Phishing, co powinno się wiedzieć?

Co to, jak działa, przykłady z opisem i jak się bronić. Oraz kruczki prawne. Przede wszystkim myślimy!!!

Phishing, co powinno się wiedzieć?
Phishing, co powinno się wiedzieć?
13 Min czytania

Phishing

 

Co to, jak działa, przykłady z opisem i jak się bronić. Oraz kruczki prawne.
Przede wszystkim myślimy!!!

Długie, ale chyba przydatne.

Definicja

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań.

 

Jest to rodzaj ataku opartego na inżynierii społecznej.

 

Phishing jest bardzo prostym rodzajem ataku cybernetycznego. Nie wymaga szukania luk w zabezpieczeniach, ani posiadania zaawansowanej wiedzy technicznej.

Phishing bazuje na najsłabszym ogniwie ochrony sieci komputerowej, czyli błędach użytkownika.

Twórcy fałszywych informacji podszywają się pod realnie istniejące instytucje, nakłaniając użytkownika do udzielenia osobistych informacji – więcej na Wikipedii.

Jak działa phishing?

Phishing, z którym najczęściej mamy do czynienia polega na przesyłaniu potencjalnym ofiarom specjalnie spreparowanych wiadomości e-mail lub SMS-ów.

W nich zamieszczane są linki do złośliwych stron internetowy, na których internauci muszą podać wrażliwe dane, są to najczęściej login oraz hasło do serwisu bankowości elektronicznej, co umożliwia oszustom kradzież pieniędzy z kont.

Nakłonienie do tego ofiary jest największym wyzwaniem, cyberprzestępcy wymyślają więc coraz to nowe powody, dla których miałyby to zrobić.

Ostatnio najczęściej stosowaną metodą phishingu jest wyłudzanie danych na małą dopłatę.
W złośliwych wiadomościach przeczytać można, że brak dodatkowej, często wynoszącej kilkadziesiąt groszy opłaty do wstrzymanej paczki, zablokowanej aukcji w serwisie z ogłoszeniami, różnicy w kwocie faktury czy zaległości w Urzędzie Skarbowym lub u dostawcy energii będzie mieć dla ofiary przykre konsekwencje.

Brakujące pieniądze można przelać za pośrednictwem witryny z szybkimi płatnościami, do której link zamieszczony jest w wiadomości.

Kieruje on jednak do strony łudząco podobnej do popularnych serwisów jak PayPal czy DotPay, jednak wpisane na niej dane trafiają do przestępców, co pozwala im zalogować się na koncie ofiary w serwisie transakcyjnym i przelać oszczędności na własne konta.

 

Jak widać, mechanizm ten jest bardzo prosty, a największym problemem oszustów jest nakłonienie ofiary do podania danych, dlatego cały czas mamy do czynienia z nowymi kampaniami phishingowymi.

Cyberprzestępcy nie zawsze straszą przykrymi konsekwencjami.

Popularną metodą jest także informowanie w reklamach umieszczanych na stronach internetowych i portalach społecznościowych z atrakcyjnymi nagrodami lub możliwościami szybkiego zarobienia dużych pieniędzy .

W tym drugim przypadku często wykorzystywane są wizerunki znanych osobistości (oczywiście bez ich zgody) mających uwierzytelnić oszustwo.

Typowe wiadomości phishingowe.

Do każdej, a zwłaszcza podejrzanej wiadomości podejdziemy spokojnie oraz sprawdzimy kilka jej elementów, to mamy sporą szansę, żeby nie paść ofiarą phishingu. Poniżej jest kilka przykładów złośliwych wiadomości i wskażemy elementy, które powinny wzbudzić waszą czujność.

Adresat wiadomości

W większości przypadków oszuści nie zadają sobie trudu, żeby ukryć adres, z którego pochodzą niebezpieczne wiadomości lub nieudolnie podszywają się pod zaufanego usługodawcę.

Na powyższym przykładzie wyraźnie widać, że w polu „Od brakuje adresata z domeny banku, za który podają się cyberprzestępcy.

Zamiast niego znaleźć można domenę .com, która nie jest wykorzystywana przez działające w Polsce instytucje finansowe.

Czasem zdarza się, że oszuści są bardziej przebiegli i stosują adresy podobne do usług, pod które się podszywają, jednak różnią się one od oryginału drobnymi szczegółami jak przestawione litery lub dopiski.

 

Adresat wiadomości
Adresat wiadomości

Uwaga na załączniki

Do przechwytywania wrażliwych danych lub włamywania się do komputerów oraz całych sieci przestępcy wykorzystują także złośliwe oprogramowanie.

Mechanizm działania jest ten sam i ogranicza się do nakłonienia ofiary do otworzenia złośliwego załącznika.

Najczęściej ukryte są one w archiwach ZIP lub RAR i mają postać plików wykonywalnych EXE, lub BAT.

Jednak także w makrach dokumentów programów pakietu MS Office można zaszyć szkodliwy kod, więc i na nie należ zwrócić uwagę i przed uruchomieniem przeskanować programem antywirusowym.

 

Uwaga na załączniki
Uwaga na załączniki

Żądanie danych zawsze jest oszustwem

Podstawową zasadą bezpieczeństwa w komunikacji elektronicznej usługodawców i ich klientów jest nieprzekazywanie w korespondencji wrażliwych danych.

Jeśli zostaniecie poproszeni o podanie loginu oraz hasła do usługi, bo wasze konto zostało zablokowane lub pod innym pozorem, to możecie być pewni, że wiadomość została wysłana przez przestępców.

Jeśli jednak macie wątpliwości, to skontaktujcie się telefonicznie z usługodawcą, który rozwieje wszelkie wątpliwości.

 

Żądanie danych zawsze jest oszustwem
Żądanie danych zawsze jest oszustwem

Typowy fałszywy SMS

Przestępcy często starają się wymusić na potencjalnych ofiarach działanie przez określenie wąskich ram czasowych, kiedy akcję można podjąć.

W przeciwnym przypadku zostaną wyciągnięte konsekwencje w postaci np. blokady konta w jakiejś usłudze.

Nie dajcie się na to nabrać i zawsze dokładnie sprawdzajcie podejrzane wiadomości.

 

Typowy fałszywy SMS
Typowy fałszywy SMS

Polska mowa nie być trudna

Spora część kampanii phishingowych przygotowywana jest przez zagranicznych przestępców, którzy o naszym języku nie mają pojęcia.

Wykorzystują oni translatory, że przełożyć na polski treść maili, co często okazuje się nawet dość zabawne.

W takich wiadomościach nie brakuje błędów gramatycznych, interpunkcyjnych oraz źle zastosowanych wyrazów.

Jeśli zauważycie coś takiego, to wiadomość możecie od razu kasować.

 

Polska mowa nie być trudna
Polska mowa nie być trudna

Sprawdź adres strony, do której prowadzi link

Szczególną uwagę w wiadomościach e-mail należy zwrócić na adresy stron, do której prowadzą zawarte w nich odnośniki

Wbrew pozorom nie trzeba ich klikać, żeby sprawdzić, gdzie was przeniosą.

Wystarczy nad linkiem umieścić wskaźnik myszy i poczekać aż przeglądarka lub program do obsługi poczty wyświetli ukryty pod tekstem URL (jak widać to na obrazku poniżej).

Waszą czujność powinny wzbudzić witryny niezwiązane z usługą, pod którą podszywają się przestępcy albo mniej lub bardziej różniące się od oryginału.

 

Sprawdź adres strony, do której prowadzi link
Sprawdź adres strony, do której prowadzi link

Jak się bronić?

Przede wszystkim, jeśli to tylko możliwe, udokumentuj to, co właśnie się stało.

Jeśli możesz zrób screeny ekranów na których podawałeś swoje dane, zapamiętaj domeny z którymi się łączyłeś, nie usuwaj wiadomości, które sugerowały ci dopłatę lub przesyłały jakieś linki.

Poinformuj koniecznie swój bank o tym, że zostałeś okradziony, sprawę jak najszybciej zgłoś także policji.

Zgłoś od razu także do swojego banku żądanie zwrotu pieniędzy!

 

W dniu 20 czerwca 2018 roku w życie weszły przepisy ustawy z dnia 10 maja 2018 roku o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, stanowiące implementację dyrektywy PSD II.

Wprowadzone zmiany do ustawy o usługach płatniczych dotyczą między innymi zasad odpowiedzialności płatnika oraz sposobu postępowania dostawcy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej.

Celami dyrektywy PSD II – poza dostosowaniem przepisów do zachodzących na rynku zmian oraz ustandaryzowaniem przepisów regulujących rynek płatności – są także zapewnienie konsumentom większego bezpieczeństwa i zwiększenie zakresu ich ochrony.

 

Nieautoryzowana transakcja – zgodnie z art. 40 ust. 1 u.u.p. transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. Można więc uznać, że z nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik nie wyraził na nią zgody.

 

Zgodnie z art. 46 Ustawy o usługach płatniczych bank MUSI oddać pieniądze, które zostały wyprowadzone z konta klienta bez jego zgody. I ma to zrobić niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji.

Jak chronisz Twoje dane osobowe?

Ten sam artykuł ustawy mówi o tym, że odpowiedzialność może zostać przerzucona na klienta, kiedy ten dopuścił się rażącego niedbalstwa.

I z tego zapisu banki lubią korzystać.

 

Jednak, w ocenie Rzecznika Finansowego, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej – z uwagi na obowiązek niezwłocznego zwrotu przez dostawcę kwoty nieautoryzowanej transakcji płatniczej – w pierwszej kolejności powinien nastąpić zwrot środków płatnikowi, a następnie – w wyniku ustalenia zakresu odpowiedzialności płatnika za nieautoryzowaną transakcję płatniczą – dostawca powinien wystąpić do płatnika z roszczeniem o zwrot całości lub części kwoty nieautoryzowanej transakcji płatniczej (w zależności od stopnia odpowiedzialności).

Przepisy nie regulują tego, czym jest rażące niedbalstwo. Art. 42 cytowanej już ustawy mówi jednak, że klient ma korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
W celu spełnienia obowiązku, o którym mowa powyżej, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

To sąd musi zdecydować, czy podanie loginu, hasła oraz kodów SMS atakującemu na spreparowanej stronie wyczerpuje zapisy cytowanego artykułu.

Jeśli bank nie zwróci środków, złóż reklamację.
Odpowiedź na reklamację usług płatniczych powinieneś otrzymać w ciągu 15 dni roboczych.

Jeśli bank będzie stał na stanowisku, że to twoja wina możesz poprosić o interwencję Rzecznika Finansowego – liczba takich zgłoszeń stale rośnie.

Jak chronić się przed phishingiem?

Nie ma narzędzia, które zagwarantuje ochronę przed takimi oszustwami. Żeby się przed nimi ustrzec, trzeba korzystać z kilku elementów. Najważniejszymi z nich są zdrowy rozsądek i ograniczone zaufanie do każdej wiadomości. To my stoimy na pierwszej linii frontu walki z przestępcami.

Dobrym pomysłem jest także korzystanie z programów antywirusowych i choć nie będą one w stanie wskazać, że przeglądany e-mail to phishing, to mogą zablokować niektóre niebezpieczne witryny oraz załączniki.

 

Stosujmy korzystanie w usługach dwustopniowej weryfikacji tożsamości użytkownika. Jest ona powszechnie stosowana w bankowości elektronicznej, ale dostępna jest w coraz większej liczbie usług i witryn.
Dwustopniowa (lub dwuskładnikowa) weryfikacja polega na podaniu oprócz tradycyjnego hasła oraz loginu dodatkowego kodu. Mogą one być przesyłane mailem, SMS-em lub generowane przez aplikacje dostarczane przez usługodawcę. Istnieją także programy firm trzecich, które pozwalają na skojarzenie ich z wieloma serwisami, co umożliwia generowanie kodów w jednym miejscu.
Najwygodniejszą jednak formą dwuetapowej weryfikacji są klucze bezpieczeństwa U2F, które zdejmują z barków użytkownika konieczność przepisywania ciągów znaków, bo wystarczy włożyć je do portu USB komputera i skojarzyć z obsługiwanymi usługami.

Phishing jest ogromnym zagrożeniem, bo jak wskazują niektóre badania jest on przyczyną nie tylko utraty pieniędzy, przez wielu użytkowników, ale także głównym powodem wycieków danych z firm.
Ważnym aspektem postęowania z podejrzanymi wiadomościami jest weryfikacja zawartych w nich informacji u źródła.

Jeśli nie jest to możliwe osobiście, to można zrobić to telefonicznie, ważne jest jednak, żeby nie korzystać z numerów zamieszczonych w wiadomościach, a wykorzystywać te, które można znaleźć na oficjalnych stronach usługodawców.

Udostępnij ten post