Nigeryjski książę prosi o pomoc – jak rozpoznać typową wiadomość phishingową?
Kochani, czy kiedykolwiek otrzymaliście tajemniczą wiadomość e-mail od osoby podającej się za nigeryjskiego księcia, który desperacko potrzebuje waszej pomocy w przelaniu jego fortuny na wasze konto bankowe? Brzmi to jak coś, co wszyscy widzieliśmy już tysiące razy, prawda? A jednak wciąż zdarzają się ludzie, którzy dają się na to nabrać. Dlaczego tak się dzieje? Jak możemy lepiej chronić siebie i naszych bliskich przed tego typu oszustwami?
Początki phishingu – od freakowania do kradzieży tożsamości
Nazwa „phishing” może brzmieć zabawnie, ale to nic śmiesznego. Nazwa ta pochodzi od słowa „fishing”, czyli łowienie ryb, ponieważ przestępcy „łowią” swoje ofiary, kuszą je przynętą w postaci fałszywych wiadomości i próbują wyłudzić cenne dane osobowe. Korzenie tej praktyki sięgają lat 70. ubiegłego wieku, kiedy to hakerzy zwani „phreak-ami” (połączenie słów „phone” i „freak”) odkrywali luki w systemie telefonicznym, aby móc wykonywać darmowe połączenia.
Z czasem phishing ewoluował, stając się jednym z najpopularniejszych i najbardziej niebezpiecznych sposobów cyberprzestępców na wykradanie danych. Początkowo celem byli użytkownicy serwisu AOL, którzy otrzymywali wiadomości rzekomo od pracowników firmy, proszących o podanie haseł i informacji rozliczeniowych. Kiedy AOL próbowało zablokować te ataki, przestępcy przerzucili się na inne cele, takie jak serwisy aukcyjne i systemy płatności online.
Według Malwarebytes, phishing to „wyłudzanie danych, czyli oszukiwanie ludzi w celu uzyskania od nich poufnych informacji, takich jak hasła i numery kart kredytowych”. Hakerzy podszywają się pod zaufane organizacje, wysyłając fałszywe wiadomości, które mają na celu wystraszenie ofiary i skłonienie jej do podjęcia natychmiastowego działania, najczęściej polegającego na podaniu wrażliwych danych.
Oszuści nie próbują przełamywać zabezpieczeń
Ciekawa jest też sama ewolucja phishingu. Początkowo był on dość prymitywny – po prostu masowo rozsyłano fałszywe wiadomości e-mail, licząc, że choć część odbiorców da się na to nabrać. Jednak z czasem stał się on o wiele bardziej wyrafinowany. Eksperci z Malwarebytes zwracają uwagę, że oszuści coraz rzadziej próbują włamywać się do systemów i wykorzystywać luki techniczne. Zamiast tego wolą po prostu oszukać człowieka, aby ten sam im te dane przekazał.
Dlaczego? Bo to o wiele łatwiejsze. Jak stwierdza Adam Kujawa, dyrektor Malwarebytes Labs, „po co marnować czas na naruszanie warstwy bezpieczeństwa, skoro można oszukać kogoś, kto poda ci klucz?”. Najsłabszym ogniwem w systemie zabezpieczeń okazuje się najczęściej zwykły człowiek, który nie weryfikuje dokładnie, skąd pochodzi wiadomość e-mail.
Nigeryjski książę i inne klasyczne przykłady phishingu
Jednym z najbardziej rozpoznawalnych przykładów phishingu jest słynna historia o nigeryjskim księciu. Jak to zwykle bywa, zaczyna się ona od tajemniczej wiadomości e-mail, w której rzekomy wysoki rangą urzędnik z Nigerii prosi o pomoc w natychmiastowym przelewie milionów dolarów na nasze konto. W zamian obiecuje hojną nagrodę. Brzmi kusząco, prawda? A jednak to klasyczny przykład phishingu.
Według Wendy Zamory, szefowej działu treści w Malwarebytes Labs, nigeryjski książę to „osoba podająca się za urzędnika państwowego lub członka rodziny królewskiej, która potrzebuje pomocy w przekazaniu milionów dolarów z Nigerii”. Wiadomość jest oznaczona jako pilna lub poufna, a nadawca prosi odbiorcę o podanie numeru rachunku bankowego w celu „zabezpieczenia środków”.
Innym przykładem jest oszustwo, o którym w 2016 roku informował brytyjski serwis Anorak. Tamtejsi redaktorzy otrzymali wiadomość od rzekomego doktora Bakare Tunde, który twierdził, że jest kierownikiem projektu astronautyki w Narodowej Agencji Badań i Rozwoju Przestrzeni Kosmicznej w Nigerii. Doktor Tunde miał rzekomo przechwycić swojego kuzyna, majora sił powietrznych Abacha Tunde, przetrzymywanego przez ponad 25 lat w starej radzieckiej stacji kosmicznej. Za jedyne 3 miliony dolarów rosyjskie władze miały go stamtąd uwolnić. Oczywiście był to kolejny wymyślony na potrzeby phishingu scenariusz.
Phishing telefoniczny, SMS-owy i inne odmiany
Phishing to nie tylko ataki realizowane za pomocą poczty elektronicznej. Cyberprzestępcy wykorzystują również inne kanały komunikacji, takie jak telefon (tzw. vishing) czy wiadomości SMS (smishing). W przypadku ataków telefonicznych oszust podaje się na przykład za pracownika banku lub urzędu, informuje o jakimś problemie i nalega na natychmiastowe rozwiązanie go poprzez podanie poufnych danych lub dokonanie płatności.
Z kolei w smishingu przestępcy wysyłają fałszywe SMS-y, często zawierające złośliwe linki, które po kliknięciu infekują urządzenie ofiary. Tego typu ataki są szczególnie niebezpieczne, ponieważ większość ludzi traktuje wiadomości tekstowe jako bardziej wiarygodne niż e-maile.
Oprócz tych klasycznych form phishingu istnieją również bardziej wyrafinowane odmiany, takie jak phishing typu spear. W tym przypadku ataki są ukierunkowane na konkretną osobę lub organizację, a treść wiadomości jest dostosowana do potrzeb ofiary. Hakerzy przeprowadzają dokładne rozpoznanie, aby zdobyć informacje na temat adresów e-mail, stanowisk, relacji zawodowych kluczowych pracowników danej firmy. Dzięki temu mogą stworzyć wiarygodną wiadomość, na przykład rzekomo od dyrektora zarządzającego, który nakazuje pracownikowi dokonanie przelewu.
Jak rozpoznać próbę phishingu?
Oczywiście nie wszystkie nietypowe wiadomości e-mail czy telefony to próby phishingu. Ale jest kilka kluczowych sygnałów ostrzegawczych, na które warto zwracać uwagę:
-
Oferta, która brzmi zbyt dobrze, aby była prawdziwa – wygrana na loterii, drogocenna nagroda czy inna tego typu propozycja. Pamiętajmy, że nie ma czegoś takiego jak darmowy obiad.
-
Naglące żądania natychmiastowego działania – groźba zamknięcia konta, konieczność szybkiej weryfikacji danych itp. Przestępcy chcą w ten sposób wyłączyć racjonalne myślenie ofiary.
-
Nieznany nadawca lub podejrzana domena e-mail – warto dokładnie sprawdzić adres, z którego przyszła wiadomość. Często różni się on tylko jedną literą od adresu znanej i zaufanej organizacji.
-
Obecność podejrzanych linków lub załączników – najlepiej nie klikać w takie elementy, nawet jeśli wiadomość wydaje się wiarygodna. Zawsze lepiej zweryfikować informacje bezpośrednio na stronie internetowej organizacji.
Jeśli macie jakiekolwiek wątpliwości co do autentyczności wiadomości, nie wahajcie się skontaktować bezpośrednio z rzekomo nadawcą, korzystając z oficjalnych kanałów komunikacji. Lepiej dmuchać na zimne niż stać się ofiarą phishingu.
Broń się przed phishingiem – praktyczne wskazówki
Oczywiście sama czujność to nie wszystko. Aby jeszcze lepiej chronić się przed atakami phishingowymi, warto zastosować kilka dodatkowych środków bezpieczeństwa:
-
Używaj dobrego oprogramowania antywirusowego – większość narzędzi bezpieczeństwa cybernetycznego, takich jak Malwarebytes, potrafi wykryć fałszywe strony i powstrzymać Cię przed ich otwarciem, nawet jeśli wydają się one autentyczne.
-
Bądź ostrożny z udostępnianiem danych osobowych – staraj się nie podawać poufnych informacji, takich jak numery kart kredytowych, przez nieznane lub podejrzane kanały komunikacji.
-
Regularnie aktualizuj swoje oprogramowanie – luki w systemach operacyjnych i aplikacjach to jedno z najczęstszych źródeł zagrożeń, a aktualizacje je łatają.
-
Ufaj swojej intuicji – jeśli coś w wiadomości wydaje Ci się podejrzane, lepiej zaufaj swojemu wyczuciu. Lepiej dmuchnąć na zimne niż stać się ofiarą.
Pamiętajcie, że choć phishing to jedno z najprostszych, a zarazem najbardziej niebezpiecznych zagrożeń w sieci, z odpowiednią wiedzą i ostrożnością możemy się przed nim skutecznie bronić. Bądźcie czujni, weryfikujcie każdą wątpliwą wiadomość i nie dajcie się złowić na przynętę nigeryjskiego księcia czy innych cyberprzestępców!