W przeciągu ostatniej dekady, ilość ataków na nasze konta osobiste wzrosła drastycznie. Automatyzacja oraz nowe technologie pomagają hackerom w łatwym dotarciu do wielu użytkowników. Jednocześnie portale i banki coraz bardziej chronią użytkowników wielowarstwowymi systemami obronnymi. Pytanie tylko – po co tracić godziny i dni aby włamać się na konto, skoro przy drobinie perswazji użytkownik sam poda nam swoje hasło?
Atak typu Phishing polega na tym, że atakujący udaje znaną nam firmę lub osobę i próbuje wyciągnąć od nas informacje. Najczęściej atakujący podszywa się pod bank, serwisy internetowe jak Netflix albo zwyczajnie za naszych znajomych czy kolegów z pracy. Wysyłane są e-maile, SMS-y oraz wiadomości na portalach społecznościowy jak Facebook.
W jaki sposób atakujący „przekona” nas, żebyśmy wykonali to, o co prosi? Rutyna i brak uwagi na pewno nam nie pomogą. Najważniejszy jest zdrowy rozsądek i czujność przy weryfikacji wiadomości. Jest wiele detali, które zdradzają atakującego.
Przykładowy email-phishing
1. W nagłówku brakuje naszego adresu email.
Jest to rezultat wysłania wiadomości do setek jak nie tysięcy różnych osób. Jeśli nie zostaliby „wrzuceni” do pola Ukryty Odbiorca, łatwo byśmy to zauważyli mając ogromną ilość odbiorców w nagłówku.
2. Adres zwrotny pochodzi z dziwnej domeny.
Jeśli wybierzemy „Odpowiedz”, to wiadomość zostanie wysłana do atakującego. Dobry sposób aby pozostać niezauważonym.
3. Rozmazane obrazki.
Aby wiadomość była „lekka” i szybko dotarła do wielu odbiorców, jakość obrazków jest często znacznie gorsza.
4. Agresywne słownictwo/grożenie.
Ponaglanie oraz zastraszanie to najprostsze i najskuteczniejsze metody wpłynięcia na odbiorcę. W ten sposób istnieje większa szansa, że postąpimy nierozważnie.
5. Zwroty ogólne bez płci, brak naszego imienia.
Dokładnie ten sam e-mail prawdopodobnie poszedł do wielu odbiorców. Najłatwiej dla atakującego nie używać imion ani nie sugerować płci odbiorcy.
6. Link do strony.
Najważniejszy czynnik w ataku typu Phishing. Jest to link do fałszywej strony. Klikając w niego narażamy nasz komputer oraz dane na nim zawarte na wyciek do atakującego. Nie mamy pojęcia gdzie nas zaprowadzi.
Aby zweryfikować gdzie prowadzi link, wystarczy najechać na niego kursorem:
Pod danym linkiem najczęściej chowa się fałszywa strona, która wygląda niemal identycznie jak prawdziwa. Różnica jest taka, że na górze widzimy inny adres:
Gdy wpiszemy login i hasło, zostaną one wysłane prosto do atakującego!
Jak się bronić?
1. Nie odpisywać na takie wiadomości
2. Sprawdzić nadawcę w wyszukiwarce Google
3. Nie wchodzić w linki, które budzą wątpliwości
4. Możemy zweryfikować link, bez wchodzenia na niego. W tym celu należy skopiować link (prawy przycisk myszy -> kopiuj adres linku) oraz wkleić go w darmowe skanery, typu:
– Virus Total – virustotal.com
– Symantec – sitereview.bluecoat.com
– Sucuri – sitecheck.sucuri.net
– URLscan – urlscan.io – tutaj bez ryzyka możemy zobaczyć podgląd strony
5. Zweryfikować czy link ma prefiks HTTPS. HTTP to połączenie nieszyfrowane i bez certyfikatu, a zatem podejrzane.
Poniżej rezultat skanu paypal.cc/login w VirusTotal:
Bądźcie więc czujni, zachowujcie ostrożność i zwracajcie uwagę na wszystko, co może świadczyć o próbie phishingu.
Zostaw komentarz