Słowo najczęściej pojawiające się w kontekście bezpieczeństwa danych w sieci – phishing. Co to jest i dlaczego należy go unikać? Prawdopodobnie nie raz zdarzyło się Tobie otrzymać dziwną wiadomość od znajomego na jednym z portali społecznościowych. Dziwną, bo zawierała prośbę o kliknięcie w podany link, co miałoby pomóc w bardzo ważnej sprawie. Wielu użytkowników daje się zwieść, wierząc, że otwarcie hiperłącza pomoże znajomemu. Podobnie działa phishing, dlatego w dzisiejszym artykule wyjaśniamy, co to jest oraz jak się przed nim zabezpieczyć. 

Phishing – co to jest?

Być może po krótkim wstępie rozumiesz już, co to jest phishing, ale konieczne jest doprecyzowanie definicji. Phishing jest rodzajem oszustwa internetowego, który polega na pozyskaniu od użytkownika danych osobowych lub innych poufnych informacji za pomocą podstępu, dzięki czemu przestępcy zyskują niezbędne dane logowania lub dane kart kredytowych. Oszuści wykorzystują w tym celu błędy popełniane przez użytkowników – nie muszą szukać luk w zabezpieczeniach, ponieważ aby nakłonić ofiarę do określonych działań, wystarczy podszyć się pod istniejącą już instytucję lub organizację, np. bank.

W jaki sposób odbywa się wyłudzanie poufnych danych? Przestępcy wysyłają do użytkowników fałszywe, ale wiarygodnie wyglądające maile zawierające link, który przekierowuje ofiarę na fałszywą stronę internetową. W treści maila znajdują się argumenty przekonujące do kliknięcia w hiperłącze (np. konieczność zaktualizowania danych), często pod groźbą utraty dostępu do konta. Link prowadzi do strony internetowej wyglądem przypominającej instytucję, pod którą podszywają się oszuści – przestępcy liczą na to, że użytkownik dobrowolnie wpisze potrzebne im informacje. Tym sposobem stajesz się ofiarą kradzieży danych osobowych. 

Pochodzenie nazwy

Termin phishing pochodzi od angielskiego słowa fishing, które oznacza łowienie ryb. Jaki związek istnieje między wędkarstwem a kradzieżą danych osobowych? Oszuści używają przynęt (w formie e-maili), za pomocą których łowią poufne informacje (hasła, dane kart kredytowych) w morzu internetowych użytkowników. Wędkarska metafora doskonale oddaje możliwości phishingu – wielu użytkowników nie nabierze się na próbę wyłudzenia danych, ale zawsze znajdzie się ktoś, kto bezmyślnie spełni oczekiwania oszustów. Dlaczego litera f została zastąpiona przez ph? Pisownia stanowi ukłon w stronę pierwszych form hakowania, czyli phreakingu, który oznacza łamanie zabezpieczeń sieci telefonicznych. Pojęcie phishingu po raz pierwszy zostało zarejestrowane w 1996 roku. Użył go Khan C. Smith, znany w latach dziewięćdziesiątych spamer i haker. W tym samym roku pierwsze zhakowane konta nazywano phish – oszuści podszyli się pod pracowników America Online (AOL), największego operatora internetowego w Stanach Zjednoczonych. Użytkownicy w wiadomościach e-mailowych zostali poproszeni o weryfikację kont lub potwierdzenie informacji. Problem phishingu stał się na tyle powszechny, że firma w kolejnych mailach dodawała informację o tym, że żaden z pracowników nie będzie prosił o hasło lub informacje rozliczeniowe. 

Jak rozpoznać phishing? 

Rozpoznawanie podejrzanych wiadomości nie zawsze jest proste – nie wystarczy wiedza, czym jest phishing, ponieważ oszuści uczą się wraz z użytkownikami. Oznacza to, że stosują coraz bardziej wymyślny kamuflaż, aby zwieść potencjalną ofiarę. Można jednak zadbać o bezpieczeństwo danych w Internecie, pamiętając o przestrzeganiu kilku prostych zasad i zachowywaniu ostrożności, gdy:

  • otrzymujesz wiadomość od osoby, którą rozpoznajesz, ale nigdy nie prowadziliście rozmowy,
  • treść wiadomości nie pokrywa się z Twoimi standardowymi obowiązkami zawodowymi,
  • wiadomość budzi w Tobie poczucie, że musisz zareagować, aby uchronić się np. przed usunięciem konta,
  • wiadomość zawiera podejrzanie wyglądające hiperłącza,
  • wiadomość zawiera nietypowe załączniki, które mogą skrywać złośliwe oprogramowanie,
  • w wiadomości pojawiają się błędy ortograficzne i stylistyczne,
  • wiadomość zawiera niespersonalizowane zwroty do adresata (np. drogi użytkowniku).

Niepokojące powinny być również działania ze strony banków, urzędów i operatorów sieci telefonii komórkowej, które jawnie naruszają bezpieczeństwo danych – wszelkie prośby, które wydają Ci się podejrzane, należy zignorować lub wcześniej skonsultować się z daną instytucją, aby potwierdzić konieczność wykonania określonej czynności. 

Jak chronić się przed phishingiem?

Podstawową ochroną przed phishingiem są dobre nawyki, które omówiliśmy w poprzedniej sekcji – jeżeli jesteś pracodawcą, zadbaj o edukację w zakresie bezpieczeństwa w sieci, uwrażliwiając zespół na potencjalne ryzyko i związane z tym konsekwencje. Warto więc zorganizować szkolenie dotyczące phishingu, które krok po kroku wyjaśni, na czym polegają oszustwa internetowe i jak ich unikać. 

Firmy oferujące usługi informatyczne umożliwiają przeprowadzenie bezpiecznej symulacji ataku phishingowego. Dzięki temu pracownicy mają okazję w kontrolowanych warunkach zapoznać się ze schematem działania oszustów, natomiast pracodawcy zyskują informacje dotyczące zachowania użytkowników, które w przyszłości mogą posłużyć jako materiał szkoleniowy. 

Wiedząc, czym jest phishing, możesz również zastosować odpowiednie narzędzia, które stanowią dodatkową ochronę przed oszustwami. Profesjonalne programy antywirusowe z modułem anty-phishingowym oraz systemy DLP (ang. Data Loss Prevention) skutecznie ograniczają ryzyko utraty danych. Niezbędne jest również wdrożenie uwierzytelniania dwuskładnikowego oraz zarządzanie tożsamością, co dodatkowo zabezpiecza dane logowania.

Metody działania cyberprzestępców

Dużym wyzwaniem jest phishing ukierunkowany, ale co to jest? Są to działania przygotowane z myślą o konkretnej osobie, dzięki którym powstaje spersonalizowane oszustwo. Przemyślany atak phishingowy jest trudniejszy do wykrycia, a tym samym dużo bardziej skuteczny. Ofiara może na przykład otrzymać spreparowaną wiadomość od pracodawcy z prośbą o realizację przelewu na konto, które w rzeczywistości należy do przestępcy.  

Inną metodą jest tworzenie maili w oparciu o prawdziwe wiadomości, które zawierają podmieniony link lub załącznik o szkodliwym działaniu. Clone phishing polega na wysyłaniu takiego e-maila z adresu udającego adres oryginalnego nadawcy. Podobnym działaniem jest przekazywanie wiadomości rzekomo pochodzących od banku lub urzędu, dzięki czemu e-mail staje się wiarygodniejszy. Między innymi z tego względu należy wyrobić w sobie nawyk sprawdzania linków i załączników, zanim się je otworzy. 

Podsumowanie

Phishing stanowi próbę wyłudzenia poufnych danych – przestępca, który pozyska niezbędne informacje, wykorzysta je dla osiągnięcia własnych korzyści. Mając świadomość, co to jest phishing, jesteś w stanie ograniczyć ryzyko utraty danych, a tym samym strat finansowych. Ochronę można wzmocnić, stosując odpowiednie narzędzia oraz prowadząc działania edukacyjne, np. w firmie, w której pracujesz – dzięki temu maleje skuteczność kolejnych ataków.