Prezentujemy pierwszą część z naszego cyklu CyberLabs poświęconego nowinkom ze świata cyberbezpieczeństwa. Dziś dowiesz się, co to jest phishing i sprawdzisz, czy stałeś się ofiarą phishingu oraz jakie są rodzaje ataków phishingowych w sieci.
Phishing to metoda oszustwa, która polega na podszyciu się pod zaufaną instytucję, urząd, bądź osobę (np. bank, firmę kurierską czy osobę publiczną) w celu nakłonienia ofiary do wykonania czynności na korzyść atakującego np. podanie danych do logowania. Według raportu rocznego za rok 2021 CERT Polska obsłużył aż 22 575 incydentów związanych z phishigiem, co zakwalifikowało to cyberzagrożenie jako jedno z najpopularniejszych w roku 2021.
Jeśli mówimy o phishingu, często do czynienia mamy z masową wysyłką wiadomości. Istnieje jednak kilka rodzajów popularnego phishingu i warto je rozróżniać.
Ataki phishingowe bardzo ewoluowały na przestrzeni ostatnich lat. Nie są już to nieudolne wiadomości, które bardzo odbiegają od prawdziwych wiadomości e-mail, a wygląd stron nie przypomina tych realnych. Dodatkowo coraz częściej wiadomości phishingowe są wykorzystywane do rozsyłania złośliwego oprogramowania, które może prowadzić do ataku ransomware.
Aktualnie oszuści w trakcie tworzenia kampanii phishingowych wykorzystują różne techniki, kradzieży tożsamości, aby ukryć swoje prawdziwe zamiary. Są to m.in. browser in the browser, atak homograficzny czy wykorzystanie zaufanych stron do osadzania złośliwego oprogramowania. Popularność phishingu zawdzięcza się również dużej liczbie automatycznych narzędzi, które są w stanie przygotować całą kampanię phishingową – nie trzeba być więc programistą czy znawcą technologii, aby przygotować taką kampanię.
Dodatkowo, w tzw. darknecie coraz częściej spotyka się „Phishing as a Service”, czyli strony, na których za opłatę subskrypcyjną mamy dostęp do wielu szablonów popularnych stron czy fałszywych bramek płatniczych, w których to możemy wyłudzać np. kody BLIK. W ramach subskrypcji otrzymujemy również domeny, na których automatycznie jest tworzona cała potrzebna infrastruktura do przechwycenia poufnych informacji.
„Uważam że w ciągu najbliższych lat popularność phishingu wzrośnie kilkukrotnie. Patrząc na dzisiejsze techniki mogę stwierdzić, że jeśli nie będziemy regularnie edukować pracowników i dbać o bezpieczeństwo naszych systemów, dojdzie do sytuacji, w której będziemy bardzo narażeni na wszelakie ataki.”
Michał Błaszczak – Pentester EmailLabs
Trzeba jednak pamiętać, że phishing nie kończy się na wiadomościach e-mail. Istnieje bowiem jeszcze Vishing, czyli Voice Phishing, w którym to przestępcy dzwonią do nas (często podszywając się pod telefony banku) w celu wyłudzenia danych oraz Smishing, czyli phishing poprzez wiadomości sms.
Oprócz klasycznego phishingu przestępcy coraz częściej stosują smishing, czyli wspomniany phishing poprzez SMS. Jako że nie jest problemem, aby podszyć się pod konkretnego usługodawcę, cyberprzestępcy upatrzyli sobie tę możliwość jako kolejny sposób na rozprzestrzenianie fałszywych stron czy złośliwego oprogramowania. Zasady działania tego ataku są takie same jak w przypadku klasycznego phishingu.
Atakujący próbuje wywrzeć na nas pewne emocje i w ten sposób zmusić do wejścia pod wskazany adres strony. Zdarzają się sytuacje, w których to cyberprzestępcy są tak pewni siebie, że nawet nie podszywają się pod konkretnych usługodawców i wysyłają wiadomości ze „zwykłych” numerów telefonów. Wydawałoby się, że w taką wiadomość nikt nie wejdzie, jednak rzeczywistość jest całkiem inna.
Tak jak wspomniałem wcześniej, phishing masowy w ostatnich latach mocno ewoluował i atakujący nie kończą już na stworzeniu podobnego adresu email. W tej części artykułu przyjrzymy się więc kilku technikom, które wykorzystywane są w „dzisiejszych” atakach typu phishing.
Technika ta polega na wyświetleniu w ramach odwiedzonej witryny pozornie nowego okna, które zawiera fałszywy panel logowania. W rzeczywistości wyświetlone okno jest elementem strony, dzięki czemu widoczny adres nowego okna jest tak naprawdę zwykłym tekstem kontrolowanym w 100% przez atakującego. Dzięki temu użytkownik może być przekonany, że loguje się na prawdziwej stronie, zwłaszcza że w dzisiejszych czasach logowanie za pomocą stron trzecich w mediach społecznościowych np. Facebook, Twitter, Github nie jest nowością (w przypadku takiego logowania możemy zaobserwować „wyskakujące” nowe okno, w którym musimy podać dane logowania).
Najprostszym sposobem na rozpoznanie takiego ataku jest próba „wyciągnięcia” nowego okna poza stronę, na której się znajdujemy. Jeśli się nam to nie uda, możemy być pewnie, że zostaliśmy zaatakowani techniką Browser in the Browser.
Jest to atak wykorzystujący możliwość tworzenia i wyświetlanie adresów URL, które zawierają znaki pochodzące z innych alfabetów niż łaciński. Jako że różne alfabety mogą zawierać bardzo podobne do siebie znaki, można to wykorzystać do stworzenia niemal identycznego adresu URL do ataku phishingowego.
Znane nam skracacze linków działają w dość prosty i znany sposób, jednak warto wiedzieć, że istnieją skracacze dużo bardziej wyrafinowane niż te, które znamy. Istnieją bowiem takie, które potrafią oszukać strony które „rozwijają” linki, dzięki czemu mogą nas poinformować, że dany skrócony link rzeczywiście prowadzi do np. strony bankowej. Oprócz tego takie skracacze potrafią przekierowywać użytkowników na różne strony w zależności od urządzenia, na którym otwiera się link, dzięki czemu atak może być bardziej targetowany oraz trudniejszy do wykrycia.
Oszuści coraz częściej wykorzystują popularne i co za tym idzie, zaufane strony do przeprowadzenia m.in. ataków phishingowych. Wykorzystując takie strony, przestępcy skutecznie usypiają naszą czujność. W ramach tej techniki osadzają złośliwe pliki w znanych nam stronach czy tworzą fałszywe strony logowania. Pełną listę takich stron możemy znaleźć na stronie Lots Project.
Jednym z kluczowych elementów obronnych (dotyczy to nie tylko tego ataku) jest edukacja pracowników. Warto więc co pewien czas przeprowadzać szkolenia uświadamiające, w których to zostaną pokazane nowe techniki ataków (w końcu jest to jeden z tych ataków, które ciągle się rozwijają) i metody ich wykrycia. W ramach edukacji użytkowników możemy również przeprowadzić kontrolowany atak phishingowy, który pozwoli pokazać nam realny poziom świadomości pracowników.
Należy zweryfikować czy adres jest prawidłowy i czy nie występują w nim żadne literówki. Często cyberprzestępcy tworzą bardzo podobne adresy email, które do złudzenia przypominają te prawdziwe.
Warto pamiętać, że nie trzeba klikać na link, żeby zweryfikować jego poprawność! Wystarczy najechać kursorem na hiperlink w wiadomości, aby poznać, dokąd prowadzi. Jeśli atakujący wykorzystał skracacz linków, możemy wykorzystać dostępne strony internetowe, które „rozwijają” link, dzięki czemu zobaczymy prawdziwy adres docelowy.
Oszuści poprzez nią próbują na nas wywrzeć strach (np. informacja o problemach prawnych w razie nieopłacenia faktury), zawstydzenie (np. wiadomość o tym, że ktoś zdobył dostęp do naszych prywatnych informacji) czy euforię (np. wiadomość, w której jesteśmy informowani o dużej wygranej). Nie dajmy się więc ponieść emocjom!
Do wysyłania phishingu cyberprzestępca może również wykorzystać np. adres email naszego kolegi z pracy (czy to w ramach przejęcia jego skrzynki bądź poprzez spoofing adresu email, warto więc zweryfikować poprawność wpisów SPF/DKIM/DMARC oraz wdrożyć BIMI). Jeśli więc otrzymamy podejrzaną wiadomość od kolegi z pracy, warto to zweryfikować.
eśli mamy więc jakieś wątpliwości co do wiadomości, możemy je zweryfikować, np. dzwoniąc na infolinię banku, pytając się kolegi, czy ta wiadomość, którą wysłał, jest rzeczywiście do nas. Ważne też, żeby nie korzystać z numerów telefonów, adresów email zawartych w np. stopce wiadomości. Może się zdarzyć, że te dane są również fałszywe i skontaktujemy się z przestępcą, który potwierdzi prawdziwość wiadomości.
GDPR, Zgodność i bezpieczeństwo
Z dumą informujemy, że firma Vercom S.A., prowadząca projekt EmailLabs, pomyślnie przeszła audyt zgodności z najnowszymi standardami ISO/IEC 27001:2022 oraz ISO/IEC 27018:2019. Potwierdzono, że nasz System Zarządzania spełnia wszelkie...
Dobre praktyki, Gmail, Yahoogle
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Czy masz dość sytuacji, w której Twoje e-maile są blokowane przez Gmail? Zastanawiasz się, co powoduje ten problem i jak go rozwiązać? W tym artykule omówimy najczęstsze przyczyny blokowania...
Załączanie folderu do wiadomości e-mail może na pierwszy rzut oka wydawać się skomplikowane, zwłaszcza jeśli próbujesz wysłać wiele plików, duże materiały wideo lub całą dokumentację projektu do współpracownika albo...
W dynamicznie zmieniającym się cyfrowym świecie, Google zapowiedziało ekscytujące zmiany w kartach podsumowań Gmaila. Aktualizacja, która ruszyła w październiku 2024 roku, ma na celu poprawę doświadczeń użytkowników i usprawnienie...
Czy masz dość sytuacji, w której Twoje e-maile są blokowane przez Gmail? Zastanawiasz się, co powoduje ten problem i jak go rozwiązać? W tym artykule omówimy najczęstsze przyczyny blokowania...
Załączanie folderu do wiadomości e-mail może na pierwszy rzut oka wydawać się skomplikowane, zwłaszcza jeśli próbujesz wysłać wiele plików, duże materiały wideo lub całą dokumentację projektu do współpracownika albo...
W dynamicznie zmieniającym się cyfrowym świecie, Google zapowiedziało ekscytujące zmiany w kartach podsumowań Gmaila. Aktualizacja, która ruszyła w październiku 2024 roku, ma na celu poprawę doświadczeń użytkowników i usprawnienie...
Wchodząc w świat szeroko pojętej komunikacji mailowej, zapoznajesz się z wieloma pojęciami, które na pierwszy rzut oka wydają się proste i intuicyjne. Inne z nich natomiast mogą przysporzyć nie...
Best practices, Dostarczalność email
W dzisiejszej cyfrowej rzeczywistości e-mail stanowi kluczowy element komunikacji, zarówno w życiu prywatnym, jak i zawodowym. Wysyłamy za jego pośrednictwem istotne wiadomości, dokumenty oraz aktualizacje. Co jednak zrobić, gdy...
Best practices, Dobre praktyki
Masz trudności z poprawą dostarczalności i zaangażowania w kampaniach e-mail marketingowych? Wykorzystanie subdomen w adresach e-mail może być skutecznym rozwiązaniem. Stosowanie subdomen umożliwia ochronę głównej domeny oraz efektywne zarządzanie...
GDPR, Zgodność i bezpieczeństwo
Z dumą informujemy, że firma Vercom S.A., prowadząca projekt EmailLabs, pomyślnie przeszła audyt zgodności z najnowszymi standardami ISO/IEC 27001:2022 oraz ISO/IEC 27018:2019. Potwierdzono, że nasz System Zarządzania spełnia wszelkie...
Czym jest darknet? Otoczony przez wiele lat tajemnicą i nierzadko okrzyknięty mrocznymi mianami, darknet jest obszarem internetu, który u niejednej osoby wzbudza ciekawość, fascynacje a także strach. Ta “niewidoczna” część...
Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA. Jakie Korzyści Niosą ze...