Świąteczny phishing - sposoby ataku i obrony

25-11-2014, 14:18

Coraz więcej Polaków, idąc z duchem czasu, przymierza się do świątecznych zakupów przez internet. Na wysokie zarobki mogą w tym okresie liczyć niestety nie tylko przedsiębiorcy, ale również cyberprzestępcy. Przeprowadzenie kampanii phishingowej nie wymaga rozległej wiedzy informatycznej, a masowo rozsyłane, z pozoru atrakcyjne oferty mogą skusić wielu użytkowników.

Według przywoływanego już na naszych łamach raportu Deloitte 40% Polaków planuje zakup świątecznych prezentów w sieci. Z badań firmy ARC Rynek i Opinia wynika, że może ich być nawet dwa razy więcej. O badaniach wiemy z komunikatu Poczty Polskiej, która chwali się, że ponad 70% klientów e-sklepów wybierze ją jako dostawcę przesyłek z prezentami.

Średnio respondenci chcą przeznaczyć na zakup prezentów 500 zł, a połowa z nich nie więcej niż 400 zł. Co czwarta osoba planuje wydać kwotę większą niż 500 zł – podaje ARC Rynek i Opinia. Zastanówmy się, w jaki sposób mogą to wykorzystać phisherzy.

Z wędką na internautów

Phishing całkiem słusznie kojarzy się z fishingiem, czyli rybołówstwem - różnica polega na tym, że zajmujące się nim osoby łowią nie ryby, a internautów, od których różnymi sposobami starają się wyłudzić poufne dane, czyli loginy, hasła, numery kart kredytowych itp.

Typowy atak phishingowy składa się z kilku kroków. Najpierw cyberprzestępcy wybierają, kogo zaatakują – mogą to być np. klienci określonego e-sklepu albo platformy aukcyjnej (szczególnie często atakowani są w ten sposób użytkownicy Allegro). Tworzona jest witryna, która zazwyczaj przypomina oryginalną stronę logowania do konta. Wszystkie wprowadzone na niej dane będą przekazywane oszustom.

Kolejnym krokiem jest rozpowszechnienie odnośnika do spreparowanej strony. Cyberprzestępcy pozycjonują je, używając technik Black Hat SEO, które nie są zgodne z regulaminami wyszukiwarek. To powoduje, że internauci, wpisując w pole wyszukiwania nazwy wymarzonych prezentów, wśród najpopularniejszych wyników znajdują linki do podrobionych stron.

Najbardziej rozpowszechnionym sposobem wabienia internautów na takie witryny jest jednak poczta elektroniczna. Jeżeli fałszywe e-maile będą sprawiać wrażenie wiarygodnych, istnieje szansa, że ich odbiorcy klikną w podany przez phisherów link i spróbują zalogować się na podrobionej stronie, przekazując dane dostępu do swoich kont w niepowołane ręce.

Skala zjawiska

Głównym tematem najnowszego raportu RSA są oszustwa w handlu elektronicznym. W ciągu trzeciego kwartału 2014 r. średnia wartość nieuczciwych transakcji online zdecydowanie przewyższyła wartość tych legalnych, w niektórych przypadkach nawet czerokrotnie. Wiele wskazuje na to, że trend ten utrzyma się również w czwartym kwartale. Jeśli chodzi o sam phishing, to we wrześniu zidentyfikowano prawie 25 tys. ataków tego typu. Według szacunków RSA straty finansowe wynikające z phishingu mogą sięgać 240 mln dolarów.

Dla porównania zajrzeliśmy też do analizy przygotowanej przez Kaspersky Lab. Można się z niej dowiedzieć, że odsetek spamu we wrześniowym ruchu e-mail wynosił średnio 66,5%. Komponent antyphishingowy tej firmy odnotował prawie 18,8 mln wykryć. 36,97% z nich stanowił phishing o podłożu finansowym – odsetek ataków na klientów różnych banków sięgnął 18,28%, na kolejnych miejscach uplasowały się sklepy internetowe (11,35%) oraz systemy e-płatności (7,34%).

Co ciekawe, z innego badania RSA (przeprowadzonego we współpracy z instytutem Ponemon) wynika, że pomimo ogromnej liczby przypadków kradzieży danych 45% respondentów nie zamierza zmieniać swoich przyzwyczajeń dotyczących kupowania online przy użyciu kart płatniczych. Badanie dotyczyło mieszkańców Stanów Zjednoczonych. Miejmy nadzieję, że kupujący w sieci Polacy wykazują się większą rozwagą.

Popularne tricki phisherów

Wśród podejrzanych e-maili, trafiających do skrzynek polskich internautów, można znaleźć:

  1. Fałszywe rabaty i promocje
    Na ataki tego typu narażeni są użytkownicy, którzy polują w internecie na różnego rodzaju okazje i promocje sprzedażowe. Obiecując nagrody rzeczowe, kupony upominkowe bądź rabaty, oszuści nakłaniają internautów do udziału w pozornie nieszkodliwych ankietach. Ich prawdziwym celem jest oczywiście wyłudzenie mniej lub bardziej poufnych danych (pozyskane w ten sposób adresy e-mail mogą np. zostać sprzedane spamerom).

  2. Szkodliwe banery reklamowe
    Również ta metoda wykorzystuje skłonność użytkowników do sprawdzania tak zwanych okazji. W popularnych serwisach internetowych nieraz już zamieszczano bez wiedzy administratorów fałszywe reklamy, które udawały legalne ogłoszenia. Ich kliknięcie powodowało pobranie szkodliwego programu albo przekierowanie na sfałszowaną stronę.

  3. Fałszywe wyniki wyszukiwania
    Pozycjonowanie przy użyciu technik Black Hat SEO pozwala przestępcom umieszczać fałszywe strony wśród wyników wyszukiwania popularnych w danym okresie fraz - kupując prezenty na Gwiazdkę, warto uważać na linki do nieznanych e-sklepów oferujących szukane przez nas produkty w atrakcyjnych cenach. Istnieje także możliwość fałszowania wyników wyszukiwania za pomocą skryptów, co grozi pobraniem złośliwego oprogramowania lub przekierowaniem na podrobioną stronę wiarygodnego sklepu.

  4. Zainfekowane popularne strony
    Wykorzystując popularne serwisy o dużym natężeniu ruchu, cyberprzestępcy mogą zainfekować więcej użytkowników bądź wyłudzić od nich dane. Wystarczy, że administratorzy zapomną o zaktualizowaniu CMS-a, którego używa dany serwis. Wczoraj np. informowaliśmy o groźnej luce w WordPressie, a miesiąc temu równie poważną usterkę wykryto w Drupalu.

  5. Fałszywe e-faktury i powiadomienia
    Podszywanie się pod znane marki to najczęściej stosowany trick phisherów. W okresie poprzedzającym święta należy spodziewać się kolejnej fali przesyłek rzekomo od Poczty Polskiej i jej największego konkurenta, czyli InPostu (oferującego odbiór paczek w Paczkomatach). Nie zabraknie też pewnie fałszywych powiadomień od znanych firm kurierskich. Opisywane przez nas ataki tego typu miały z reguły na celu albo kradzież poufnych danych, albo instalowanie szkodliwych programów.

  6. Rzekomo zablokowane konto
    W Dzienniku Internautów pisaliśmy wielokrotnie o atakach na użytkowników platformy aukcyjnej Allegro. Oszuści zazwyczaj informowali o zablokowaniu konta z powodu nieuregulowanych opłat albo umieszczenia w opisie aukcji treści niezgodnych z regulaminem. Odblokowanie miało nastąpić po zalogowaniu się poprzez podany link. Niewykluczone, że niebawem pojawi się więcej takich e-maili, skierowanych również do użytkowników innych serwisów.

Kreatywność internetowych przestępców nie ma granic, więc na pewno nie są to wszystkie przypadki phishingu możliwego do zastosowania w okresie świąt. Warto zachować zdrowy rozsądek, przeglądając otrzymywane e-maile.

Przede wszystkim warto pamiętać, że wiarygodni usługodawcy nie wysyłają swoim klientom wiadomości z prośbą o podanie poufnych informacji, takich jak identyfikatory i hasła używane podczas logowania, numery kont bankowych i kart kredytowych, PIN-y czy jakiekolwiek dane identyfikacyjne. Korzystają z poczty elektronicznej tylko w celach informacyjnych po wcześniejszym wyrażeniu na to zgody przez klienta. Zazwyczaj nie umieszczają też w wysyłanych e-mailach linków umożliwiających użytkownikowi zalogowanie się na swoje konto. Wiadomości, które nie spełniają tych reguł, należy ignorować.

Zamknięta kłódka nie zawsze oznacza bezpieczeństwo

Kolejna zasada: podczas logowania się na konto (w banku, e-sklepie itp.) należy sprawdzić, czy połączenie jest szyfrowane – adres strony będzie wówczas zaczynać się od https:// a nie http://. Na pasku adresu przeglądarki zobaczymy też charakterystyczny symbol zamkniętej kłódki lub klucza. To jednak nie wystarczy, by mieć zaufanie do odwiedzanej strony, istnieje bowiem możliwość przeprowadzenia ataku phishingowego z wykorzystaniem oryginalnego certyfikatu SSL na sfałszowanej witrynie.

Aby to osiągnąć, cyberprzestępcy włamują się na serwer legalnie działającej firmy i używają go do opublikowania własnej witryny. Zazwyczaj przypomina ona stronę logowania banku lub e-sklepu, w rzeczywistości nie łączy się jednak z jego autentycznym serwerem i certyfikatem. Korzysta natomiast z certyfikatu przechwyconego wcześniej serwera legalnej firmy, dzięki czemu na ekranie wyświetla się symbol zamkniętej kłódki informujący o szyfrowaniu połączenia. Dlatego przed zalogowaniem się na swoje konto zawsze należy zweryfikować ważność certyfikatu oraz to, czy został on wystawiony dla danego adresu.


  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Maj 2019»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031