Polityka i prawo
#CyberMagazyn: Phishing. Co zrobić, gdy złapaliśmy się na przynętę cyberprzestępców?
Phishing to zagrożenie, które może dotknąć każdego w dowolnej chwili. Skutki braku ostrożności w wielu przypadkach są bardzo poważne. Jakie są motywacje cyberprzestępców? Jak zachować się w momencie otrzymania złośliwej wiadomości? Co zrobić, gdy „złapaliśmy przynętę” zostawioną przez oszustów?
Pod pojęciem „phishing” należy rozumieć rodzaj cybertaku, podczas którego wykorzystywane są wiadomości e-mail lub SMS, zawierające najczęściej linki do fałszywych witryn internetowych lub załączniki z zainfekowanymi plikami. Tego typu kampanie bazują na inżynierii społecznej – autorzy cyberataku starają się nas oszukać, abyśmy postępowali zgodnie z ich zamiarami. Dlatego też podszywają się pod operatorów komórkowych, przedstawicieli administracji, firmy kurierskie – z reguły podmioty, jakie uznajemy za godne zaufania.
Potwierdza to także Bartosz Biderman z Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego CSIRT KNF. Jak wyjaśnia, mówimy o bardzo prostym rodzaju cyberataku, który nie wymaga od oszustów specjalistycznej wiedzy technicznej.
Phishing (...) jest to rodzaj ataku opartego na inżynierii społecznej i manipulacji ofiarą. Phishing jest bardzo prostym rodzajem ataku cybernetycznego, nie wymaga od atakującego czy od grup przestępczych zaawansowanej wiedzy technicznej.
Sama nazwa „phishing” nawiązuje do gry słów – podczas wymowy od razu kojarzy się z angielskim słowem „fishing”, czyli łowieniem ryb. Osoby stojące za tego typu atakami to „wędkarze”, którzy, wykorzystując odpowiednio przygotowane „przynęty” (fałszywe SMS-y, e-maile itd.), chcą zapełnić swoje sieci.
Cyberprzestępcy. Co nimi kieruje?
Mówimy o zagrożeniu, które może dotknąć każdego z nas. Codziennie w sieci pojawiają się ostrzeżenia dotyczące nowych kampanii – a to cyberprzestępcy podszywają się pod dostawcę usług energetycznych, a to operatorów komórkowych, a to firmy kurierskie… Przykłady można mnożyć. Widzimy więc, że oszuści co rusz poszukują nowych sposób, aby zaskoczyć i wykorzystać nasze słabe punkty (jak ciekawość czy strach) dla własnych celów. Przez nieuwagę, pośpiech lub stres możemy dać się złapać w cyberprzestępcze „sieci”.
Phishing jest obecnie jednym z najpopularniejszych narzędzi używanych przez grupy cyberprzestępcze lub podmioty powiązane z państwem (sponsorowane lub działające na jego zlecenie). „Grupy takie działają w wielu krajach, często współpracują ze sobą lub pracują jednocześnie na terenie kilku państw. Dostępne metody animizacji w znaczący sposób utrudniają identyfikację i namierzenie członków poszczególnych grup. (...) Analitycy cyberbezpieczeństwa wiążą poszczególne grupy z konkretnymi państwami, jednak większość powiązań pozostaje w sferze przypuszczeń” – wyjaśnia Bartosz Biderman na łamach CyberDefence24.pl.
Głównym motywem cyberataków tego rodzaju są względy finansowe. Taki stan rzeczy potwierdza Mateusz Szymaniec, ekspert z Zespołu Analiz Bieżących Zagrożeń CERT Polska. Według niego, wrogie podmioty mogą realizować cele zarobkowe poprzez m.in. rozsyłanie linków do:
- fałszywych witryn płatności, służących do np. kradzieży danych uwierzytelniających do bankowości elektronicznej);
- fikcyjnych witryn logowania w celu przejęcia naszych kont w social mediach (z myślą o np. wyłudzeniu od znajomych płatności BLIK-iem);
- nieprawdziwych paneli logowania dom serwisów streamingowych, które po przejęciu i zmianie danych są sprzedawane przez przestępców po niższych cenach niż oficjalne;
- spreparowanych paneli logowania i przejęcia kont, z których można ukraść wirtualne przedmioty (np. platformy gamingowe).
Zarówno przestępców jak i aktorów państwowych interesuje uzyskanie dostępu do naszej prywatnej i służbowej skrzynki pocztowej oraz innych kont. Fałszywe panele logowania mogą łudząco przypominać te wykorzystywane w naszej organizacji: panele logowania do poczty elektronicznej, kont Microsoft i Google, itd. Przestępcy mogą użyć przejętych kont do wyłudzenia środków finansowych albo żądać okupu za upublicznienie albo odszyfrowanie wykradzionych informacji. Mogą one także pozwolić na eskalację dostępu w ramach organizacji. Aktorzy państwowi dodatkowo mogą wykorzystać pozyskane dane w kampaniach dezinformacyjnych.
Warto także mieć na uwadze, że w wiadomościach może znajdować się zainfekowany załącznik zamiast linka. Jego uruchomienie powoduje, że na naszym urządzeniu zainstalowane zostanie złośliwe oprogramowanie. Za pomocą wirusa cyberprzestępcy mogą uzyskać bezpośredni dostęp do bazy danych oraz sieci, do której sprzęt jest podłączony.
Omawiając zagrożenie, jakim jest phishing, nie można odnieść się do jego specyficznej odmiany, czyli spear phishingu. „Określenie to odnosi się do precyzyjnego ataku wymierzony w konkretną osobę, mający na celu pozyskanie dostępu do infrastruktury lub informacji niejawnych danej firmy, ugrupowania lub administracji państwa” – wskazuje CSIRT KNF.
Jak nie dać się podejść?
Zalecamy przede wszystkim ostrożność i zdroworozsądkowe podejście. Zwracajmy uwagę na najmniejsze szczegóły odbieranych przez nas wiadomości – sprawdzajmy pisownię, nadawców, czy adresy w linkach nie budzą żadnych kontrowersji. Jeśli jest cokolwiek, co budzi naszą wątpliwość, powinna od razu nam się zapalić „czerwona lampka”.
Nie liczmy na to, że spadek po zagranicznym milionerze trafi na nasze konto albo, że dostawca energii elektrycznej będzie informował nas o zaległościach w płatności wiadomością SMS wraz z aktywnym do kliknięcia linkiem.
Często w treści używane są sformułowania, które mają skłonić nas do natychmiastowej reakcji, ponieważ zaniechanie może wiązać się z poważnymi konsekwencjami, jak np. odłączeniem prądu czy wszczęciem postępowania na policji. W takich sytuacjach zachowajmy chłodną głowę i nie działajmy pochopnie.
Za każdym razem, gdy strona prosi nas o wpisanie danych uwierzytelniających powinniśmy sprawdzić czy domena danego portalu jest prawidłowa. Domena to nazwa zawierająca się pomiędzy “https://”, a pierwszym kolejnym znakiem “/”.
Z kolei jak radzi Bartosz Biderman z CSIRT KNF, nigdy i nikomu nie podawajmy loginów i haseł do bankowości elektronicznej. „Tym bardziej osobom, których nie znamy, a które kontaktują się z nami przez telefon. Nawet, jeśli podają się za pracowników banku, a w telefonie wyświetla nam się prawdziwy numer banku” – apeluje ekspert. „Przestępcy dysponują metodami, aby >>podstawić<< taki numer w naszym telefonie. Jeżeli cokolwiek wzbudza nasze podejrzenie, najlepszym rozwiązaniem jest rozłączyć się, udać się do placówki bankowej i tam zasięgnąć porady” – dodaje.
Według przedstawiciela sektorowego CSIRT-u brak pochopnych ruchów jest dla nas korzystne. Jak ostrzega, cyberprzestępcy stosujący phishing będą starali się wywierać presję, a my poddając się jej, nie jesteśmy w stanie myśleć rozsądnie i rozważnie oraz prawidłowo ocenić sytuację. Z drugiej jednak strony, oszuści obawia się szybkiej reakcji zespołów dbających o bezpieczeństwo w sieci, takich jak zespół – CSIRT KNF, czy CERT Polska. Widzimy więc, że czas działa tutaj na naszą korzyść.
Należy także stosować się do podstawowych zasad cyberhigieny. CERT Polska radzi, aby wszędzie tam, gdzie to tylko możliwe, a zwłaszcza w poczcie elektronicznej, social mediach oraz bankowości internetowej, stosować uwierzytelnianie dwuskładnikowe. „Najlepszym drugim składnikiem jest token sprzętowy U2F, ponieważ jest on z założenia odporny na ataki z fałszywymi panelami logowania” – wskazuje na naszych łamach Mateusz Szymaniec.
Pomocne jest także sprawdzenie, czy otrzymana przez nas treść nie krąży już gdzieś w internecie. „W sytuacji, gdy nie jesteśmy pewni tego, czy dany e-mail jest prawdziwy, warto wpisać w wyszukiwarce internetowej jego treść. Przy większych kampaniach phishingowych użytkownicy internetu ostrzegają siebie nawzajem” – wskazuje Bartosz Biderman z CSIRT KNF. Radzi, abyśmy nie byli obojętni wobec zagrożenia i jeśli tylko trafimy na phishing, informujmy naszych znajomych o wrogiej kampanii (np. za pomocą social mediów).
Warto również śledzić konta takich podmiotów jak CERT Polska czy CSIRT KNF na mediach społecznościowych (Twitter, LinkedIn czy Facebook). To tam zamieszczane są aktualne i najświeższe informacje dotyczące kampanii phishingowych.
Trafiliśmy na phishing. Jak się zachować?
Wszelkie tego typu podejrzane wiadomości należy zgłaszać odpowiednim podmiotom. Jednym z nich jest zespół CERT Polska, który zajmuje się m.in. sprawdzaniem czy dane treści rzeczywiście stanowią zagrożenie. Jeśli tak, specjaliści wskażą konkretne działania, jakie należy podjąć – wszystko jednak zależy od rodzaju zagrożenia. Incydenty można zgłaszać poprzez internetowy formularz na stronie: https://incydent.cert.pl/ lub przesłanie podejrzanej wiadomości SMS-em na numer 799-448-084.
Warto także zwrócić uwagę na „Listę Ostrzeżeń”, prowadzoną przez CERT Polska. Trafiają na nią domeny ze złośliwymi stronami, używanymi podczas cyberataków (np. phishingowych). Korzystają z niej głównie operatorzy telekomunikacyjni do ochrony swoich abonentów, ale można ją także wdrożyć na prywatnych urządzeniach. Lista znajduje się pod linkiem: https://cert.pl/posts/2020/03/ostrzezenia_phishing/.
W przypadku ataku na nasze konta służbowe należy również niezwłocznie powiadomić dział bezpieczeństwa w naszej firmie.
Co zrobić, gdy daliśmy się podejść cyberprzestępcom?
Samo kliknięcie w link jeszcze nic nie oznacza. Wtedy dopiero jesteśmy przekierowywani na fałszywą stronę. Przebywanie na niej również nie jest niebezpieczne. „Czasy, w których większość ataków na internautów polegała na wykorzystywaniu błędów w przeglądarkach internetowych i ich wtyczkach od razu po wejściu na stronę na szczęście minęły – głównie dzięki zwiększonym nakładom na bezpieczeństwo producentów przeglądarek oraz wycofaniem wtyczek Flash i Silverlight” – tłumaczy dla naszego portalu Mateusz Szymaniec.
Problem zacznie się wtedy, gdy pójdziemy o krok dalej. „Konkretny sposób postępowania w przypadku ataku phishingowego zależy od jego typu” – mówi ekspert CERT Polska.
W momencie, gdy podamy dane logowania na fałszywej witrynie należy natychmiast zmienić hasło. Pamiętajmy, że wiele serwisów umożliwia wyświetlenie listy aktywnych sesji – wszelkie nieznane nam sesje bezzwłocznie zakończmy.
Z kolei, jeśli chodzi o incydent z wykorzystaniem linków do fikcyjnego panelu płatności (m.in. OLX czy bramki płatności) – cyberprzestępcy mogą wyłudzić pieniądze tylko wtedy, gdy podamy w wyświetlonym panelu dane logowania do bankowości internetowej lub dane karty płatniczej. „Jeżeli doszło do podania tego typu danych, należy jak najszybciej skontaktować się z bankiem w celu zabezpieczenia konta i/lub zablokowania karty płatniczej” – radzi Mateusz Szymaniec. Bartosz Biderman z CSIRT KNF tłumaczy, że w przypadku szybkiej reakcji istnieje prawdopodobieństwo, że uda nam się zablokować wychodzące transakcje lub zablokować wypłatę środków z konta.
W momencie, gdy jest już za późno i oszuści wykradli z naszego konta środki, o wszystkim powinniśmy zawiadomić organy ścigania, np. udać się na najbliższy komisariat policji.
A co jeśli nasze urządzenie zostało zawirusowane? Wtedy należy użyć oprogramowania antywirusowego w celu przeskanowania systemu. Pamiętajmy jednak, że nawet wykrycie i usunięcie wirusa nie daje nam gwarancji bezpieczeństwa. „Najpewniejsze będzie przywrócenie stanu urządzenia do momentu sprzed infekcji albo całkowite przywrócenie do ustawień fabrycznych” – tłumaczy na łamach naszego portalu Mateusz Szymaniec.
Nie bój się też mówić o próbie kradzieży. Ostrzeż swoich znajomych, zwłaszcza osoby szczególnie narażone na ataki phishingowe – osoby starsze i dzieci.
Tekst powstał w ramach cyklu #CyberPaździernik. Cyberbezpieczeństwo dotyczy nas wszystkich – niezależnie od wykonywanego zawodu i wykształcenia czy miejsca zamieszkania. Nie zapominajmy o tym – nie tylko w październiku, który jest „Europejskim Miesiącem Cyberbezpieczeństwa”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.