Szczegoly

Za pośrednictwem wiadomości e-mail i SMS przestępcy bezpośrednio kontaktują się konsumentami, podszywając się pod różnego typu instytucje (banki, firmy telekomunikacyjne, urzędy, etc.) w celu zdobycia danych osobowych lub pieniędzy. Może to być np. wiadomość z prośbą o podanie informacji o karcie kredytowej w celu jej uwierzytelnienia pod groźbą natychmiastowego unieważnienia lub wiadomość z linkiem do zresetowania hasła do konta bankowego.

Warto upewnić się, że znamy wszystkie oznaki wiadomości mającej na celu wyłudzenie informacji. Mniej wyrafinowane próby oszustw nie są trudne do zauważenia – często zawierają błędy ortograficzne i gramatyczne, używają nieformalnego powitania i próbują wywołać poczucie pilności działania. Nawet jeśli wiadomość e-mail wygląda na wiarygodną, należy sprawdzić adres e-mail nadawcy: jeśli domena nie pasuje do organizacji, z której rzekomo pochodzi wiadomość, to z dużą dozą prawdopodobieństwa jest to wiadomość fałszywa. Warto przyjrzeć się domenie, która na "pierwszy rzut oka" wygląda na autentyczną – przykładowo może zawierać cyfrę "0" w miejscu, gdzie powinna znajdować się litera "O".

Nie należy klikać w linki do witryn, ani pobierać załączników – może to doprowadzić do zainstalowania złośliwego oprogramowania na urządzeniu lub przekierowania na oszukańczą witrynę. Można najechać kursorem na link, aby zobaczyć docelowy adres URL. Jeśli nie ma pewności, czy wiadomość e-mail lub SMS pochodzi z wiarygodnego źródła, warto sprawdzić numer nadawcy dzwoniąc pod numer telefonu podany na oryginalnej (prawdziwej) stronie internetowej.

Niektóre próby phishingu są bardziej zaawansowane i trudniejsze do zidentyfikowania. Przykładowo "spear-phishing" jest wymierzony w określone osoby i może wykorzystywać informacje, które oszust uzyskał na temat odbiorcy, np. z mediów społecznościowych. Dzięki temu oszukańcza wiadomość wydaje się bardziej wiarygodna. Jeśli wiadomość taka ma nietypowy ton lub zawiera nieoczekiwane lub nietypowe żądanie, istnieje duża szansa, że jest fałszywa.

Z ogólnego punktu widzenia niemal 90% naruszeń bezpieczeństwa rozpoczyna się od phishingu lub spear-phishingu, narażając co 15 osobę na konsekwencje interakcji z cyberprzestępcą.

Niezależnie od tego, czy w organizacji zostały wdrożone procedury ATP (ang. Advanced Threat Protection) i czy organizacja stosuje najnowszy sprzęt i oprogramowanie zapewniające bezpieczeństwu danych, wyróżnia się cztery typy najpopularniejszych ataków phishingowych, których wspólnym mianownikiem jest tzw. "czynnik ludzki":

1. Deceptive Phishing
   Jest to najczęściej występujący typ ataku phishingowego i odnosi się do każdego ataku, w którym osoba atakująca podszywa się pod "legalną" organizację lub instytucję w celu kradzieży danych osobowych lub danych logowania. Zwykle link w phishingowej wiadomości e-mail prowadzi do "fałszywej" witryny z adresem URL, który przypomina oryginalny (oficjalny) adres URL znanej organizacji (jest niemal identyczny – zwykle różni się jedną literą).
2. Spear Phishing
   Spear-phishing to spersonalizowany sposób, w jaki hakerzy dokonują ataku. Zwykle wiadomości spear-phishingowe dostosowują swój przekaz do imienia, nazwiska, stanowiska lub innych danych osobowych dostępnych publicznie za pośrednictwem firmowych witryn internetowych lub platform mediów społecznościowych. Ich celem jest nakłonienie do kliknięcia w odnośnik "fałszywej" witryny lub otwarcia załącznika instalującego złośliwe oprogramowanie. Najprostsze ataki spear-phishingowe odnoszą się do codziennych czynności operacyjnych, które występują w setkach organizacji.
3. CEO Fraud
   Oszustwa na tzw. "dyrektora generalnego" lub kierownictwo wyższego szczebla ma miejsce, gdy osoba atakująca skutecznie uwiarygadnia swoją wiadomość powołując się na dane osobowe decydentów organizacji. Atakujący wysyła wiadomości z fake-owego konta e-mail do pracownika działu księgowości, które jest niemal identyczne jak oryginalny e-mail prezesa organizacji, z prośbą o wykonanie przelewu za "sfabrykowaną" fakturę. Tego typu ataki rzadko uruchamiają filtry antyspamowe, ponieważ nie są rozsyłane masowo, przez co ofiary są starannie wybierane przez atakującego.
4. Malware-Based Phishing
   Phishing oparty na złośliwym oprogramowaniu ma miejsce, gdy osoba atakująca wysyła ofierze załącznik do wiadomości e-mail lub plik do pobrania, który wykorzystuje luki w zabezpieczeniach atakowanego komputera. Kliknięcie w załącznik lub link do pobrania pliku zwykle instaluje złośliwe oprogramowanie na urządzeniu ofiary, np. wirusy, robaki, konie trojańskie, ransomware lub inne złośliwe oprogramowanie. Często oprogramowanie to rozprzestrzenia się na inne komputery w sieci organizacji.

Co zrobić, jeśli padło się ofiarą oszustwa phishingowego? W pierwszej kolejności należy sprawdzić jakie dane zostały naruszone. Od typu danych i ich istotności zależy dalsze postępowanie. Jeśli skradziono Twoje dane do logowania do bankowości elektronicznej, zresetuj jak najszybciej hasło do konta (i wszystkich innych kont, do których używasz tych samych danych logowania). Jeśli utraciłeś kartę płatniczą lub wykradziono jej dane, natychmiast zastrzeż ją w najbliższej placówce banku lub w bankowości elektronicznej. Jeśli Twoje urządzenie zostało zainfekowane złośliwym oprogramowaniem, uruchom skanowanie urządzenia programem antywirusowym. Jeśli padłeś ofiarą phishingu w pracy natychmiast powiadom o tym kolegów z działu IT u swojego pracodawcy.