Phishing największym zagrożeniem w 2020 roku

96 proc. firm na świecie wskazało phishing jako największe zagrożenie dla ich organizacji w 2020 roku. Z kolei 76 proc. firm uważa, że równie dużym zagrożeniem w nadchodzącym roku będzie pracownik, który nie potrafi rozpoznać wiadomości phishingowej i nieświadomie kliknie złośliwe linki – wynika z niedawnych badań firmy doradczej KnowBe4. Biorąc pod uwagę, że według danych firmy Intel Security zaledwie 3 proc. użytkowników internetu potrafi rozpoznać maila wykorzystywanego do ataku, obawy firm są w pełni zasadne. Przed phishingiem można się jednak obronić, a w jaki sposób to robić można przeczytać we właśnie opublikowanym przez serwis Domeny.pl e-booku „Phishing – nie daj się złowić”.

Phishing to metoda oszustwa, w której przestępca z użyciem nowoczesnych tech­nologii podszywa się pod inną osobę lub organizację celem pozyskania określonych informacji lub nakłonienia ofiary do pewnych czynności. Wedle danych przytaczanych w publikacji Domeny.pl, wśród ofiar phishingu w ostatnich lat znalazło się wiele bardzo znanych firm z Polski i świata, jak PGZ, Google czy Facebook.

„Przykładowo w marcu 2017 roku Google i Facebook padły ofiarą oszustwa phishingowego na aż 100 milionów dolarów! Oszust podawał się za dostawcę części komputerowych z Azji, z którym firmy te faktycznie współpracowały, i skłonił je do przelania środków na swoje konto. W Polsce jednym z głośniejszych przykładów phishingu był ten dotyczący spółki z Polskiej Grupy Zbrojeniowej, która w 2018 roku straciła 4 miliony złotych. Oszust podawał się za czeskiego dostawcę broni i poinformował spółkę o zmianie numeru konta, na które należy dokonywać płatności” – mówi Elżbieta Kornaś, Brand Manager serwisu Domeny.pl.

Phishing chce wywołać emocje

Żeby zwiększyć świadomość użytkowników internetu na temat phishingu, autorzy e-booka podeszli do tematu w sposób kompleksowy – począwszy od wyjaśnienia, czym jest phishing oraz skąd oszuści biorą adresy e-mail swoich ofiar, przez omówienie rodzajów phishingu, aż po rady, jak się przed tego typu atakami zabezpieczyć.

„Najskuteczniejsze phishingowe wiadomości e-mail zostały zaprojektowane w taki sposób, aby wywołać u odbiorcy pewne emocje. Może to być ciekawość lub strach, ale też poczucie palącej konieczności podjęcia szybkiej reakcji na otrzymaną wiadomość. Istnieje wiele sposobów na wyłudzanie informacji, jednak kilka technik się powtarza. Należą do niech np. tzw. oszustwa na CEO, kiedy to oszust podszywa się pod osobę z kadry zarządzającej firmą, czy spearphishing, który polega na wysłaniu maila do osoby po przeprowadzeniu na jej temat bardzo dokładnego wywiadu” – tłumaczy Elżbieta Kornaś.

Inne popularne rodzaje wiadomości phishingowych wskazane w publikacji to m.in.:

  • whaling – typ spearphishingu skupiający się na osobach zajmujących czołowe stanowiska w danym przedsiębiorstwie;
  • clone phishing – typ phishingu, w którym prawdziwa wiadomość e-mail, posiadająca załącznik lub link, zostaje użyta przez przestępcę jako wzór przy tworzeniu fałszywej wiadomości. Załączniki lub linki zostają zastąpione złośliwymi wersjami;
  • brand phishing – przestępca podszywa się pod firmę, organizację lub agencję, która jest bezpośrednim dostawcą produktów lub usług do atakowanej firmy.

„Phishing się rozwija, a oszuści są coraz bardziej pomysłowi, dlatego powyższa lista nie wyczerpuje wszystkich możliwości. Przykładem ich kreatywności jest phishing „na YouTubera”, który w samym 2019 roku zebrał już spore żniwo. Jak można się domyślić, w tym wypadku przestępca podszywa się pod gwiazdy YouTube i wysyła swoim subskry­bentom bezpośrednie wiadomości” – wyjaśnia przedstawicielka Domeny.pl.

Jak bronić się przed phishingiem?

Eksperci Domeny.pl w swojej publikacji wskazują, że podstawową metodą przed atakami phishingowymi jest zdolność do samodzielnego rozpoznania podejrzanego maila. Szczególnie należy zwrócić uwagę na to, kto jest faktycznym nadawcą wiadomości i czy domena e-maila nadawcy pokrywa się z domeną organizacji, za którą ten się podaje. Nasze podejrzenie powinna też wzbudzić każda próba zagrania na emocjach.

Po otrzymaniu podejrzanej wiadomości nie należy klikać w zawarte w niej linki ani załączniki. Jeśli jednak znajdziemy się już na podejrzanej stronie, to poświęćmy kilka sekund na ocenę jej wyglądu. Przyjrzyjmy się, czy nie ma dziwnych literówek w zawartych na stronie treściach, a także w adresie strony.

„W najbardziej niebezpiecznych przypadkach fałszywa strona znajduje się pod oryginalną domeną, która uprzednio została zaatakowana i przejęta. Ale nawet wtedy możemy się obronić przed oszustwem sprawdzając certyfikat SSL strony. Większość poważnych firm stosuje rozszerzone certyfikaty EV (Extended Validation), które zawierają informację, na kogo zostały wydane, dlatego łatwo możemy zweryfikować prawdziwość strony. Jeśli na stronie został zastosowany darmowy certyfikat, to nie mamy takiej pewności, ponieważ są one wydawane bez szczegółowej weryfikacji podmiotu (właściciela strony). Jest zatem duże prawdopodobieństwo, że strona jest fałszywa i jesteśmy właśnie ofiarą oszustwa” – mówi Elżbieta Kornaś.

W publikacji zostały także szczegółowo omówione różne techniczne rozwiązania, które można wykorzystać do ochrony przed phishingiem. Ich lista jest długa i obejmuje zarówno podstawowe działania, jak dbałość o aktualizację stosowanego oprogramowania oraz korzystanie z dobrego programu antywirusowego, jak i stosowanie bardziej zaawansowanych mechanizmów, w tym m.in. filtrów spamu, czarnych i białych list, uruchamianie protokołu SMTP w skrzynce pocztowej, czy stosowanie certyfikatu e-mailowego S/MIME.

Publikację „Phishing – jak nie dać się złowić” można pobrać za darmo pod tym adresem: https://certyfikatyssl.pl/phishing.html.

Phishing-nie-daj-sie-zlowic-eBook

Andrzej

Administrator serwisu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.