Poradnik cyberbezpieczeństwa cz.2 – Phishing

poradnik cyberbezpieczeństwa

Phishing nie jest typowym atakiem cybernetycznym. Polegający na wyłudzeniu interesujących danych od nieuważnego użytkownika atak jest związany z niebezpiecznymi socjotechnikami i oparty o model świata w którym funkcjonujemy, a nie bezpośrednio związany z aplikacjami działającymi na naszych komputerach.

Co to jest?

Wyłudzenie danych może mieć różną formę – np. telefon z „obsługi banku”, ZUS, Urzędu Skarbowego lub innych instytucji od których kontaktu nie musimy się spodziewać, ale mieści się on w schemacie świata, w którym funkcjonujemy (mamy przekonanie, że banki dzwonią do klientów; a sam pomysł, że ktoś z ZUS mógłby do nas dzwonić u wielu ludzi powoduje lęk). Jednak, zwykle mamy do czynienia z mniej bezpośrednim scenariuszem, jakim są fałszywe wiadomości email, przekierowujące nas do odpowiednio spreparowanej strony i przechwytujące nasze dane logowania.

Atak ten, jest szczególnie groźny w przypadku internetowych kont bankowych, ale nie tylko – udostępniając takie informacje jak PESEL, czy numer dowodu osobistego – bardzo łatwo wyobrazić sobie sytuację, w której ktoś wykorzystując podrobiony dowód, zaciąga kredyt, o którego spłatę martwić musimy się my.

Jak działa? Przykładowy scenariusz

W standardowym scenariuszu – przestępcy wysyłają maila, do złudzenia przypominającego wiadomość, którą moglibyśmy dostać od poważnej instytucji (np. banku lub sklepu internetowego). Treść informacji jest często niepokojąca – np. ktoś próbował włamać się na nasze konto i wymagana jest zmiana hasła; albo, że w związku z jakąś zmianą wymagane jest dodatkowe logowanie – ważne jest jakiekolwiek logiczne wytłumaczenie, że powinniśmy wejść w link przesłany mailem. Choć już tutaj powinna zapalić się nam przysłowiowa „czerwona lampka”, to niestety często działamy pod wpływem emocji.

Jeśli kliknęliśmy w odnośnik, to musimy wiedzieć, że wyświetlana strona może być łudząco podobna do prawdziwej strony instytucji, za którą atakujący się podszywa. W takiej sytuacji trzeba sprawdzić co najmniej dwie kwestie: zieloną kłódkę przy adresie http (patrz rysunek) oraz czy w ogóle adres http się zgadza (czy np. zamiast: online.mbank.pl/pl/login nie jesteśmy na stronie loginmbank.pl lub mbank.pl.login) – ważne są wszystkie literki oraz znaki specjalne (kropki, ukośniki i inne).
Nieświadome osoby podają swoje prawdziwe dane do logowania, na podstawionych stronach, a wtedy przestępcy mają dostęp do ich pieniędzy, poczty internetowej lub innych wrażliwych informacji.

Jak minimalizować ryzyko ataku oraz ewentualne straty?

Po pierwsze – jak zawsze – powinniśmy myśleć co klikamy i komu podajemy nasze dane.

Osobiście nie spotkałem jeszcze banku, który za pośrednictwem maila ostrzegałby klientów o włamaniu – miałem niestety okazję dostać taki telefon, ale podczas rozmowy, zanim przeszliśmy do jakichkolwiek szczegółów, następowała standardowa autoryzacja – i nie dotyczyła ona ani hasła, ani loginu.

Ponadto, zanim przejdziemy do strony podanej w linku wiadomości, sprawdźmy czy ktoś już nie zgłosił podobnej próby wyłudzenia danych. Jeśli nie mamy pewności, a sprawa wymaga natychmiastowej interwencji, skontaktujmy się telefonicznie z instytucją, od której rzekomo dostaliśmy wiadomość – zweryfikujmy jej źródło.

Zachowujmy trzeźwe myślenie, nie mamy obowiązku być online całą dobę- jeśli ktoś przysyła wiadomość pocztą elektroniczną, to nie powinien oczekiwać, że odpowiemy od razu, dlatego nie musimy działać pod wpływem emocji. Spokojnie przeanalizujmy sprawę, zanim podejmiemy jakiekolwiek działanie – nawet jeśli treść maila nakazuje działać szybko.

Co zrobić, gdy już jestem ofiarą ataku?

W przypadku, gdy omyłkowo ujawniliśmy swoje dane, powinniśmy działać, gdy tylko to spostrzeżemy. Mamy wtedy szanse, że przestępca, nie zdążył jeszcze wykorzystać tych informacji.

Przede wszystkim spróbujmy zmienić hasło i login (jeśli to możliwe). Jednocześnie skontaktujmy się z instytucją, do której dane zostały ujawnione, aby zgłosić fakt ataku – prawdopodobnie tam odpowiednie osoby, poinstruują nas, co możesz zrobić, by zminimalizować straty oraz przygotują oficjalny komunikat dla innych użytkowników szukających informacji w sieci.

Podsumowanie

Podsumowując, w przypadku phishing’u, podobnie jak w większości innych przypadków, racjonalna analiza sytuacji może oszczędzić nam zarówno nerwów jak i pieniędzy. Jak mantrę można powtarzać, że lepiej się dwa razy zastanowić i nie działać pod wpływem chwili, niż raz udostępnić swoje dane niepowołanym osobom.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

eight + 16 =