Phishing to metoda oszustwa, która polega na podszyciu się pod zaufaną instytucję bądź osobę (np. bank, firmę kurierską czy osobę publiczną) w celu nakłonienia ofiary do wykonania czynności na korzyść atakującego np. podanie danych do logowania. Według raportu rocznego za rok 2021, CERT Polska obsłużył aż 22 575 incydentów związanych z phishigiem, co zakwalifikowało to cyberzagrożenie jako jedno z najpopularniejszych w roku 2021.
Jeśli mówimy o phishingu, często do czynienia mamy z masową wysyłką wiadomości. Istnieje jednak kilka rodzajów popularnego phishingu i warto je rozróżniać.
Ataki phishingowe bardzo ewoluowały na przestrzeni ostatnich lat. Nie są już to nieudolne wiadomości, które bardzo odbiegają od prawdziwych wiadomości, a wygląd stron nie przypomina tych realnych. Dodatkowo coraz częściej wiadomości phishingowe są wykorzystywane do rozsyłania złośliwego oprogramowania, które może prowadzić do ataku ransomware.
Aktualnie atakujący w trakcie tworzenia kampanii phishingowych wykorzystują różne techniki, aby ukryć swoje prawdziwe zamiary. Są to m.in. browser in the browser, atak homograficzny czy wykorzystanie zaufanych stron do osadzania złośliwego oprogramowania. Popularność phishingu zawdzięcza się również dużej liczbie automatycznych narzędzi, które są w stanie przygotować całą kampanię phishingową – nie trzeba być więc programistą czy znawcą technologii, aby przygotować taką kampanię. Dodatkowo, w tzw. darknecie coraz częściej spotyka się „Phishing as a Service” czyli strony, na których za opłatę subskrybcyjną mamy dostęp do wielu szablonów popularnych stron czy fałszywych bramek płatnicznych, w których to możemy wyłudzać np. kody BLIK. W ramach subskrybcji otrzymujemy również domeny, na których automatycznie jest tworzona cała potrzebna infrastruktura.
„Uważam że w ciągu najbliższych lat popularność phishingu wzrośnie kilkukrotnie. Patrząc na dzisiejsze techniki mogę stwierdzić, że jeśli nie będziemy regularnie edukować pracowników i dbać o bezpieczeństwo naszych systemów, dojdzie do sytuacji, w której będziemy bardzo narażeni na wszelakie ataki.”
Michał Błaszczak – Pentester EmailLabs
Trzeba jednak pamiętać, że phishing nie kończy się na wiadomościach mailowych. Istnieje bowiem jeszcze Vishing czyli Voice Phishing, w którym to przestępcy dzwonią do nas (często podszywając się pod telefony banku) w celu wyłudzenia danych oraz Smishing czyli phishing poprzez sms.
Oprócz klasycznego phishingu przestępcy coraz cześciej stosują smishing czyli wspomniany phishing poprzez SMS. Jako, że nie jest problemem, aby podszyć się pod konkretnego usługodawcę, cyberprzestępcy upatrzyli sobie tą możliwość jako kolejny sposób na rozprzestrzenianie fałszywych stron czy złośliwego oprogramowania. Zasady działania tego ataku są takie same jak w przypadku klasycznego phishingu. Atakujący próbuje wywrzeć na nas pewne emocje i w ten sposób zmusić do wejścia pod wskazany adres strony. Zdarzają się sytuacje, w których to cyberprzestępcy są tak pewni siebie, że nawet nie podszywają się pod konkretnych usługodawców i wysyłają wiadomości ze „zwykłych” numerów telefonów. Wydawało by się, że w taką wiadomość nikt nie wejdzie jednak rzeczywistość jest całkiem inna.
Tak jak wspomniałem wcześniej, phishing w ostatnich latach mocno ewoluował i atakujący nie kończą już na stworzeniu podobnego adresu email. W tej części artykułu przyjrzymy się więc kilku technikom, które wykorzystywane są w „dzisiejszych” phishingach:
Technika ta polega na wyświetleniu w ramach odwiedzonej witryny pozornie nowego okna, które zawiera fałszywy panel logowania. W rzeczywistości wyświetlone okno jest elementem strony, dzięki czemu widoczny adres nowego okna jest tak naprawdę zwykłym tekstem kontrolowanym w 100% przez atakującego. Dzięki temu użytkownik może być przekonany, że loguje się na prawdziwej stronie, zwłaszcza, że w dzisiejszych czasach logowanie za pomocą stron trzecich np. Facebook, Twitter, Github nie jest nowością (w przypadku takiego logowania możemy zaobserwować „wyskakujące” nowe okno, w którym musimy się zalogować). Najprostszym sposobem na rozpoznanie takiego ataku jest próba „wyciągnięcia” nowego okna poza stronę na której się znajdujemy. Jeśli się nam to nie uda, możemy być pewnie, że zostaliśmy zaatakowani techniką Browser in the Browser.
źródło: https://github.com/mrd0x
Jest to atak wykorzystujący możliwość tworzenia i wyświetlanie adresów URL, które zawierają znaki pochodzące z innych alfabetów niż łaciński. Jako, że różne alfabety mogą zawierać bardzo podobne do siebie znaki, można to wykorzystać do stworzenia niemal identycznego adresu URL do ataku phishingowego.
Znane nam skracacze linków działają w dość prosty i znany sposób, jednak warto wiedzieć, że istnieją skracacze dużo bardziej wyrafinowane niż te, które znamy. Istnieją bowiem takie, które potrafią oszukać strony które „rozwijają” linki, dzięki czemu mogą nas poinformować, że dany skrócony link rzeczywiście prowadzi do np. strony bankowej. Oprócz tego takie skracacze potrafią przekierowywać użytkowników na różne strony w zależności od urządzenia na którym otwiera się link, dzięki czemu atak może być bardziej targetowany oraz trudniejszy do wykrycia.
Atakujący coraz częściej wykorzystują popularne, i co za tym idzie, zaufane strony do przeprowadzenia m.in. ataków phishingowych. Wykorzystując takie strony, przestępcy skutecznie usypiają naszą czujność. W ramach tej techniki osadzają złośliwe pliki w znanych nam stronach czy tworzą fałszywe strony logowania. Pełną listę takich stron możemy znaleźć na stronie Lots Project.
Apple Mail, Dostarczalność email
Choć nowa polityka prywatności dla użytkowników Apple została wprowadzona już we wrześniu 2021 (wraz ze startem systemu iOS 15 i macOS Monterey), jej wpływ na otwarcia wiadomości e-mail oraz...
Bezpieczeństwo, Dobre praktyki
mBank jako pierwszy bank w naszym kraju wypowiedział wojnę działaniom cyberprzestępców i wdrożył weryfikację nadawcy w najpopularniejszych skrzynkach e-mail, z których korzystają jego klienci. Rozwiązania te pomagają w sposób...
Socjotechnika, czy mówiąc inaczej inżynieria społeczna to każde działanie wpływające na inną osobę w celu nakłonienia jej do podjęcia pewnych działań, które mogą być niezgodne z osobistym interesem tej...
Best practices, Dobre praktyki
Maile promocyjne zawierają zazwyczaj bardzo dużo informacji – mówimy tu nie tylko o treści, ale też grafikach przedstawiających produkty objęte promocją, odnośnikach do różnych zakładek na stronie www, przyciskach...
Ignorowanie błędów mających miejsce w poprzednich latach oraz niewyciąganie odpowiednich wniosków, to podstawowe ‘grzeszki’ marketerów przygotowujących kampanie na Black Friday – dzień uznawany za początek przedświątecznego szaleństwa zakupów, będący...
Dobre praktyki, Dostarczalność email
E-commerce rośnie w astronomicznym tempie, a wraz z nim kanał, który charakteryzuje się najwyższym czynnikiem konwersji w tej branży – E-mail. Wg raportu Statista z 2017 roku, globalny handel...
Spółka publiczna Vercom S.A. do której należy projekt EmailLabs, z sukcesem przeszła audyt nadzoru ISO 27001 oraz certyfikację ISO 27018. Audyty są potwierdzeniem stosowania najlepszych praktyk systemu zarządzania...
Startujemy z cyklem CyberLabs poświęconym najnowszym informacjom ze świata cyberbezpieczeństwa. Nasz Pentester na praktycznych przykładach podpowie, jak przygotować się na zagrożenia i jak zminimalizować skutki ataków. Przedstawiamy sylwetkę Michała,...
Antyspam, Bezpieczeństwo, BIMI, Dobre praktyki, Nowe funkcje, Nowości
Organizacja AuthIndicators Working Group (BIMI Group) ogłosiła niedawno, że systemy Apple takie jak iOS 16, iPadOS 16 i macOS Ventura będą wspierać BIMI już od jesieni tego roku. Tym...
Dobre praktyki, Dostarczalność email, Maile transakcyjne
Aby komunikacja E-mail mogła przynosić efekty, musi być odpowiednio realizowana. Obok kwestii technicznych, bardzo ważne jest budowanie pozytywnego zaangażowania subskrybentów w komunikację E-mail. Obecnie każdego dnia konsumenci otrzymują liczne komunikaty...
Dobre praktyki, Pytania i odpowiedzi
ESP (ang. Email Service Provider) to usługa oparta na oprogramowaniu służącym do dystrybucji poczty elektronicznej, często w oparciu o własne serwery, zoptymalizowane pod kątem dużego (masowego) ruchu. Wiele z...
Dobre praktyki, Dostarczalność email
Czym jest dostarczalność wiadomości email? Rozmawiając z właścicielami sklepów eCommerce, specjalistami od marketingu lub czytając różne publikacje na temat komunikacji email coraz częściej można odnieść wrażenie, że wyłącznym kryterium...
Bezpieczeństwo, GDPR, Porównania
EOG a RODO W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje...
Jak uniknąć zatrzymania wysyłanych wiadomości przez filtr spamu? Skrzynka odbiorcza Twoich klientów z pewnością ma ustawione zabezpieczenia dla ochrony przed niechcianą korespondencją. Jednak, aby pozytywnie przejść ich walidację, wystarczy...
Od wielu lat jednym z najczęściej monitorowanych wskaźników mierzących efektywność zrealizowanych kampanii mailowych był współczynnik otwarć (ang. Open rate) czyli stosunek wiadomości otwartych do wysłanych. Za sprawą aktualizacji polityki...