Phishing
Sekretarka otrzymała wiadomość mailową z banku o konieczności aktualizacji konta firmowego poprzez podanie danych firmowej karty kredytowej. Ponieważ wiadomość wyglądała, jak typowy mail z banku, jakie otrzymywała wcześniej, nie wzbudził jej podejrzeń. Sekretarka posiadała firmową kartę do opłacania drobnych usług i nie chcąc angażować księgowej, z którą nie miała dobrych relacji pracowniczych, postanowiła sama odpowiedzieć na wiadomość z banku. Po kilku dniach bezskutecznie próbowała użyć karty firmowej. Po rozmowie z konsultantem z infolinii bankowej dowiedziała się, że w ciągu ostatnich kilku dni dokonano kilkunastu różnych operacji, wypłacając wszystkie dostępne środki z konta, do którego przypisana była jej karta.
Manipulacja
Powyższy przykład obrazuje, w jaki sposób działa phishing, jedno z najbardziej powszechnych cyber przestępstw. Mechanizm wyłudzenia danych opiera się w tym przypadku na znalezieniu słabego punktu użytkownika sieci. Cyber przestępcy nie usiłują złamać systemu zabezpieczeń. Skupiają się raczej na uśpieniu czujności użytkownika, rutynie, naiwności czy nawet złej komunikacji wśród pracowników. Zdarza się, że fałszywe wiadomości do złudzenia przypominają informacje z istniejących firm czy organizacji (banków, agencji rządowych, internetowych systemów płatności, firm kurierskich)– zawierają prawdziwe logotypy i obowiązującą szatę graficzną. Ich celem jest nakłonienie odbiorcy do podania danych (mogą to być dane osobowe, dane kart płatniczych lub dane do logowania) przeważnie w celu aktualizacji, zatwierdzenia czy usunięcia błędu. Kliknięcie w załączony link przekierowuje użytkownika na fałszywą stronę, z poziomu której nakłania się go do ujawnienia danych. Ze względu na powszechność i skuteczność phishingu wyodrębniono trzy jego specjalizacje.
Spersonalizowany
Tak zwany spear phishing kierowany jest na konkretną osobę lub firmę. Poprzedza go proces zbierania informacji na temat celu cyber ataku. Dobrze przygotowany cyber przestępca jest niezwykle skuteczny w wyłudzeniu informacji i może stanowić poważne zagrożenie dla przedsiębiorstwa. Znanym przykładem spersonalizowanego phishingu był cyber atak na konto emailowe Hilary Clinton.
Klonowanie
To przykład kopiowania treści i wyglądu prawdziwych maili. Fałszuje się załączniki lub linki oraz adres nadawcy tak, aby wyglądały na oryginalne.
Whaling
Kierowany jest, używając kolokwializmu, na „grubą rybę” a więc na managerów wyższego szczebla czy duże przedsiębiorstwa branży biznesowej. Wymaga precyzyjnego przygotowania ze strony cyber przestępcy w zdobyciu szczegółowych informacji na temat wybranego celu. Często są to sfałszowane wiadomości pochodzące z kancelarii prawniczych czy urzędów państwowych, nakłaniające do instalacji złośliwego oprogramowania, które ściąga poufne dane firmowe.
Jak rozpoznać phishing?
Przede wszystkim trzymaj się zasady ograniczonego zaufania w stosunku do wszelkich wiadomości mailowych typu:
- „Jeśli nie podasz swoich danych osobowych, Twoje konto zostanie NIEODWRACALNIE ZABLOKOWANE!”
- „Aby aktualizować konto, kliknij w link, podaj dane użytkownika i hasło”
- „Witaj. Prosimy o niezwłoczne opłacenie zaległej faktury. Pobierz fakturę.”
Zwróć uwagę na poszczególne elementy wiadomości:
- link (nie klikaj ale najedź na niego myszką, powinna pokazać się pełna nazwa),
- sposób zapisania załączonych plików (dlaczego faktura zapisana w pliku .rar?),
- błędy w pisowni,
- jakość grafiki,
- adres domeny (drobne zmiany np. zamiast .gov jest .com).
Nie klikaj w linki i załączniki podejrzanie wyglądających wiadomości.
Konsekwencje
Przedsiębiorstwo stające się ofiarą cyber ataku narażone jest na:
- koszty wynikające z przekazania danych logowania do kont,
- utratę know how, poufnych informacji firmowych,
- koszty naprawy szkody powstałej w wyniku incydentu,
- utratę reputacji,
- koszty odszkodowań,
- utratę danych osobowych klientów,
- przestój w działalności,
- koszty kar administracyjnych,
- utratę płynności finansowej,
- koszty przywrócenia bezpiecznego stanu, odzyskania utraconych danych.
Zabezpiecz się
Liczba cyber ataków z wykorzystaniem phishingu stale rośnie. W III kwartale 2018 roku wykryto ponad 137 mln prób odwiedzenia stron phishingowych, co stanowi ponad połowę liczby odnotowanej w całym roku 2017. Na rynku polskim dostępne są dobrej jakości produkty ubezpieczeniowe zabezpieczające firmy na wypadek cyber ataku. Właściwie dobrana ochrona powinna stanowić element zarządzania ryzykiem zwłaszcza w przypadku przedsiębiorstw korzystających z systemów teleinformatycznych , specjalistycznych oprogramowań, zintegrowanych rozwiązań informatycznych. Także firmy przetwarzające dane osobowe swoich klientów, szczególnie jeśli są to dane wrażliwe powinny zabezpieczyć się odpowiednią polisą od skutków cyber ataków.