Phishing coraz groźniejszy

Prezentujemy jakie najnowsze triki stosują oszuści by mimo stosowania coraz lepszych zabezpieczeń, fałszywe wiadomości e-mail dotarły do użytkowników.

Mimo stosowania coraz lepszych zabezpieczeń fałszywe wiadomości e-mail wciąż docierają do skrzynek pocztowych. Szukając lepszego rozwiązania, zaczyna się większą wagę przykładać do edukowania użytkowników. Dlatego warto poznać, jakie najnowsze triki stosują oszuści.

Pierwsze ataki określane mianem phishingu pojawiły się ponad dekadę temu, a ich celem było wykradanie danych uwierzytelniających od nieświadomych zagrożenia użytkowników. Mimo upływu czasu o phishingu nadal jest głośno. Nie bez powodu. To proste oszustwo polegające na wysyłaniu spreparowanych wiadomości e-mail wciąż jest powszechne i efektywne. Niemal każdy użytkownik poczty elektronicznej otrzymuje takie fałszywe wiadomości, a większość potrafi je również rozpoznać. Jednak według szacunków ok. 23% pracowników daje się oszukać, a 11% osób, które otworzyły taką wiadomość, otworzyło również niebezpieczny załącznik. Liczba unikalnych, fałszywych wiadomości sięga setek tysięcy każdego roku. W 2014 r. Anti-Phishing Working Group (APWG) informowała, że w czwartym kwartale tego roku zarejestrowano aż 197 252 unikalny typy ataków, co oznaczało wzrost o 18% w stosunku do poprzedniego kwartału. W tamtym roku oszuści podszywali się aż pod 300 znanych marek, aby skłonić użytkowników do wykonania instrukcji zawartych w fałszywych wiadomościach. Od tamtego czasu sytuacja tylko się pogarsza. Nowoczesne ataki phishing przekształciły się w precyzyjnie celowane kampanie, np. na klientów czy pracowników określonej firmy. Celem bywają nie tylko loginy i hasła, ale również poufne firmowe dane (w tym kontekście szczególnie głośno było o atakach na RSA oraz rząd USA).

Zobacz również:

  • FBI ostrzega - masowy atak phishingowy w USA
  • Rosyjski cyberterroryzm może zostać uznany za zbrodnię wojenną

Nie pomaga nawet to, że firmy od lat korzystają z bramek filtrujących wiadomości e-mail, a niektóre inwestują także w technologie uwierzytelniania wiadomości (np. Sender Policy Framework czy DomainKeys Identified Mail). Te zabezpieczenia skutecznie odfiltrowują spam i inne niechciane wiadomości, ale phishing ewoluował i oszuści potrafią obejść te zabezpieczenia. Ostatnią linią obrony pozostaje użytkownik, który musi otworzyć taką podejrzane wiadomość.

Niebezpieczne strony

Obok wiadomości e-mail istotnym elementem oszustw są spreparowane strony internetowe, mające do złudzenia przypominać witryny prawdziwych banków czy innych organizacji. Według raportów APWG liczba tych stron jest jednak znacznie mniejsza niż unikalnych, fałszywych wiadomości e-mail. Ponadto przeglądarki internetowe mają wbudowany mechanizm ich blokowania (strona jest blokowana po zgłoszeniu jej jako służącej wyłudzaniu danych). Mimo to nie należy lekceważyć tego zagrożenia.

Na początku 2014 r. wprowadzono możliwość korzystania z szeregu nowych domen TLD (Top Level Domain), np. .science, .club czy .london. Zamierzeniem było umożliwienie firmom działającym w określonych branżach lub w danej lokalizacji rejestracji odpowiednich domen bez ograniczania się do takich adresów, jak .pl, .com czy .biz. Niestety tę inicjatywę wykorzystali również oszuści, używając domen TLD do rozsyłania spamu czy przechowywania spreparowanych stron WWW. Takie domeny, m.in. ułatwiają zdobycie zaufania ofiary. Według ekspertów z firmy Kaspersky nowe domeny TLD niemal natychmiast po wprowadzeniu stały się narzędziem oszustów. Przykładowo, z domeny .work wysyłano fałszywe oferty pracy, a z domeny .science ogłoszenia różnych placówek oświatowych.

Najlepiej poznać wroga

Oszuści uciekają się do różnych trików, aby uśpić czujność użytkowników. Dlatego następuje przesunięcia środka ciężkości z technologii zabezpieczających w kierunku szkoleń użytkowników, nawet jeśli nie jest to doskonałe rozwiązanie. Świadomość zagrożenia w pewnym stopniu przekłada się na poprawę sytuacji. Organizacje mogą pokazać swoim pracownikom, jakie są charakterystyczne cechy fałszywych wiadomości e-mail i stron internetowych.

Do najczęstszych należą:

• Nietypowy adres URL, który różni się od adresów stosowanych przez firmy. Oszuści stosują proste triki, np. zamiast litery „l” w adresie jest liczba „1” (a11egro.pl zamiast allegro.pl). Zamiast protokołu HTTPS używają nieszyfrowanych połączeń HTTP. Ponadto pojedyncza fałszywa strona internetowa może być dostępna pod tysiącami różnych adresów URL prowadzących do jednej lokalizacji.

• Wyskakujące okienka (pop-up), żądające od użytkownika podania loginu i hasła. Przykładowo, wiadomość od oszusta może odesłać użytkownika na prawdziwą stronę internetową, na której zostanie otwarty pop-up mający wyłudzić dane uwierzytelniające.

• Literówki w treści wiadomości lub na fałszywej stronie internetowej.

Wielu ekspertów uważa wręcz, że najlepszym sposobem nauki jest przeprowadzenie symulowanego ataku, w którym potencjalna ofiara znajdzie się w sytuacji możliwie podobnej do prawdziwego ataku. Na szczęście bez konsekwencji, jaki dla ofiary lub jej pracodawcy miałby prawdziwy atak.

Nie ma lepszej obrony przed zagrożeniem niż edukacja i wyposażenie zagrożone osoby w potrzebną wiedzę. Dlatego warto też przyjrzeć się technikom najczęściej stosowanym przez oszustów.

Poczta głosowa

Rosnąca liczba wirtualnych PBX’ów i programów komputerowych umożliwiających wykonywanie połączeń telefonicznych powodują, że użytkownicy przyzwyczaili się do otrzymywania komunikatów poczty głosowej jako załączników do wiadomości. Poczta głosowa z natury przekazuje pilne komunikaty, co może powodować uśpienie czujności użytkowników i skłonić ich do nieuważnego kliknięcia.

Elektroniczny faks

Podobnie jak w przypadku poczty głosowej, również w przypadku faksów jest pewna presja na komunikację, a jednocześnie użytkownikom ten rodzaj komunikacji nasuwa historyczne konotacje z czasów, kiedy faksy przesyłano linia telefonicznymi, które z natury rzeczy nie były kojarzone ze szkodliwym oprogramowaniem. Pracownicy w środku pracowitego dnia mogą nie zastanowić się dwa razy przed kliknięciem odnośnika prowadzącego do fałszywego faksu (może to być również załącznik do wiadomości e-mail, który zostanie otwarty przez roztargnionego użytkownika).

Komunikacja firmowa

Niezależnie, czy chodzi o prośbę o zrobienie przelewu czy zaległe płatności, wszelkie kwestie związane z pieniędzmi z reguły są pilne. Otrzymując wiadomość tego typu, użytkownik może dać się przekonać do otwarcia załącznika czy kliknięcia odnośnika w wiadomości e-mail. To wystarczy, żeby w komputerze zainstalował się malware.

Ostrzeżenia

Ten trik jest najpowszechniejszy – użytkownik otrzymuje wiadomość z informacją o kradzieży z jego karty kredytowej lub konta bankowego. W takich przypadkach należy otworzyć przeglądarkę i ręcznie wpisać adres strony internetowej instytucji finansowej i dopiero na tej stronie użyć formularza kontaktowego. Można również zadzwonić na infolinię, aby zweryfikować treść otrzymanej wiadomości. Phishing adresowany do klientów instytucji finansowych to według raportu firmy Kaspersky nieco ponad 37% wszystkich raportowanych przypadków oszustw. Popularnym celem jest również branża ubezpieczeń.

Regularnie pojawiają się doniesienia o atakach na klientów polskich banków. Złodzieje próbowali, m.in. wyłudzić dane do logowania do bankowości internetowej od klientów mBanku. Na losowo wybrane adresy e-mail wysyłali podrobione wiadomości z prośbą o pilne zalogowanie się do systemu transakcyjnego. Sytuacja jest na tyle poważna, że niektóre banki udostępniają na swoich stronach internetowych poradniki, jak nie dać się oszukać.

Alerty bezpieczeństwa

To oszustwo to odmiana schematu wykorzystującego ostrzeżenie. W tym przypadku fałszywe wiadomości zawierają informację, np. o zablokowaniu konta w wyniku nieautoryzowanego dostępu i konieczności podjęcia określonych czynności, aby je odblokować. Biorąc pod uwagę, że użytkownicy otrzymują teraz takie ostrzeżenia, ten atak może być groźny.

Faktury

Oszustwa związane z fakturami mogą wykorzystywać różne mechanizmy wyciągania pieniędzy. Przykładowo, użytkownik może zapłacić nieistniejącemu dostawcy lub kliknąć odnośnik w fałszywiej wiadomości – w takich przypadkach skutkiem będzie utrata pieniędzy.

Prezent

Użytkownicy najczęściej kojarzą fałszywe wiadomości z próbami sprzedaży. Psychologicznie, zupełnie inaczej traktuje się oferty otrzymania czego. Jeśli więc użytkownik odbierze wiadomość z informacją o niespodziewanym prezencie (np. w formie biletu lotniczego, paczki, itp.), często odruchowo kliknie, aby uzyskać więcej informacji.

Potwierdzenie zamówienia

Ludzie są przyzwyczajeni do otrzymywania takich powiadomień i nie przyglądają się im zbyt uważnie, więc stosunkowo łatwo o pomyłkę. Dodatkowo oszuści podszywają się pod popularne marki, aby uśpić czujność użytkowników. Za przykład może posłużyć nowy atak wykorzystujący zaufanie użytkowników do Google. Celem tej kampanii było wykradanie danych dostępowych do różnych usług tej firmy. Przygotowane przez oszustów fałszywe strony były umieszczane w Google Drive. Jeśli użytkownik kliknął odnośnik w otrzymanej wiadomości, otwierała się spreparowana strona logowania, ale udostępniania z platformy Google i dostępna poprzez protokół HTTPS, co mogło usypiać czujność. Wprawdzie Google usunął fałszywe strony, ale możliwość wykorzystywania usługi Google Drive do udostępniania takich stron może zburzyć zaufanie internautów do tej firmy.

Serwisy społecznościowe

Naturalna ciekawość to cecha, którą oszuści często wykorzystują. Większość użytkowników po otrzymaniu wiadomości zachęcającej do zawarcia znajomości w popularnym serwisie internetowym kliknie, żeby przynajmniej sprawdzić, kto to jest. Tymczasem w większości fałszywych wiadomości kliknięcie odnośnika wyzwala proces pobrania i zainstalowania w komputerze szkodliwego oprogramowania. Częstą praktykę oszustów jest umieszczanie dodatkowo odnośników prowadzących do właściwych stron, aby w ten sposób rozwiać wątpliwości adresatów.

W jednym z ostatnich ataków oszuści wykorzystali, tzw. dislike button – nową funkcjonalność, której wprowadzenie zapowiadał Facebook. Oszuści przygotowali baner zapraszający użytkownika do wzięcia udziału w ankiecie, za wypełnienie której nagrodą miał być dostęp do tej funkcji. W rzeczywistości ankieta służyła tylko zbieraniu danych osobowych.

Atrakcyjne propozycje

Oferty pracy, spotkania dla singli, zniżki na leki czy inne niespodziewane propozycje mogą mieć przykre konsekwencje, jeśli kliknie się odnośnik lub otworzy załącznik. To jeden z najstarszych trików, ale przybierający coraz to nowe formy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200