Zadzwoń Napisz
PHISHING
Direction » Jak rozpoznać phishing i co to jest?

Jak rozpoznać phishing i co to jest?

Phishing to rodzaj ataku socjotechnicznego, który polega na podszywaniu się pod zaufany podmiot lub osobę źródło w celu podstępnego wyłudzenia poufnych informacji lub nakłonienia ofiary do określonych czynności. Najczęściej odbywa się to za pomocą spreparowanych wiadomości e-mail lub SMS, które do złudzenia przypominają autentyczną korespondencję od zaufanego adresata. Przykładowo ofiara otrzymuje wiadomość wyglądającą jak od banku z prośbą o “pilne potwierdzenie danych” albo e-mail od rzekomego administratora z linkiem do aktualizacji hasła. Klikając taki link lub podając informacje, niczego nieświadoma osoba przekazuje dane bezpośrednio oszustom. 

Nazwa phishing pochodzi od angielskiego słowa fishing (łowienie ryb) – oszuści „zarzucają sieć” w internecie i liczą, że ktoś da się na nią złapać.  Atak phishingowy ma oszukać użytkownika, wykorzystując jego zaufanie lub brak ostrożności, i skłonić do ujawnienia informacji albo wykonania działania na korzyść przestępcy.

Phishing – wielowymiarowe zagrożenie współczesnego internetu

Phishing najczęściej kojarzy się z e-mailami, ale warto podkreślić, że obecnie przybiera on wiele różnych form. O ile pierwsze kampanie phishingowe (jeszcze z lat 90.) dotyczyły głównie poczty elektronicznej i prób kradzieży haseł do kont bankowych czy AOL, o tyle dziś cyberprzestępcy potrafią atakować wieloma kanałami komunikacji. Niestety, duża część społeczeństwa wciąż nie jest świadoma zagrożenia – co skrzętnie wykorzystują oszuści. Phishing to problem, który narasta i z którym każdy użytkownik internetu prędzej czy później się zetknie. Dlatego tak ważna jest profilaktyka i edukacja w tym zakresie, zwłaszcza że stawką jest bezpieczeństwo naszych danych i pieniędzy.

sygnalisci

Rodzaje ataków phishingowych

Phishing nie jest jednorodny – to cała rodzina metod oszustwa wykorzystujących różne techniki i kanały. Jakie są rodzaje phishingu? Poniżej przedstawiamy najpopularniejsze odmiany tego ataku oraz wyjaśniamy, czym się charakteryzują.

Email phishing (atak przez pocztę elektroniczną) 

Klasyczna i wciąż najczęstsza forma phishingu. Polega na wysyłaniu ofiarom fałszywych wiadomości e-mail, które wyglądają jak korespondencja od zaufanej instytucji (np. banku, firmy kurierskiej, dostawcy usług finansowych typu PayPal itp.). Taki phishingowy mail zawiera często profesjonalnie wyglądające logo i formatowanie, aby sprawiać wrażenie autentycznego. W treści zazwyczaj znajduje się prośba o podjęcie pilnego działania – na przykład kliknięcie w link prowadzący do strony logowania (rzekomo w celu weryfikacji konta) albo pobranie załącznika. Po kliknięciu ofiara trafia na fałszywą stronę (łudząco podobną do prawdziwej), gdzie wprowadza swoje dane logowania, które od razu trafiają w ręce przestępców. Celem może być też nakłonienie do pobrania załącznika zawierającego złośliwe oprogramowanie (np. wirusa, trojana) – jego uruchomienie zainfekuje komputer ofiary. Email phishing bywa bardzo przekonujący wizualnie, jednak zwykle zdradzają go drobne błędy.

Smishing (SMS phishing)

Co to jest smishing? Termin ten powstał z połączenia słów SMS i phishing i oznacza ataki phishingowe przeprowadzane za pomocą wiadomości SMS. W tym przypadku ofiara otrzymuje fałszywego SMS-a, podszywającego się np. pod bank, operatora płatności, firmę kurierską czy nawet instytucję publiczną. Treść takiej wiadomości często informuje o jakimś zdarzeniu wymagającym reakcji: np. “Twoja paczka nie mogła zostać doręczona – kliknij w link, aby zmienić termin dostawy” albo “Twoje konto bankowe zostanie zablokowane – potwierdź transakcję tutaj”. Wiadomość zawiera link (URL phishingowy) do strony internetowej. Jeśli odbiorca kliknie ten link, trafia na stronę wyłudzającą dane (np. formularz logowania do banku) lub stronę, która próbuje zainstalować na telefonie złośliwą aplikację. 

Smishing jest szczególnie niebezpieczny, bo SMS-y często wzbudzają mniej podejrzeń niż e-maile – użytkownicy są przyzwyczajeni do otrzymywania wiadomości od banków czy kurierów na telefon. Tymczasem oszuści wykorzystują ten fakt, a w wiadomościach SMS również potrafią umiejętnie podszyć się pod nadpis (np. “BankABC” jako nadawca). 

Co robić, aby nie dać się złapać na smishing?

Przede wszystkim stosować te same zasady ostrożności co w przypadku e-maili: nie klikać pochopnie w linki z SMS-a, zwłaszcza jeśli wiadomość wygląda podejrzanie lub dotyczy sprawy, o której nic nie wiesz (np. rzekoma niedopłata kilku złotych za przesyłkę, której się nie spodziewasz). Zawsze można zadzwonić do firmy (np. na infolinię banku czy kuriera) i potwierdzić, czy dana wiadomość jest prawdziwa.

Vishing (phishing telefoniczny) 

To odmiana phishingu wykorzystująca rozmowę telefoniczną (voice phishing – stąd nazwa vishing). W tym scenariuszu oszust dzwoni do ofiary, podszywając się np. pod pracownika banku, policjanta, przedstawiciela ZUS czy innej instytucji, i próbuje podstępem zdobyć informacje lub nakłonić do określonych działań. 

Często spotykany przykład vishingu w Polsce to tzw. oszustwo na policjanta lub na pracownika banku: przestępca informuje ofiarę, że jej pieniądze na koncie są rzekomo zagrożone atakiem i nakłania do przelania środków na “bezpieczne konto” (które oczywiście należy do oszusta) albo do podania kodów autoryzacyjnych, numeru karty kredytowej czy innych danych wrażliwych. Innym scenariuszem jest telefon z informacją o wygranej na loterii lub dopłacie do paczki, gdzie celem również jest wyłudzenie danych płatniczych. 

Vishing bazuje na podobnych mechanizmach psychologicznych co e-mail phishing – wykorzystuje zaufanie do instytucji i tworzy poczucie pilności lub zagrożenia. Oszuści często stosują tzw. spoofing telefoniczny, czyli fałszowanie numeru wyświetlanego na telefonie ofiary (np. podszywają się pod numer infolinii banku albo numeru zaczynającego się od +48 22…, by wyglądał jak stołeczny numer urzędowy). 

Jak chronić się przed oszustwem?

Nigdy nie należy podawać poufnych informacji przez telefon, jeśli nie mamy 100% pewności z kim rozmawiamy – bank nigdy nie poprosi Cię o hasło przez telefon, a policja nie zażąda natychmiastowego przelewu pieniędzy. W razie wątpliwości rozłącz się i samodzielnie skontaktuj z daną instytucją, by zweryfikować, czy dzwonili.

Spear phishing (ukierunkowany phishing) 

To szczególnie niebezpieczna odmiana ataku, w której wiadomość phishingowa jest dopasowana do konkretnej ofiary. Podczas gdy “zwykły” phishing jest masowy (ta sama przynęta wysyłana do tysięcy osób licząc, że ktoś się złapie), spear phishing przypomina polowanie z włócznią – atakujący wybiera konkretny cel i “mierzy” prosto w niego. Przestępcy przed wysłaniem takiej wiadomości zbierają informacje o ofierze z różnych źródeł (np. ze strony internetowej firmy, mediów społecznościowych, wcześniejszej korespondencji), a następnie tworzą bardzo przekonującą wiadomość. Ofiara odnosi wrażenie, że koresponduje z kimś znajomym – np. zaufanym kontrahentem, kolegą z pracy albo przełożonym – i przez to łatwiej daje się nabrać. 

Spear phishing jest często wymierzony w pracowników konkretnej firmy lub instytucji, aby uzyskać dostęp do wewnętrznych systemów IT, poufnych informacji lub infrastruktury. Przykładem spear phishingu może być e-mail rzekomo od dyrektora firmy do działu księgowości z poleceniem pilnej płatności na wskazany numer konta (to tzw. BEC – Business Email Compromise, czyli oszustwo “na przelew”). Innym przykładem jest wiadomość udająca korespondencję od partnera biznesowego z załączoną fakturą – po otwarciu okazuje się, że faktura jest zainfekowanym dokumentem, który instaluje malware na urządzeniu ofiary. 

W przypadku spear phishingu atak jest trudniejszy do rozpoznania, bo email wydaje się spersonalizowany i wiarygodny. Do szczególnie ukierunkowanych ataków tego typu zalicza się tzw. whaling (ang. whale – wieloryb), czyli polowanie na “grube ryby”. Whaling to spear phishing skierowany na osoby wysoko postawione, np. członków zarządu, kadrę kierowniczą najwyższego szczebla czy ważnych urzędników. Tego typu ataki są zwykle bardzo dobrze przygotowane i mogą narażać na poważne straty..

Co można znaleźć w dark necie?

Dark net to środowisko o wielorakich zastosowaniach, a oferta dostępna na czarnej stronie internetu jest bardzo zróżnicowana. Na darkwebie funkcjonują zarówno legalne, jak i nielegalne serwisy. Wśród legalnych zastosowań warto wymienić platformy, które umożliwiają swobodną wymianę informacji w krajach o restrykcyjnej cenzurze lub serwisy informacyjne, które zbierają niezależne dane o zagrożeniach cybernetycznych. Jednak znaczna część dark netu to miejsca, w których dokonuje się transakcji dotyczących nielegalnych towarów i usług – od handlu narkotykami, bronią, fałszywymi dokumentami, po kradzione informacje i dane osobowe.

Firmy powinny zwracać uwagę na to, że dark web jest miejscem, gdzie nielegalne działania nieustannie ewoluują. Wyszukiwarki darknet, choć działają inaczej niż ich standardowe odpowiedniki, umożliwiają odnalezienie ofert sprzedaży skradzionych informacji, dostęp do forów dyskusyjnych, na których omawiane są metody hakerskie oraz narzędzia służące do cyberataków. W kontekście zagrożeń, pytania takie jak „jak szukać w darknecie” czy „jak korzystać z darknetu” często pojawiają się w środowiskach przestępczych, gdzie analiza technik wykorzystania tej przestrzeni pozwala na identyfikację potencjalnych zagrożeń dla firm.

Skutki ataku phishingowego

Phishing może mieć poważne konsekwencje – zarówno dla osób prywatnych, jak i firm. Najczęstsze skutki to:

  • Kradzież pieniędzy – przestępcy mogą przejąć dostęp do konta bankowego lub karty i wyprowadzić środki.
  • Kradzież tożsamości – zdobyte dane osobowe mogą posłużyć do wyłudzania pożyczek, zakładania kont czy działalności przestępczej.
  • Przejęcie kont online – np. poczty, mediów społecznościowych, co umożliwia dalsze oszustwa lub szantaż.
  • Zainfekowanie urządzenia – phishing może dostarczyć złośliwe oprogramowanie (np. ransomware), które szyfruje dane i żąda okupu.
  • Ataki na organizacje – wyłudzone dane pracowników umożliwiają włamanie do firmowych systemów i kradzież danych.
  • Straty finansowe i prawne – firmy ponoszą koszty incydentu, a także ryzykują kary i utratę reputacji.

Testowanie systemów i budowanie cyberodporności

Cyberzagrożenia, takie jak phishing, stale się rozwijają, dlatego organizacje muszą nieustannie wzmacniać swoją cyberodporność – zdolność do zapobiegania atakom, szybkiego reagowania i powrotu do normalnego działania po incydencie. Właśnie dlatego niezbędne jest regularne testowanie systemów – zarówno IT, jak i OT – poprzez testy penetracyjne, oceny podatności oraz symulacje ataków, w tym kampanie phishingowe skierowane do pracowników. 

Takie działania pozwalają wykryć słabe punkty i poprawić procedury bezpieczeństwa, zanim wykorzysta je prawdziwy napastnik. Równie ważna jest edukacja – szkolenia i symulacje uczą pracowników rozpoznawania zagrożeń i odpowiednich reakcji. Właściwym wsparciem dla tych działań jest plan reagowania na incydenty, który określa konkretne kroki w przypadku ataku, np. odcięcie zainfekowanego sprzętu od sieci czy uruchomienie kopii zapasowych. Wzmocnienie odporności powinno objąć również systemy OT, które choć często odizolowane, mogą zostać zaatakowane przez phishing jako wektor przenoszący zagrożenie z sieci biurowej. 

Równolegle trzeba budować kulturę bezpieczeństwa – atmosferę, w której pracownicy nie boją się zgłaszać incydentów, lecz są świadomi swojej roli w ochronie organizacji. Cyberodporność to nie jednorazowe działanie, lecz ciągły proces doskonalenia, wymagający zaangażowania całej firmy.

Szkolenia
Polecamy

Kontakt

DIRECTION A. Strycharz, P. Strycharz Sp. z o.o.

Gajnik 16 B, 57-530 Międzylesie

tel. +48 697 888 954+48 693 168 756

e-mail: [email protected]

Przewijanie do góry