Atak phishingowy – na czym polega?
Cyberatak bazujący na phishingu opiera się na niezwykle prostym mechanizmie. Oszust przygotowuje sprytnie skonstruowaną wiadomość, w której umieszcza zainfekowany załącznik albo odpowiedni link i wysyła ją do odbiorcy. Teoretycznie każdy, kto potrafi napisać i wysłać e-mail lub SMS mógłby zostać cyberprzestępcą. Oczywiście konieczne jest zastosowanie kilku sztuczek, aby nie dać się wykryć, ale zasadniczo phishing nie wymaga specjalistycznej wiedzy z zakresu IT.
Dowiedz się, jakie działania określa się mianem phishingu: Sprytne oszustwa internetowe, czyli czym jest phishing?
Nie daj się złapać na haczyk oszustom internetowym! Dowiedz się więcej na temat phishingu oraz bezpieczeństwa w sieci!
Scenariusz przykładowego ataku phishingowego
Szykując cyberatak, oszust tworzy wiadomość, która do złudzenia przypomina standardową korespondencję otrzymywaną z banku, od operatorów komórkowych, od firm przewozowych, ze znanych serwisów internetowych czy też sklepów lub innych firm. Układ wiadomości, grafika, treść – wszystko imituje prawdziwy e-mail, SMS lub wiadomość wysyłaną z pomocą komunikatorów. Niekiedy nawet wykorzystuje wiadomość wyglądającą identycznie, wprowadzając tylko subtelne zmiany, a następnie dołączając zainfekowany załącznik czy link.
Często wyłudzenie danych osobowych odbywa się z pomocą phishingu ukierunkowanego. W tym wypadku oszust najpierw robi wywiad na temat potencjalnej ofiary i personalizuje wiadomość. To oczywiście zapewnia wyższą skuteczność ataku.
Dowiedz się, jak rozpoznać phishing: Co powinno wzbudzić Twoją uwagę, jak rozpoznać phishing?
Bardzo często oszust, konstruując wiadomość, odwołuje się do emocji odbiorcy oraz nakłania do szybkiego działania pod presją czasu. Wszystko dlatego, że phishing opiera się w dużej mierze na manipulacji.
W momencie, gdy odbiorca kliknie link zawarty w wiadomości pishingowej, wypełni formularz na specjalnie przygotowanej stronie lub rozpakuje zainfekowany załącznik – przestępca otrzymuje dostęp do poufnych danych. W ten sposób oszust może wyłudzić dane logowania do systemów bankowych lub różnych kont internetowych, pozyskać numery kart płatniczych lub dane osobowe takie jak numery PESEL, serie i numery dowodów osobistych oraz wiele innych.
Pozyskane dane oszuści wykorzystują na wiele sposobów – sprzedają organizacjom przestępczym, próbują na ich podstawie wyłudzać kredyty, okradają konta bankowe itp. Nawet pozornie niegroźne uzyskanie dostępu do Twoich kont społecznościowych może zostać wykorzystane, chociażby do przeprowadzania ataków phishingowych na kolejnych osobach, które Cię znają.
Sposoby przestępców na wyłudzenie danych osobowych
Jeśli mielibyśmy jednym słowem scharakteryzować taktykę używaną podczas ataków phishingowych, to idealnym pojęciem byłaby „kreatywność”. Z jednej strony przestępcy używają różnych kanałów komunikacji, z drugiej podszywają się pod przeróżne firmy, instytucje i osoby prywatne. Wreszcie tworzą mnóstwo oryginalnych historii odwołujących się do wielu emocji i skłaniających do działania pod presją czasu. Choć są ataki, które można byłoby określić jako typowe, to na każdy taki ewidentny przykład phishingu przypada dziesiątki, jeśli nie setki wariantów, które są oryginalne, nietypowe i tym samym trudne do wychwycenia. Dlatego chcąc się ustrzec przed phishingiem, trzeba zachować czujność oraz zwracać uwagę na każdy detal, a jeśli coś wzbudzi wątpliwości, najlepiej wstrzymać się z działaniem i zweryfikować podane informacje.
Jeśli podejrzewasz, że ktoś próbuje wyłudzić od Ciebie pieniądze lub dane, koniecznie zgłoś sprawę odpowiednim organom. Tylko w ten sposób możesz powstrzymać nieuczciwe osoby, które za tym stoją. Sprawdź, jak to zrobić: Do kogo i jak zgłaszać podejrzenie phishingu?