Zastanawiasz się, w jaki sposób oszustwa typu phishing potrafią oszukać nawet najbardziej
doświadczonych użytkowników Internetu? Ataki phishingowe stanowią powszechne zagrożenie w
świecie cyfrowym i zostały pomysłowo zaprojektowane w celu kradzieży poufnych informacji poprzez
podszywanie się pod podmioty godne zaufania. Oszustwa te wykorzystują ludzką psychologię i
zaawansowanie technologiczne, co czyni je poważnym problemem zarówno dla osób prywatnych, jak
i organizacji.
Czym są oszustwa typu phishing i jak działają?
Dlaczego ataki phishingowe są uważane za poważne zagrożenie w dzisiejszym środowisk
internetowym? Jakie środki można podjąć, aby rozpoznać i zapobiec padnięciu ofiarą tego rodzaju oszustw?
Uzbrojenie się w wiedzę na temat oszustw typu phishing to pierwszy krok w kierunku zabezpieczenia
swojej obecności w Internecie. Zanurzmy się.
Oszustwa typu phishing wykorzystują inżynierię społeczną w celu oszukania ofiar w celu ujawnienia
poufnych informacji lub zainstalowania złośliwego oprogramowania. Spear phishing atakuje
określone osoby za pomocą spersonalizowanej przynęty, co zwiększa skuteczność oszustwa. Pomimo
szeroko zakrojonych działań uświadamiających, phishing pozostaje poważnym zagrożeniem ze
względu na wykorzystywanie słabych punktów człowieka oraz wyzwanie polegające na
zrównoważeniu polityki bezpieczeństwa i elastyczności operacyjnej. Ochrona przed phishingiem
obejmuje zwiększanie świadomości bezpieczeństwa, stosowanie uwierzytelniania
wieloskładnikowego i dostosowywanie zarządzania bezpieczeństwem do potrzeb organizacji.
Phishing , będący formą inżynierii społecznej , to sytuacja online, w której przeciwnik nakłania ofiarę
do udostępnienia poufnych informacji lub zainstalowania w jej systemach szkodliwego
oprogramowania.
Obecnie phishing jest najpowszechniejszym zagrożeniem dla bezpieczeństwa cybernetycznego w
cyfrowym świecie, a łączna liczba ofiar wynosi znacznie ponad 323 000 niczego niepodejrzewających
użytkowników Internetu. Oznacza to wzrost o 34% rok do roku — dlatego przyglądamy się tutaj tej
niepokojącej tendencji.
Jak działa phishing?
Phishing polega na oszustwach. Przeciwnik podszywa się pod uprawniony podmiot – osobę fizyczną
lub organizację, często instytucję finansową – aby przekonać użytkownika do podjęcia pożądanych
działań. (Nazwa oczywiście pochodzi od łowienia ryb: atakujący rzuca jakąś przynętę i widzi, kto
zareaguje.)
Próby phishingu są zazwyczaj wymierzone w niczego niepodejrzewających użytkowników, którzy nie
mają większego kontekstu na temat celów, jednak ofiary padają ofiarą prób phishingu z powodu
niedopatrzenia i braku świadomości bezpieczeństwa.
Przykładem phishingu może być wiadomość e-mail od osoby podszywającej się pod dużą platformę
mediów społecznościowych, ostrzegająca cel o konieczności zresetowania hasła, powołując się na
zagrożenie bezpieczeństwa, takie jak nieautoryzowana próba logowania. Gdy cel postępuje zgodnie z
instrukcjami zawartymi w wiadomości phishingowej i udostępnia aktualne hasło, informacja ta
zostaje przechwycona przez przeciwnika.
A co ze spear phishingiem?
Inną formą phishingu skierowaną do docelowej grupy odbiorców jest spear phishing. Atak ten dodaje
kontekstu, sprawiając, że cel staje się bardziej przekonujący, że padnie ofiarą. Przykładem spear-
phishingu może być wiadomość e-mail rzekomo wysłana przez organizację ofiary z prośbą o
zresetowanie hasła, co może pomóc przekonać ofiarę do zaangażowania.
Przyczyny phishingu
Najwcześniejsze próby phishingu miały miejsce w 1996 r., kiedy hakerzy nakłonili użytkowników AOL
do udostępnienia wrażliwych danych osobowych.
Oszuści stosowali różne taktyki przynęty, które spowodowały, że docelowe ofiary pilnie klikały
złośliwe linki i udostępniały swoje dane osobowe w Internecie. Informacje te były następnie
sprzedawane hakerom, aby uzyskać dostęp do konta ofiary i zablokować ją w zamian za
rekompensatę finansową. W tamtych czasach phishing był zwykle motywowany…
Zysk finansowy. Ofiary zostały oszukane, aby zapłacić, aby odzyskać dostęp do swoich kont w
mediach społecznościowych; hakerzy sprzedawaliby informacje o ofiarach innym hakerom w celu
uzyskania korzyści pieniężnych.
Kradzież tożsamości. Wykorzystywanie konta w mediach społecznościowych ofiary w celu
nakłonienia jej kontaktów do przesłania pieniędzy lub zakupu produktów online przy użyciu
przejętego konta.
Rozgłos. Kultura hakerska była prawdziwa i kwitła. Każdy hobbysta posiadający skradzione konto
przechwalałby się swoimi notorycznymi osiągnięciami w swoich społecznościach.
Trendy w phishingu.
Obecnie praktyka ta stała się jedną z najbardziej znanych praktyk w ekosystemie cyberprzestępczości,
której motywacją są wyłącznie korzyści finansowe. Przyjrzyj się następującym najnowszym
statystykom dotyczącym phishingu :
Zdecydowana większość. Ponad 80% wszystkich organizacji biznesowych na całym świecie zgłosiło
próby phishingu wymierzonego w ich pracowników. Nie jednorazowo. Ataki phishingowe nie są jednorazowymi incydentami związanymi z bezpieczeństwem . Najbardziej kosztowny atak phishingowy spowodował naruszenie bezpieczeństwa
tysięcy e-maili i spowodował straty finansowe w wysokości 1,8 miliarda dolarów — pomimo 20 000
skarg zarejestrowanych do dostawców usług. Ile e-maili? Każdego dnia wysyłanych jest 3,4 miliarda e-maili phishingowych. Większość tych e-maili jest zautomatyzowana i skierowana do dużej grupy odbiorców bez większego kontekstu.
Ostrzeżenia. Oczekuje się, że w samym 2024 r. w wyniku ataków phishingowych naruszonych
zostanie 40 miliony rekordów danych.
Skąd pochodzą ataki?
Na początku wiele ataków phishingowych miało miejsce w Nigerii. Ataki te były znane jako oszustwa
419 ze względu na ich oznaczenie w nigeryjskim kodeksie karnym jako oszustwo.
Obecnie ataki phishingowe mają swoje źródło w dowolnym miejscu. Ze względu na łatwość i
dostępność zestawów narzędzi do phishingu nawet hakerzy posiadający minimalne umiejętności
techniczne mogą uruchamiać kampanie phishingowe. Osoby stojące za tymi kampaniami to zarówno
indywidualni hakerzy, jak i zorganizowani cyberprzestępcy.
Kluczowe wyzwania dla osób i organizacji
Z perspektywy makro obrona przed próbami phishingu stanowi duże wyzwanie zarówno dla
organizacji korporacyjnych, jak i użytkowników Internetu odpowiednio świadomych zagrożenia
bezpieczeństwa . Użytkownicy są często informowani i edukowani w zakresie podnoszenia swojej
świadomości w zakresie bezpieczeństwa. Firmy technologiczne włączają funkcje bezpieczeństwa do
swoich systemów.
Jednak w jakiś sposób inżynieria społeczna nadal skutecznie narusza element ludzki. Użytkownicy Internetu, którzy są mniej obeznani z technologią, mają tendencję do powstrzymywania się od uczenia się i uznania zagrożenia. Zamiast przyjmować krytyczne podejście do e-maili phishingowych, które wydają się zbyt piękne, aby mogły być prawdziwe, po prostu próbują szczęścia, klikają łącza, pobierają załączniki – i nie widzą żadnej szkody. A jak mogli?
Instalacje złośliwego oprogramowania są niewidoczne, wymykają się spod radaru programu
antywirusowego i działają w trybie ukrytym. Witryny kradnące informacje o użytkownikach są
niezwykle zwodnicze i skutecznie podszywają się pod legalną firmę.
Czynnik ludzki
Mechanizmy bezpieczeństwa, takie jak uwierzytelnianie i alerty bezpieczeństwa, nadal opierają się na
ludzkich zachowaniach i wiedzy. Jeśli próba wyłudzenia informacji może nakłonić użytkowników do
udostępnienia poufnych danych logowania i uwierzytelnienia, przeciwnicy mogą wykorzystać tę
wiedzę, aby przejść testy uwierzytelniające jako prawowici użytkownicy.
Polityka bezpieczeństwa i elastyczność
Organizacje biznesowe muszą wykazywać się elastycznością podczas egzekwowania zasad
bezpieczeństwa:
Ścisłe protokoły zarządzania oznaczają, że użytkownicy mają ograniczoną elastyczność w dostępie
do sieci i udostępnianiu danych, co może mieć kluczowe znaczenie w ich rutynowych zadaniach.
Spraw, aby reguły kontroli dostępu były zbyt elastyczne, a każdy, kto ma dane logowania
pracownika lub nieuczciwi użytkownicy wewnętrzni, może ujawnić poufne informacje biznesowe.
Bez optymalnego planu zarządzania kontrolą tożsamości i dostępu każdy użytkownik z
wystarczającymi uprawnieniami dostępu, który stanie się ofiarą próby phishingu, może wyrządzić
firmie znaczne szkody. Znalezienie takiego optymalnego stanu nie jest jednak zadaniem prostym.
Ochrona przed phishingiem
Jak zatem chronić się przed phishingiem? Odpowiedź na to pytanie polega na rozwiązaniu
problemów stojących za skutecznymi próbami phishingu:
Zwiększaj świadomość bezpieczeństwa wśród użytkowników Internetu dzięki obowiązkowym
programom szkoleniowym i edukacyjnym.
Używaj mechanizmów bezpieczeństwa, które opierają się na niezawodnych systemach
uwierzytelniania wieloczynnikowego.
Przyjmij zasady zarządzania bezpieczeństwem w oparciu o unikalne potrzeby użytkowników i
zagrożenia bezpieczeństwa stojące przed Twoją organizacją.