Nowe oblicza phishingu

Łukasz Michalik

Łukasz Michalik

Artykuły (8)

dziennikarz, ekspert nowych technologii

18-10-2018

Phishing to jedna z najpopularniejszych metod działania cyberprzestępców. Złodzieje stale udoskonalają swoje sposoby wyłudzania danych i dostosowują je do zmieniających się przyzwyczajeń internautów. W jaki sposób polują na naszą nieuwagę?

Phishing jest ogólną nazwą działań, stosowanych przez cyberprzestępców w celu zdobycia ważnych danych, jak informacje pozwalające na logowanie do różnych serwisów, dostęp do kont bankowych, poczty elektronicznej czy serwisów społecznościowych.

Działania te z reguły nie są celem samym w sobie – są narzędziem, pozwalającym na internetowe kradzieże czy inne przestępstwa. Ich fundamentem jest zazwyczaj socjotechnika i wykorzystywanie błędów,  popełnianych przez nieostrożnych użytkowników.

Najpowszechniejszym przykładem stosowania phishingu są maile, preparowane tak, by skłonić użytkownika do kliknięcia w link, prowadzący do specjalnie przygotowanej strony (np. imitującej stronę banku), służącej kradzieży danych. Pomysłowość przestępców sięga jednak znacznie dalej, a stosowane przez nich sztuczki bezlitośnie wykorzystują nawet nie tyle brak ostrożności, co rutynę i nagromadzone przez lata przyzwyczajenia. Z jakich metod korzystają internetowi złodzieje? 

Wizualne podobieństwo liter i znaków

 Gdy czytamy, nasz mózg zazwyczaj nie analizuje poszczególnych liter, ale – na podstawie zdobytej przez lata edukacji wiedzy – widzi całe wyrazy o określnym znaczeniu. Co więcej, w innych alfabetach i zestawach znaków możemy znaleźć takie, które mimo innego znaczenia do złudzenia przypominają stosowane przez nas, łacińskie litery (np. ɢ przypominające wielką literę G). Podatność ta bywa wykorzystywana przez cyberprzestępców, tworzących fałszywe strony w domenach, które pod względem wyglądu przypominają znane nam nazwy.

Innym wariantem tej metody jest zastępowanie niektórych liter jednym lub kilkoma znakami, które je przypominają, jak np. w przypadku I w roli l (wielka litera i jako mała litera L) albo rn (małe litery R i N) udające małą literę m.

Wykorzystanie zaufania do internetowych serwisów handlowych

W sieci znajdziemy wiele serwisów, pośredniczących w różnego rodzaju transakcjach handlowych. Różnią się one zasadami i sposobem realizacji transakcji, co wykorzystują oszuści, korzystający z serwisów OLX i Allegro. Przykładem takich działań jest m.in. proceder oferowania w pierwszym serwisie rożnych przedmiotów po bardzo atrakcyjnych cenach. W przypadku zainteresowania ofertą oszust proponuje finalizację transakcji np. poprzez Allegro, tłumacząc to choćby względami bezpieczeństwa i przesyłając link do oferty.

W praktyce link prowadzi do fałszywej strony, imitującej znany serwis – strona ta służy m.in. wyłudzeniu nie tylko loginu i hasła, podanego przez nieostrożnego użytkownika, ale często także płatności.

Favicon udający bezpieczne połączenie

Powszechnie przyjętym symbolem, gwarantującym bezpieczne połączenie pomiędzy przeglądarką internetową a serwerem jest zielona kłódka. Jej obecność oznacza zastosowanie bezpiecznego protokołu HTTPS, czyli szyfrowania wymiany danych pomiędzy przeglądarką i serwerem, na którym umieszczona jest strona. To ważna i działająca uspokajająco informacja.

Skojarzenia związane z zieloną kłódką postanowili wykorzystać cyberprzestępcy. Dla swoich stron tworzyli favikony (to niewielki obrazek, widoczny np. w przeglądarce internetowej na karcie strony, tuż obok jej tytułu) wyglądające jak zielona kłódka. Ponieważ niegdyś niektóre przeglądarki wyświetlały takie obrazki obok pola adresu, użytkownik mógł odnieść wrażenie, że niezabezpieczone połączenie jest szyfrowane i podać wrażliwe dane. 

Kradzież tożsamości na Facebooku

Wśród zagrożeń związanych z najpopularniejszym serwisem społecznościowym warto wspomnieć także te, dotyczące kradzieży danych. Przykładem stosowanego przez przestępców phishingu są m.in. wiadomości, rozsyłane przez specjalnie spreparowaną stronę. Zastosowany w niej awatar z logo Facebooka sugeruje, że jest to oficjalne konto serwisu. Korzystający z takiej strony przestępcy wysyłają wiadomości m.in. do administratorów innych stron – wśród ujawnionych przypadków znalazły się m.in. groźby, dotyczące usunięcia fanpage’y w związku z rzekomym naruszeniem zasad.

Wiadomość taka zawiera link zamaskowany poprzez użycie jednego z serwisów, skracających adresy internetowe. Link prowadzi do strony przypominającej Facebooka, a jej zadaniem jest skłonienie użytkowników do zalogowania, a tym samym przekazania przestępcom swoich danych dostępowych do prawdziwego Facebooka.

Fałszowanie podpisu użytkownika w emailu

Korporacyjnym standardem, powszechnie stosowanym w wielu firmach, są rozwiązania Microsoftu. Jednym z nich jest klient poczty Outlook, a świadomi tego cyberprzestępcy potrafili wykorzystać specyficzną cechę tego oprogramowania, pozwalającą na ukrycie prawdziwego adresu nadawcy maila.

Dzięki umieszczeniu w polu „Od”, opisującym nadawcę wiadomości, kilkuset spacji, prawdziwy adres nadawcy był niewidoczny na ekranie. Zamiast niego użytkownik widział to, co wpisali cyberprzestępcy, czyli np. adres email wskazujący, że nadawcą maila jest np. bank lub inna wiarygodna instytucja. Miało to skłonić do zaufania nadawcy i kliknięcia w link, kierujący do strony wyłudzającej dane.

Przedmioty oddawane za darmo

Jedną z metod stosowanych przez cyberprzestępców jest wykorzystanie serwisów ogłoszeniowych, w których są zamieszczane oferty oddania za darmo atrakcyjnych przedmiotów. Gdy ktoś skuszony w ten sposób zgłosi chęć przyjęcia danej rzeczy, oszust informuje o konieczności zamówienia kuriera i przesyła wiadomość, zawierającą spreparowany link, służący – rzekomo – opłaceniu przesyłki. W rzeczywistości link prowadzi do strony, udającej pośrednika płatności (jak np. DotPay).

Z fałszywej strony pośrednika użytkownik kierowany jest na fałszywe strony banków, gdzie podaje swoje – prawdziwe – dane dostępowe, przechwytywane w ten sposób przez przestępców. Jednym ze sposobów na ograniczenie szkód wynikających z takiego procederu jest powszechnie stosowane w bankowości internetowej, dwuskładnikowe uwierzytelnianie, niezbędne do przeprowadzenia kluczowych działań na koncie lub zdefiniowania nowych.