Jak rozpoznać i unikać oszustw phishingowych

W tej nowoczesnej erze globalizacji, gdzie ponad dwie trzecie populacji świata ma dostęp do wysyłania wiadomości tekstowych, dzwonienia z telefonu komórkowego i e-maili, liczby te mogą łatwo skłonić do wniosku, że ponad połowa ludności ziemi została wystawiona na próbę ataku phishingowego. Sugerowana ekspozycja wynika z faktu, że ataki phishingowe są przeważnie realizowane za pośrednictwem jednego z wymienionych mediów, przy czym e-maile są najczęstsze. Ostatecznym celem ataku phishingowego jest uzyskanie osobistych informacji ofiary, przy czym dane bankowe są największym skarbem. Ten artykuł opowie Ci wszystko o tym cyberzagrożeniu i pokaże, jak rozpoznać i unikać stania się ofiarą phisherów.

## Niezwykła mapa drogowa oszustw phishingowych

Głównym celem Phishingu jest zdobycie osobistych danych dostępowych do twoich kont finansowych. Chociaż oszuści na przestrzeni lat ewoluowali w zakresie stosowanych taktyk do oszukiwania osób, istnieją jednak pewne czerwone flagi, które mogą ujawnić telefony, teksty lub e-maile phishingowe za to, czym są — oszustwem!

• Phishing calls, emails, and text messages from seemingly trusted organizations. Have you everreceived an email, supposedly sent by your ‘account officer’ requesting for personal information such as your social security number and other banking details? It would interest you to find that those messages and emails are from phishers posing as the real organizations.  
• Phishing emails and texts often come with unfounded stories. The trick of such exciting stories is to arouse passion in the victim. A famous phishing attack to which several bank users fell victim requested customers to ‘please’ resend their last login details to update the bank database. This request came after a narration was made about how hackers recently attacked the bank’s data infrastructure.

Bardziej znaną historią, i łatwą do uwierzenia, są te, które twierdzą, że zauważono podejrzane próby logowania na twoje konto. Następnie użytkownikom radzi się zresetowanie hasła poprzez wypełnienie pewnych danych osobowych, zazwyczaj na fałszywej stronie internetowej, która została stworzona lub na faktycznej stronie, która została chwilowo przejęta.

Zazwyczaj, oto jak oszuści phishingowi podstępnie zbierają osobiste informacje ofiar:

1. They buy data of your subscription to online services, e.g., mobile numbers or email addresses.
2. Next, they create the bait in the form of deceptive emails, text, and fake websites to convince users that the messages are from organizations you are familiar with and trust.
3. The scammers send the messages in bulk to the initially purchased contacts, sometimes to thousands of users at a go.
4. The phishers use the data they can collect from ignorant recipients of the messages to make unauthorized purchases and acts using the victims’ account.

## Najczęstsze rodzaje phishingu i jak je rozpoznać

Phishing w żadnym wypadku nie ogranicza się tylko do wymienionych poniżej, ponieważ oszuści nieustannie zmieniają swoje taktyki; jednakże, rejestry szeroko zgłaszanych ataków phishingowych pomogą nam je sklasyfikować do następujących kategorii:

1. SMS phishing polega na przesyłaniu wiadomości tekstowych do użytkowników telefonów komórkowych, prosząc ich o kontakt z agentem obsługi klienta lub odwiedzenie organizacji za pomocą linku umieszczonego w tekście. Kliknięcie w link przenosi ofiary na stronę logowania lub okno dialogowe tekstowe, gdzie wymagane jest wprowadzenie danych osobowych, zanim uzyska się pełny dostęp do rzekomej strony internetowej lub zasobu. Ten typ ataku wzrasta, częściowo dlatego, że producenci telefonów komórkowych włączyli się w rewolucję internetową, produkując głównie smartfony.

Łatwym sposobem na rozpoznanie ataku phishingowego przez SMS jest to, że wiadomość zazwyczaj jest wysyłana z dziwnych numerów lub nawet zawiera źle sformułowane teksty.

2. Wiadomości phishingowe przez email są wysyłane za pośrednictwem poczty elektronicznej do niczego niepodejrzewających ofiar. Maile zazwyczaj są wysyłane jako uślepienie (BCC) do wielu adresów emailowych z logo i stopką skradzionymi z faktycznej organizacji lub osoby, która jest naśladowana. Ataki phishingowe przez email rzadko kończą się na samej wiadomości; odbiorcy wiadomości często są kierowani do odwiedzenia popularnej strony internetowej za pomocą linku tekstowego lub pobrania załącznika ze spamem zawartego w emailu. Na stronie docelowej dołączonego linku, ofiary są proszone o podanie danych osobowych. Strona internetowa może również spowodować automatyczną instalację złośliwego oprogramowania na komputerze, jak tylko strona zostanie załadowana. Zainstalowane złośliwe oprogramowanie phishingowe zbiera dane osobowe z komputera, smartfona lub urządzenia ofiary na wiele różnych sposobów:

• Recording user keystrokes while filling forms
• Assessing user cache and forwarding its contents to the remote assailant

Podobnie jak w przypadku phishingu SMS, dokładne przyjrzenie się adresowi e-mail nadawcy pomoże odbiorcy zidentyfikować i zgłosić złośliwe wiadomości jako atak phishingowy. Na przykład, oszust próbujący naśladować Obsługę Klienta Amazona może użyć adresu takiego jak – *[email protected]*. Prawdziwy e-mail od Amazona przychodziłby z domeną firmy, np. *[email protected]*. Ponadto, żadna dobrze zorganizowana organizacja nie poprosi o Twoje dane osobiste czy finansowe za pośrednictwem e-maila.

3. Spear phishing to bardziej strategiczny rodzaj oszustwa, który również wykorzystuje lukę w e-mailach. W porównaniu do phishingu mailowego, gdzie e-maile są wysyłane do wielu osób jako wiadomości masowe, spear phishing jest bardziej ukierunkowany. Pracownicy dostawców usług online lub agencji rządowych, którzy zostali oznaczeni jako mający dostęp do osobistych informacji wielu użytkowników, są głównymi celami spear phishingu.

Email wygląda na wysłany przez przełożonego lub szefa firmy, który prosi o dostęp do informacji użytkowników. W innych przypadkach wiadomość jest wysyłana z wyraźnie nieznanych źródeł, z magnetycznym nagłówkiem, na tyle intrygującym, że skłania odbiorcę do otwarcia wiadomości. Wiadomość zazwyczaj jest pusta i zawiera załącznik; ciekawość wtedy skłania odbiorcę do otwarcia załącznika i zainstalowania oprogramowania ransomware na komputerze.

Ofiary ataków typu spear phishing można porównać do głowy przysłowiowej Hydry. Dane zebrane podczas takich ataków są następnie wykorzystywane do przeprowadzenia ataku na dużą skalę na konta użytkowników powiązane z daną organizacją.

4. Phishing klonowy, jak sugeruje nazwa, polega na tym, że ofiara otrzymuje e-mail zawierający dokładnie tę samą treść, co wcześniej wysłana wiadomość od zaufanej organizacji; phisher jednak dołącza niepozorny link do złośliwego załącznika lub fałszywej strony internetowej. Jedyną różnicą jest to, że adres e-mail źródłowy jest nieznacznie zmodyfikowany i sprawia wrażenie bardzo podobnego do adresu początkowego nadawcy. Ta taktyka sprawia, że phishing klonowy jest najtrudniejszym do wykrycia typem.

5. Phishing typu whaling jest bardzo podobny do phishingu typu spear. Celem jest uzyskanie dostępu do wrażliwych lub osobistych informacji osób, które korzystają z usług organizacji. Jednak ataki typu whaling kierowane są na „wieloryby” w organizacjach – takie jak wysocy rangą kierownicy i członkowie zarządu.

6. Phishing pop-up jest bardzo podobny do wyskakujących reklam, które przerywają korzystanie z zmonetyzowanych stron internetowych. Phishing pop-up pojawia się jednak jako ostrzeżenie, a nie reklama; wyskakujące okienko informuje użytkownika o niezidentyfikowanym złośliwym dokumencie lub aplikacji, która zaraziła komputer. Następnie oferowana jest możliwość pobrania antywirusa, który wyeliminuje zagrożenie bez żadnych kosztów. Zainstalowanie takiego oprogramowania naraża komputer na ryzyko zainfekowania przez niechciane złośliwe oprogramowanie; zgłaszane zagrożenie jest przeważnie fałszywe.

## Ochrona przed staniem się ofiarą phishingu

W dobie handlu elektronicznego, aby uniknąć bycia ofiarą lub bycia wykorzystanym jako kanał do ujawniania wrażliwych danych związanych z Twoją organizacją, poniżej znajdują się niezawodne wskazówki, których należy przestrzegać.

• Backup your data. Having a copy of the vital data on your computer or smartphone backed up on external media is essential. If it does happen that you fall victim to a ransomware attack, the backup copy of your documents is safe on perhaps a cloud storage service or an external storage media that is not connected to your computer network.
• Use multi-stage user authentication. Phishers are always after account details like username and password. In situations where the second stage of authentication has been established for your sensitive accounts, having your password and username becomes inconsequential. An excellent example of multi-stage authentication is the confirmation code sent to your mobile contact when making bank transactions or log in. A biometric layer of authentication, like a fingerprint, eye, or face scans, are safe methods of safeguarding our accounts.
• Update devices with the latest security patches. The primary computer and smartphone manufacturers update their operating systems regularly to fix bugs and loopholes through which phishers have been identified to attack. Updating these devices will save technology users a lot of security headaches.
• Avoid opening suspicious messages. Note all the mentioned faults peculiar to phishing attacks. Check the content of emails carefully before clicking links, opening attachments, or filling accompanying forms. If compelled to confirm the integrity of any claim in an email, visit the company’s website directly, instead of going through a supplied link.

## Podsumowanie

W miarę jak obecność online wielu organizacji i użytkowników indywidualnych rośnie, istnieje większe prawdopodobieństwo, że phishing będzie narastał na skalę i wpływ. Jednak dzięki proaktywnym środkom ostrożności, jak sugeruje ten artykuł, użytkownicy internetu powinni odnieść sukces w wyprzedzaniu phisherów.