Phishing, co powinno się wiedzieć?

65

Phishing

Co to, jak działa, przykłady z opisem i jak się bronić. Oraz kruczki prawne.
Przede wszystkim myślimy!!!

Długie, ale chyba przydatne.

Definicja

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej. Phishing jest bardzo prostym rodzajem ataku cybernetycznego. Nie wymaga szukania luk w zabezpieczeniach, ani posiadania zaawansowanej wiedzy technicznej. Phishing bazuje na najsłabszym ogniwie ochrony sieci komputerowej, czyli błędach użytkownika. Twórcy fałszywych informacji podszywają się pod realnie istniejące instytucje, nakłaniając użytkownika do udzielenia osobistych informacji – więcej na Wikipedii.

Jak działa phishing?

Phishing, z którym najczęściej mamy do czynienia polega na przesyłaniu potencjalnym ofiarom specjalnie spreparowanych wiadomości e-mail lub SMS-ów. W nich zamieszczane są linki do złośliwych stron internetowy, na których internauci muszą podać wrażliwe dane, są to najczęściej login oraz hasło do serwisu bankowości elektronicznej, co umożliwia oszustom kradzież pieniędzy z kont.
Nakłonienie do tego ofiary jest największym wyzwaniem, cyberprzestępcy wymyślają więc coraz to nowe powody, dla których miałyby to zrobić. Ostatnio najczęściej stosowaną metodą phishingu jest wyłudzanie danych na małą dopłatę.
W złośliwych wiadomościach przeczytać można, że brak dodatkowej, często wynoszącej kilkadziesiąt groszy opłaty do wstrzymanej paczki, zablokowanej aukcji w serwisie z ogłoszeniami, różnicy w kwocie faktury czy zaległości w Urzędzie Skarbowym lub u dostawcy energii będzie mieć dla ofiary przykre konsekwencje. Brakujące pieniądze można przelać za pośrednictwem witryny z szybkimi płatnościami, do której link zamieszczony jest w wiadomości. Kieruje on jednak do strony łudząco podobnej do popularnych serwisów jak PayPal czy DotPay, jednak wpisane na niej dane trafiają do przestępców, co pozwala im zalogować się na koncie ofiary w serwisie transakcyjnym i przelać oszczędności na własne konta.

Jak widać, mechanizm ten jest bardzo prosty, a największym problemem oszustów jest nakłonienie ofiary do podania danych, dlatego cały czas mamy do czynienia z nowymi kampaniami phishingowymi. Cyberprzestępcy nie zawsze straszą przykrymi konsekwencjami. Popularną metodą jest także informowanie w reklamach umieszczanych na stronach internetowych i portalach społecznościowych z atrakcyjnymi nagrodami lub możliwościami szybkiego zarobienia dużych pieniędzy (Więcej o tym tutaj). W tym drugim przypadku często wykorzystywane są wizerunki znanych osobistości (oczywiście bez ich zgody) mających uwierzytelnić oszustwo.

Typowe wiadomości phishingowe.

Do każdej, a zwłaszcza podejrzanej wiadomości podejdziemy spokojnie oraz sprawdzimy kilka jej elementów, to mamy sporą szansę, żeby nie paść ofiarą phishingu. Poniżej jest kilka przykładów złośliwych wiadomości i wskażemy elementy, które powinny wzbudzić waszą czujność.

Po prostu kliknij w miniaturkę i znajdziesz opis działania. To nie phishing 😷

Adresat wiadomości

Typowy lewy SMS

Polska mowa nie być trudna

Sprawdź adres strony, do której prowadzi link

Żądanie danych zawsze jest oszustwem

Uwaga na załączniki

Jak się bronić?

Przede wszystkim, jeśli to tylko możliwe, udokumentuj to, co właśnie się stało. Jeśli możesz zrób screeny ekranów na których podawałeś swoje dane, zapamiętaj domeny z którymi się łączyłeś, nie usuwaj wiadomości, które sugerowały ci dopłatę lub przesyłały jakieś linki. Poinformuj koniecznie swój bank o tym, że zostałeś okradziony, sprawę jak najszybciej zgłoś także policji. Zgłoś od razu także do swojego banku żądanie zwrotu pieniędzy!

W dniu 20 czerwca 2018 roku w życie weszły przepisy ustawy z dnia 10 maja 2018 roku o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, stanowiące implementację dyrektywy PSD II. Wprowadzone zmiany do ustawy o usługach płatniczych dotyczą między innymi zasad odpowiedzialności płatnika oraz sposobu postępowania dostawcy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej. Celami dyrektywy PSD II – poza dostosowaniem przepisów do zachodzących na rynku zmian oraz ustandaryzowaniem przepisów regulujących rynek płatności – są także zapewnienie konsumentom większego bezpieczeństwa i zwiększenie zakresu ich ochrony.

Nieautoryzowana transakcja – zgodnie z art. 40 ust. 1 u.u.p. transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. Można więc uznać, że z nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik nie wyraził na nią zgody.

Zgodnie z art. 46 Ustawy o usługach płatniczych bank MUSI oddać pieniądze, które zostały wyprowadzone z konta klienta bez jego zgody. I ma to zrobić niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji.

Jak chronisz Twoje dane osobowe?

Ten sam artykuł ustawy mówi o tym, że odpowiedzialność może zostać przerzucona na klienta, kiedy ten dopuścił się rażącego niedbalstwa. I z tego zapisu banki lubią korzystać. Jednak, w ocenie Rzecznika Finansowego, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej – z uwagi na obowiązek niezwłocznego zwrotu przez dostawcę kwoty nieautoryzowanej transakcji płatniczej – w pierwszej kolejności powinien nastąpić zwrot środków płatnikowi, a następnie – w wyniku ustalenia zakresu odpowiedzialności płatnika za nieautoryzowaną transakcję płatniczą – dostawca powinien wystąpić do płatnika z roszczeniem o zwrot całości lub części kwoty nieautoryzowanej transakcji płatniczej (w zależności od stopnia odpowiedzialności). Przepisy nie regulują tego, czym jest rażące niedbalstwo. Art. 42 cytowanej już ustawy mówi jednak, że klient ma korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W celu spełnienia obowiązku, o którym mowa powyżej, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. To sąd musi zdecydować, czy podanie loginu, hasła oraz kodów SMS atakującemu na spreparowanej stronie wyczerpuje zapisy cytowanego artykułu.

Jeśli bank nie zwróci środków, złóż reklamację

Odpowiedź na reklamację usług płatniczych powinieneś otrzymać w ciągu 15 dni roboczych. Jeśli bank będzie stał na stanowisku, że to twoja wina możesz poprosić o interwencję Rzecznika Finansowego – liczba takich zgłoszeń stale rośnie.

Jak chronić się przed phishingiem?

Nie ma narzędzia, które zagwarantuje ochronę przed takimi oszustwami. Żeby się przed nimi ustrzec, trzeba korzystać z kilku elementów. Najważniejszymi z nich są zdrowy rozsądek i ograniczone zaufanie do każdej wiadomości. To my stoimy na pierwszej linii frontu walki z przestępcami.

Dobrym pomysłem jest także korzystanie z programów antywirusowych i choć nie będą one w stanie wskazać, że przeglądany e-mail to phishing, to mogą zablokować niektóre niebezpieczne witryny oraz załączniki. Poniżej możecie sprawdzić aktualne ceny popularnych programów antywirusowych, które pomogą chronić wasze komputery oraz dane.

Stosujmy korzystanie w usługach dwustopniowej weryfikacji tożsamości użytkownika. Jest ona powszechnie stosowana w bankowości elektronicznej, ale dostępna jest w coraz większej liczbie usług i witryn. Dwustopniowa (lub dwuskładnikowa) weryfikacja polega na podaniu oprócz tradycyjnego hasła oraz loginu dodatkowego kodu. Mogą one być przesyłane mailem, SMS-em lub generowane przez aplikacje dostarczane przez usługodawcę. Istnieją także programy firm trzecich, które pozwalają na skojarzenie ich z wieloma serwisami, co umożliwia generowanie kodów w jednym miejscu. Najwygodniejszą jednak formą dwuetapowej weryfikacji są klucze bezpieczeństwa U2F, które zdejmują z barków użytkownika konieczność przepisywania ciągów znaków, bo wystarczy włożyć je do portu USB komputera i skojarzyć z obsługiwanymi usługami.

Phishing jest ogromnym zagrożeniem, bo jak wskazują niektóre badania jest on przyczyną nie tylko utraty pieniędzy, przez wielu użytkowników, ale także głównym powodem wycieków danych z firm.

Ważnym aspektem postęowania z podejrzanymi wiadomościami jest weryfikacja zawartych w nich informacji u źródła. Jeśli nie jest to możliwe osobiście, to można zrobić to telefonicznie, ważne jest jednak, żeby nie korzystać z numerów zamieszczonych w wiadomościach, a wykorzystywać te, które można znaleźć na oficjalnych stronach usługodawców.