działanie, to cechy, które mogą uchronić przed staniem się ofiarą. Pamiętajmy, że w przypadku phishingu to właśnie ludzka ciekawość, zaufanie i chwilowa nieuwaga są najsłabszym ogniwem, które przestępcy nieustannie próbują wykorzystać.
ZOBACZ RÓWNIEŻ: