Phishing

5 minut czytania

5 minut czytania

Phishing to forma ataku inżynierii społecznej, w której przestępca podszywa się pod zaufaną instytucję, aby uzyskać poufne informacje od ofiary.

Czym jest phishing?

Technika wykorzystywana do zdobywania cennych danych użytkowników, które mogą być sprzedane lub użyte przez atakujących do niecnych celów, takich jak wymuszenia, kradzież pieniędzy czy kradzież tożsamości.


Czy kiedykolwiek otrzymałeś e-mail, SMS lub inną formę komunikacji elektronicznej, która wyglądała na wysłaną przez bank lub inną popularną usługę online, z prośbą o „potwierdzenie” danych konta, numeru karty kredytowej lub innych poufnych informacji? Jeśli tak, to już wiesz, jak wygląda typowy atak phishingowy.

Pochodzenie terminu

Koncepcja phishingu została po raz pierwszy opisana w 1987 roku w referacie konferencyjnym autorstwa Jerry'ego Felixa i Chrisa Haucka zatytułowanym „System Security: A Hacker’s Perspective” (1987 Interex Proceedings 1:6). Opisano w nim technikę atakującego, który imituje renomowaną instytucję lub usługę. Samo słowo jest homofonem „fishing” (łowienie) na ofiary – wykorzystuje tę samą logikę „przynęta-złowienie”. „Ph-” na początku jest nawiązaniem do „phreaks” – grupy hakerów, którzy w latach 90. eksperymentowali z systemami telekomunikacyjnymi i nielegalnie eksplorowali ich granice.

Podziel się informacjami i udostępnij

Jak działa phishing?

Phishing istnieje od lat, a w tym czasie atakujący opracowali szeroki wachlarz metod, aby celować w ofiary.

Najczęstszą techniką phishingu jest podszywanie się pod bank lub instytucję finansową za pomocą e-maila, aby zwabić ofiarę do wypełnienia fałszywego formularza w treści wiadomości lub w załączniku, albo do odwiedzenia strony internetowej, która prosi o wprowadzenie danych konta lub danych logowania.

Dowiedz się więcej

Informacje skradzione ofiarom są zazwyczaj wykorzystywane do opróżnienia ich kont bankowych lub sprzedawane online.

Podobne ataki mogą być przeprowadzane również za pomocą rozmów telefonicznych (vishing) oraz wiadomości SMS (smishing).

Spear phishing

Bardziej zaawansowana metoda phishingu, w której pozornie autentyczne wiadomości phishingowe trafiają do skrzynek odbiorczych określonych grup, organizacji, a nawet osób indywidualnych. Autorzy e-maili spear phishingowych przeprowadzają szczegółowe badania na temat swoich celów z wyprzedzeniem, co sprawia, że trudno jest zidentyfikować treść jako fałszywą.

Whaling

Ataki skupiające się na konkretnych, głównie wysoko postawionych osobach ze świata biznesu – takich jak najwyżsi menedżerowie czy właściciele firm – nazywane są „whaling” (polowanie na wieloryby), ze względu na potencjalnie dużą wartość wyłudzenia (atakujący polują na „grubą rybę”).

Jak rozpoznać phishing?

W przeszłości do tego celu często używano błędnie napisanych lub wprowadzających w błąd nazw domen. Dziś atakujący stosują bardziej zaawansowane metody, przez co linki i fałszywe strony internetowe bardzo przypominają swoje autentyczne odpowiedniki.

E-mail lub wiadomość elektroniczna mogą zawierać oficjalne loga lub inne oznaki renomowanej organizacji, a mimo to pochodzić od oszustów. Poniżej znajduje się kilka wskazówek, które mogą pomóc w rozpoznaniu wiadomości phishingowej.

Podejrzane znaki

  1. Ogólne lub nieformalne powitania – jeśli w wiadomość brakuje personalizacji (np. „Szanowny Kliencie”) i formalnego języka, prawdopodobnie coś jest nie tak. To samo dotyczy pseudo-personalizacji z użyciem losowych, fałszywych numerów referencyjnych.
  2. Prośba o podanie danych osobowych – często stosowana przez oszustów, zazwyczaj unika się jej w bankach, instytucjach finansowych i większości usług online.
  3. Niewłaściwa gramatyka – błędy ortograficzne, literówki i nietypowe sformułowania często wskazują na fałszywą wiadomość (choć brak tych błędów nie jest dowodem na autentyczność).
  4. Niespodziewana korespondencja – nieoczekiwany kontakt od banku lub dostawcy usług online jest wysoce nietypowy, a zatem podejrzany.
  5. Poczucie pilności – wiadomości phishingowe często próbują wymusić szybkie i mało przemyślane działania.
  6. Oferta, której nie możesz odrzucić? – jeśli wiadomość brzmi zbyt dobrze, aby była prawdziwa, prawie na pewno jest oszustwem.
  7. Podejrzana domena – czy bank z USA lub Niemiec naprawdę wysłałby e-mail z chińskiej domeny?

Jak chronić się przed phishingiem?

Aby uniknąć złapania się na przynętę oszustów, zwracaj uwagę na powyższe wskaźniki, które często zdradzają wiadomości typu phishing. Postępuj zgodnie z tymi prostymi krokami:

Bądź świadomy nowych technik phishingowych.

Śledź doniesienia medialne o atakach phishingowych, ponieważ oszuści mogą opracować nowe techniki, aby zwabić użytkowników w pułapkę.

Nie udostępniaj swoich danych osobowych

Zawsze bądź czujny, jeśli wiadomość elektroniczna od rzekomo zaufanej instytucji prosi o Twoje dane logowania lub inne poufne informacje.

Zastanów się dwa razy zanim klikniesz

Jeśli podejrzana wiadomość zawiera link lub załącznik, nie klikaj ani nie pobieraj go. Może on kierować do złośliwej strony internetowej lub zainfekować Twoje urządzenie złośliwym oprogramowaniem.

Regularnie sprawdzaj swoje konta online

Nawet jeśli nie podejrzewasz, że ktoś próbuje ukraść Twoje dane, monitoruj swoje konta bankowe i inne konta online pod kątem podejrzanej aktywności. Lepiej dmuchać na zimne.

Używaj niezawodnego rozwiązania antyphishingowego.

Zainstaluj i aktualizuj oprogramowanie antyphishingowe, aby chronić się przed atakami.

Znane przykłady

Systematyczny phishing rozpoczął się w sieci America Online (AOL) w 1995 roku. Aby ukraść prawdziwe dane logowania, atakujący kontaktowali się z ofiarami za pośrednictwem AOL Instant Messenger(AIM), często udając pracowników AOL weryfikujących hasła użytkowników. Termin „phishing” pojawił się na grupie dyskusyjnej Usenet, która skupiała się na narzędziu o nazwie AOHell, automatyzującym tę metodę, nazwa ta przyjęła się. Po wprowadzeniu przez AOL środków zaradczych w 1997 roku, atakujący zrozumieli, że mogą użyć tej samej techniki w innych częściach internetu i zaczęli podszywać się pod instytucje finansowe.

Inne przykłady z przeszłości

Jedna z pierwszych dużych, choć nieudanych prób, miała miejsce w 2001 roku, wykorzystując chaos po atakach terrorystycznych z 11 września. Oszuści wysyłali e-maile do niektórych ofiar, prosząc o weryfikację tożsamości, próbując wykorzystać uzyskane dane do kradzieży danych finansowych z cyfrowej usługi walutowej e-gold.

Zaledwie trzy lata później phishing zyskał mocną pozycję w świecie online, a do a do 2005 roku kosztował użytkowników w USA ponad 900 milionów dolarów.

Zgodnie z raportem APWG Global Phishing Survey, w 2016 roku zaobserwowano ponad 250 000 unikalnych ataków phishingowych, wykorzystujących rekordową liczbę złośliwie zarejestrowanych nazw domen - przekraczającą 95 000. W ostatnich latach oszuści skupiają się na bankowości, usługach finansowych i płatniczych, klientach e-commerce oraz na danych logowania do sieci społecznościowych i e-maili.

ESET chroni Cię przed phishingiem

ESET HOME Security Premium

Potężna, wielowarstwowa ochrona umożliwiająca szyfrowanie wrażliwych danych, łatwe zarządzanie hasłami, zabezpieczenie transakcji online i nie tylko. Przyjazne dla użytkownika rozwiązanie zapewniające większą prywatność w Internecie. Zabezpiecza urządzenia z systemami Windows, macOS, Android i iOS.

 

Najwyższej jakości zabezpieczenie cyfrowe
dla biznesu

Chroń stacje robocze, dane biznesowe i użytkowników swojej firmy
dzięki wielowarstwowej technologii ESET.

Najwyższej jakości zabezpieczenie cyfrowe dla biznesu

Chroń stacje robocze, dane biznesowe i użytkowników swojej firmy dzięki wielowarstwowej technologii ESET.

Chcesz wiedzieć więcej?

Śledź nas, aby otrzymywać najnowsze
wskazówki i aktualności

Śledź nas, aby otrzymywać najnowsze wskazówki i aktualności