Phishing 2.0: najnowsze techniki i jak oszukują cyberprzestępcy

utworzone przez | niedziela, 29.12.2024, 00:23 | Blog, Cybersecurity

Phishing 2.0 - najnowsze techniki i jak oszukują cyberprzestępcy

Phishing, niestety, nie jest reliktem przeszłości – wręcz przeciwnie, ewoluuje w zastraszającym tempie. Cyberprzestępcy nie śpią i ciągle wymyślają nowe sposoby, aby wyłudzić od nas dane. W tym artykule zagłębimy się w świat Phishingu 2.0, aby zrozumieć najnowsze techniki i przede wszystkim – jak nie dać się nabrać! Przejdziemy przez różne aspekty tego zagrożenia, począwszy od najnowszych trendów i metod ataku, aż po konkretne kroki, które możemy podjąć w celu ochrony.

Co to Jest Phishing 2.0 i Czym Różni Się od Klasycznego Phishingu?

Klasyczny phishing, znany od lat, opierał się na masowym rozsyłaniu podejrzanych e-maili. Schemat działania był dość prosty: fałszywe linki w wiadomościach e-mail prowadziły ofiary na stronę łudząco podobną do autentycznej, na której naiwny użytkownik, po wpisaniu swoich danych, stawał się ofiarą kradzieży tożsamości lub kont. Natomiast Phishing 2.0 to zupełnie inny poziom. Cyberprzestępcy stali się bardziej wyrafinowani i spersonalizowani w swoich atakach. Już nie wystarczy wysłać miliona przypadkowych maili – nowe ataki opierają się na inżynierii społecznej i dokładnie spreparowanych taktykach manipulacji.

Jak ewoluował phishing?

  • Wyższa personalizacja: Phishing 2.0 nie jest przypadkowym ostrzałem mailami. To bardzo starannie przemyślane ataki, dostosowywane pod konkretną ofiarę (atakujący często zbierają informacje o celu z publicznie dostępnych źródeł – Facebook, Instagram, LinkedIn). Przykładowo, mogą powoływać się na naszą ostatnią interakcję z firmą czy nawet niedawne zakupy.
  • Zaawansowane techniki oszustwa: Ataki są coraz trudniejsze do odróżnienia od oryginalnych wiadomości. Cyberprzestępcy bez skrupułów naśladują oficjalne komunikaty banków, firm kurierskich, platform mediów społecznościowych i sklepów online, czy też pracodawców. Czasem wręcz identycznie!
  • Nowe wektory ataku: E-maile to nie jedyne kanały. Hakerzy chętnie sięgają po SMS-y, komunikatory, media społecznościowe i co ciekawe, nawet dzwonią! W ich arsenale pojawiają się coraz to nowe techniki podszywania i manipulacji.
  • Wykorzystywanie emocji: Cyberprzestępcy atakują nasze emocje i wykorzystują nasze ludzkie słabości – strach, chciwość, pośpiech i strach przed utratą. Współczesne techniki phishingu, na szczególnie dobrze oddziałują na ludzką psychikę.

Najnowsze Techniki Phishingu 2.0

Przyjrzyjmy się najnowszym taktykom wykorzystywanym przez cyberprzestępców w Phishingu 2.0:

  • Spear Phishing: Atakowanie z dużym rozmachem odeszło w zapomnienie, teraz napastnicy skupiają się na konkretnych celach – prezesach, księgowych czy administratorach sieci w konkretnej firmie. Przygotowują ataki bardzo starannie – dokładnie znają ofiarę, w rezultacie czego wiadomości brzmią niezwykle autentycznie.
  • Whaling: Celem ataków są “grube ryby” – menedżerowie najwyższego szczebla i inne osoby zajmujące wysokie stanowiska w firmie. Atakujący wykorzystują nie tylko maile, ale również zaawansowane narzędzia manipulacyjne, by oszukać ofiarę.
  • Phishing telefoniczny (Vishing): Coraz częściej zamiast maili, oszuści dzwonią z informacją o “podejrzanym przelewie”, konieczności dopłaty, albo “ważnej przesyłce”, próbują wzbudzić emocje i manipulując ofiarą, wyciągnąć poufne informacje (dane do banku, numer karty kredytowej, hasła czy PESEL). Złodziej, udając pracownika infolinii lub innej ważnej instytucji, w profesjonalny sposób i wzbudzając zaufanie próbuje dokonać wyłudzenia danych lub pieniędzy.
  • SMS Phishing (Smishing): Popularny “przewiń i zapomnij” doczekał się nowej formy wyłudzenia. Phishing przenosi się do SMS-ów. W treści wiadomości znajdujemy krótkie linki, obietnice nagród czy ponaglenia. Jest to szczególnie niebezpieczne ze względu na to, jak na telefonach zachowujemy się – często jesteśmy mniej uważni niż podczas pracy na komputerze. Zaskoczeni czy przytłoczeni zalewem SMS-ów jesteśmy znacznie łatwiejszą ofiarą oszustów.
  • Fałszywe strony logowania: Phishing wykorzystuje bardzo wierne kopie prawdziwych stron internetowych. Cyberprzestępcy wnikliwie odtwarzają układ graficzny znanych i szanowanych firm i organizacji. Na takiej fałszywce po podaniu swoich danych stajemy się automatycznie ofiarami cyberprzestępców, którzy zyskują natychmiastowy dostęp do naszego konta.
  • Ataki “man-in-the-middle” (MITM): Oszuści potrafią przechwytywać komunikację między ofiarą a serwisem. Przechwytują komunikację na łączu internetowym i zmieniają komunikaty np. podmieniają numer konta do wpłat, a tym samym przejmują wysłaną ofierze kwotę. Jest to zaawansowany i skomplikowany atak wymagający pewnej wiedzy technicznej, który trudno jest wykryć bez pomocy wyspecjalizowanych narzędzi i czujności!
  • Wykorzystanie socjotechniki: Oszuści nie idą na łatwiznę! Dokładnie studiują media społecznościowe i profile ofiar, zdobywają informację o preferencjach, a następnie wykorzystują je w oszustwach. Podstawą są techniki manipulacyjne bazujące na wiedzy o psychologii człowieka. Podatność ofiary na phishing potęgowana jest działaniem pod wpływem pośpiechu lub paniki. Ataki socjotechniczne wykorzystujące strach czy zaskoczenie są bardzo skuteczne!
  • QR Code Phishing (Quishing) – wykorzystywanie kodów QR jako pułapki to nowość. Na nieznanych i zaufanych ulotkach i dokumentach można teraz znaleźć również kody QR, które zamiast na strony internetowe prowadzą w pułapkę phishingu. Hakerzy podszywają się pod np. firmę kurierską – chcemy sprawdzić, gdzie znajduje się nasza paczka.

Jak Rozpoznać i Chronić się przed Phishingiem 2.0?

Ochrona przed phishingiem 2.0 wymaga nie tylko wiedzy technicznej, ale przede wszystkim dużej ostrożności:

1. Weryfikuj Nadawców:

  • Zawsze sprawdzaj adres e-mail nadawcy.
  • Nie ufaj ogólnym powitaniom – fałszywe maile rzadko zaczynają się od imienia i nazwiska! Zastanów się też, dlaczego wiadomość jest taka ogólnikowa i czego konkretnie dotyczy.
  • Jeśli wiadomość pochodzi z banku, zadzwoń na oficjalną infolinię banku i upewnij się, że jest autentyczna. Nie reaguj na hasła w mailu czy SMS-ie.

2. Uważaj na Linki i Załączniki:

  • Zawsze wpisuj adres strony w pasku przeglądarki ręcznie. Unikaj klikania w podejrzane linki. Link w mailu, to zaproszenie do potencjalnej pułapki.
  • Nigdy nie otwieraj załączników od nieznanych nadawców – szczególnie tych w formatach takich jak *.exe czy *.zip.

3. Używaj dwuskładnikowego uwierzytelniania (2FA):

  • Włącz 2FA wszędzie tam, gdzie to możliwe. Nawet jeśli oszust zdobędzie Twoje hasło, trudniej mu będzie zalogować się do Twojego konta.
  • To dodatkowe zabezpieczenie, gdzie logując się na koncie potrzebne jest nam hasło i kod, wysłany na nasz telefon komórkowy, które chroni nas nawet w sytuacji wycieku hasła.

4. Aktualizuj Oprogramowanie:

  • Utrzymuj aktualne system operacyjny, aplikacje i przeglądarkę internetową. Najnowsze wersje aplikacji zawierają załatanie luk, które są często wykorzystywane przez oszustów.
  • W przypadku starszego oprogramowania aktualizację trzeba często przeprowadzić ręcznie. W innym wypadku nasze oprogramowanie będzie luką wykorzystywaną do działań hakerskich.

5. Zgłaszaj Podejrzane Maile i Wiadomości SMS:

  • Wystarczy zwykła chęć pomocy. Twoje działanie, czyli zgłoszenie fałszywego linku, czy podejrzanej wiadomości może pomóc uchronić przed atakiem innych użytkowników Internetu.
  • Reaguj. W wielu systemach i programach możesz znaleźć opcję “zgłoś spam”.
  • Szerzenie świadomości na ten temat może pomóc ustrzec niejedną osobę od kradzieży tożsamości lub oszustwa!

6. Zadbaj o swoją “higienę cyfrową”:

  • Nie klikaj pochopnie w linki – czytaj wiadomości z uwagą, nie spiesz się, analizuj. Jeżeli to możliwe sprawdź numer nadawcy, czy informacje są ogólnikowe, co pisze w treści podejrzanego maila czy SMS-a. Zawsze warto zadzwonić do nadawcy.

7. Edukacja:
Regularne szkolenia dla pracowników to bardzo ważne i znacząco podnoszą bezpieczeństwo Twojej firmy i twoich danych. Wyedukowany i świadomy pracownik jest naszą najlepszą ochroną! Więcej na temat bezpieczeństwa w sieci znajdziesz w naszym artykule Cyberbezpieczeństwo nr 1 – przewodnik do bezpieczeństwa w sieci.

FAQ – Najczęstsze Pytania o Phishing 2.0

  • Czy każdy może paść ofiarą phishingu? Niestety, tak. Z racji na swoją skalę, złośliwe techniki dotykają wszystkich użytkowników internetu bez względu na poziom zaawansowania i umiejętności. Najważniejsze są świadomość, edukacja i zapobieganie.
  • Czy phishing zawsze oznacza kradzież pieniędzy? Niekoniecznie. Chociaż wyłudzenie pieniędzy jest najczęstszym motywem, to równie często celem phishingu jest kradzież danych osobowych, haseł lub przejęcie kont w mediach społecznościowych. Cyberprzestępcy uzyskane dane często sprzedają na tak zwanym “Darknecie”.
  • Co zrobić, gdy podejrzewam, że padłem ofiarą phishingu? Jak najszybciej zmień hasła na kontach, zablokuj kartę, jeżeli dane Twojej karty zostały ujawnione oszustom. Zgłoś sprawę odpowiednim organom ścigania i/lub na policji. Bądź bardzo ostrożny w tym, co klikasz i na jakie linki wchodzisz. Jeżeli podałeś jakieś dane, poinformuj jak najszybciej swój bank! Ostatnią i najważniejszą rzeczą, jaką należy zrobić to zdobywać jak najwięcej wiedzy na temat zabezpieczeń cybernetycznych i sposobów ochrony przed atakami phishingowymi. Jeżeli jesteś zainteresowany sprawdzeniem bezpieczeństwa swoich systemów, rozważ przeprowadzenie testów penetracyjnych.

Podsumowanie

Phishing 2.0 to realne zagrożenie w cyfrowym świecie. Cyberprzestępcy nie spoczywają na laurach i atakują na wiele sposobów, ale nasza wiedza, ostrożność i podejmowane działania mogą nas przed nimi uchronić. Oczywiście wymaga to naszej czujności. Na szczęście przestępcy atakują powtarzalnie, często w bardzo schematyczny sposób i tylko w taki sposób jesteśmy w stanie wygrać walkę ze cyberprzestępczością. O bezpieczeństwo w cyberprzestrzeni należy dbać każdego dnia! Pamiętaj również, że oprócz Phishingu, w sieci czekają na Ciebie inne zagrożenia jak np. ataki Ransomware, dlatego zachęcamy do zapoznania się z naszym artykułem o tym niebezpieczeństwie i sposobach jak zabezpieczyć firmę przed ransomware. Jeżeli interesują cię zaawansowane ataki, to sprawdź też jak chronić się przed atakami APT.

Phishing 2.0 to nie jest zagrożenie przyszłości – to codzienność. Pamiętajmy, że wiedza i profilaktyka to najpotężniejsza broń w walce z oszustami.

Źródła

  1. CERT Polska – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego: Oficjalna strona Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego w strukturach NASK. Zawiera aktualne ostrzeżenia o zagrożeniach, w tym phishingowych: https://cert.pl/posts/2023/04/phishing-webmail/
  2. NASK (Naukowa i Akademicka Sieć Komputerowa): Strona NASK, gdzie znajdziemy informacje o projektach i działaniach z zakresu bezpieczeństwa sieci w Polsce: https://www.nask.pl/pl/
  3. Federal Bureau of Investigation (FBI) – Common Fraud Schemes: Sekcja strony FBI poświęcona najpopularniejszym schematom oszustw, w tym phishingowi: https://www.fbi.gov/scams-and-safety/common-fraud-schemes
  4. Stay Safe Online – Stop Think Connect: Kampania edukacyjna na temat cyberbezpieczeństwa z cennymi wskazówkami, m.in. o ochronie przed phishingiem: https://staysafeonline.org/
  5. Europol – Cybercrime: Strona Europejskiego Urzędu Policji (Europol) dotycząca cyberprzestępczości. Zawiera dane i informacje o walkach z zagrożeniami w sieci: https://www.europol.europa.eu/crime-areas/cybercrime