Phishing to podstawowa metoda oszustwa komputerowego. Polega on na oszukaniu ofiary poprzez podszywanie się pod inną osobę lub instytucje w celu wyłudzenia poufnych informacji np. danych do logowania do sieci komputerowej lub portalu bankowości internetowej. Phishing bardzo często wykorzystywany jest w celu instalacji złośliwego oprogramowania na komputerze ofiary będąc tym samym pierwszym etapem zaawansowanego ataku na infrastrukturę IT organizacji.

Sam phishing to jedno ze starszych zagrożeń cybernetycznych, które wywodzi się jeszcze z lat 90-tych XX wieku. Od ponad dwudziestu lat nie zmieniła się podstawowa metoda działania cyberprzestępców wykorzystujących ataki phishingowe.

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA
• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Pomimo upływu wielu lat i znaczącym rozwoju technologii informacyjnych, phishing nadal jest jednym z potężniejszych typów ataków. Wszystko w związku z wykorzystywaniem socjotechnik do oszukiwania ludzi, a więc najsłabszego elementu systemu zabezpieczeń stosowanego w obecnych czasach.

Pomimo wielu kampanii uświadamiania z zakresu cyberbezpieczeństwa wyrafinowane ataki phishingowe mogą pochwalić się niezwykle wysokim współczynnikiem powodzenia. Wystarczy chwila nieuwagi, aby w pośpiechu kliknąć w zainfekowany link i skompromitować dane do logowania. Często użytkownicy nawet niewiedzą, że przekazali swoje dane, przez co udane ataki phishingowe pozostają bardzo często wykryte na późnym etapie - już po wyrządzeniu znaczących szkód w infrastrukturze informatycznej lub po wycieku danych.

Aktualnie jednym z najnowszych trendów w atakach cybernetycznych jest wykorzystywanie phishingu w modelu usługowym. Czym jest Phishing-as-a-Service?

Phishing-as-a-Service - ataki cybernetyczne również korzystają z modeli subskrypcyjnych

W dzisiejszych czasach coraz popularniejsze są rozliczenia w modelu subskrypcyjnym. W ten sposób kupujemy oprogramowania oraz dostęp do popularnych usług streamingowych. Również cyberprzestępcy zdecydowali się wykorzystać model subskrypcyjny w swojej pracy.

Phishing-as-a-Service to usługa, którą można wykupić w sieci, aby doświadczeni cyberprzestępcy przygotowali do przeprowadzenia udany atak phishingowy w zamian za z góry określoną opłatę. Oznacza to, że atak phishingowy może być wykonany na zlecenie osoby, które nie zna się na przeprowadzaniu tego typu ataków, co znacząco rozszerza dostępność phishingu i sprawia, że staje się on jeszcze bardziej niebezpieczny.

Phishing-as-a-Service dystrybuowany jest jak klasyczne oprogramowanie w modelu subskrypcyjnym np. niezwykle popularny pakiet usług biurowych Microsoft 365 (dawniej Office 365) lub Adobe Creative Cloud (dostęp do aplikacji Adobe Photoshop, Ilustrator oraz innych). W zamian za opłatę użytkownik otrzymuje gotowy produkt, wsparcie techniczne oraz dalsze aktualizacje/zmiany. W przypadku Phising-as-a-Service usługą jest atak phishingowy ściśle dostosowany do wymagań kupującego.

Nowy model subskrypcyjny znacząco ułatwia dostęp do ataków phishingowych dla wszystkich zainteresowanych osób. Z drugiej strony jest dodatkowym, szybkim i skutecznym zastrzykiem gotówki dla osób trudniących się atakowaniem systemów informatycznych.

Jak działa Phishing-as-a-Service?

Techniczne działanie kampanii Phishing-as-a-Service nie różni się od klasycznych ataków phishingowych. Usługa ta reklamowana jest jako gotowy atak phishingowy, a dystrybucja odbywa się najczęściej w Dark Webie lub poprzez zaufaną sieć kontaktów. Wybrane zestawy phishingowe dostępne są jednak również w Internecie.

Gotowy zestaw phishingowy zawiera wszystko, co jest potrzebne do przeprowadzenia udanego ataku phishingowego. W zestawie znajdują się szablony wiadomości e-mail do wysyłania do atakowanych osób, które wydają się pochodzić od legalnych firm, a także szablony stron internetowych, na które można przekierowywać potencjalne ofiary. Niektóre zestawy phishingowe zawierają również listy potencjalnych celów - bazy mailingowe kontaktów, które warto zaatakować.

Zestawy dystrybuowane jako Phishing-as-a-Service projektowane są specjalnie dla osób nie posiadających umiejętności technicznych w przeprowadzaniu ataków cybernetycznych. Wraz z wszystkimi niezbędnymi elementami dostarczana jest przejrzysta instrukcja obsługi przeprowadzająca użytkownika krok po kroku przez cały proces przygotowania i wykonania ataku typy phishing.

Zestawy phishingowe reklamowane są jako produkty, które pozwalają łatwo zarabiać na przeprowadzaniu ataków phishingowych bez względu na umiejętności osoby przeprowadzającej atak. Jest to popularna usługa dla osób, które chcą zaangażować się w cyberprzestępczość, ale brakuje im niezbędnej wiedzy lub nie mają czasu, aby ją zdobyć.

Zagrożenia związane z Phishingiem w modelu usługowym

Usługi typy Phishing-as-a-Service znacząco ułatwiają rozpoczęcie przygody z atakami cybernetycznymi, czym przyciągają rzesze nowych użytkowników pragnących w łatwy sposób wzbogacić się na cudzym nieszczęściu.

Do przeprowadzenia ataku nie jest potrzebna znajomość języka HTML, umiejętności programistyczne, ani wiedza na temat socjotechnik i metod manipulacji.

Phishing-as-a-Service pozwala osobom, które są dobre w projektowaniu zestawów phishingowych, czerpać zyski z tej działalności bez przeprowadzania jakichkolwiek ataków phishingowych, przez co nie są one zagrożone szukaniem przez organy ścigania. Jeśli osoba korzystająca z zestawu phishingowego zostanie złapana, osoba, która dostarczyła zestaw phishingowy, prawdopodobnie uniknie aktu oskarżenia. Może ona wtedy spokojnie kontynuować sprzedaż swoich zestawów innym osobom. Dzięki przekazywaniu gotowych zestawów przy jednoczesnym braku osobistego przeprowadzania ataków Phishing-as-a-Service jest świetnym sposobem dla cyberprzestępców na bezpieczne wzbogacenie się bez narażania się na nieprzyjemności.

Niestety wprowadzenie Phishingu-as-a-Service znacząco przyczynia się do wzrostu ataków phishingowych oraz stale pogarszającej się sytuacji związanej z bezpieczeństwem cybernetycznym w sieci.