Najpopularniejsze oszustwa typu phishing w 2024 roku. Na co warto uważać?

Ataki typu phishing - Słowem wstępu

Poruszana tutaj tematyka ma na celu wytłumaczyć w możliwie jak najbardziej przystępny sposób pojęcie phishingu i związane z nim kluczowe kwestie. Jeżeli w którymś momencie uznasz, że zbyt pobieżnie/płytko podszedłem do niektórych zagadnień, to znaczy, że powinieneś skorzystać z wiedzy specjalistycznej: Tutaj odsyłam do twórców treści z Niebezpiecznika oraz Sekuraka. Jednocześnie mam nadzieję, że każdy z ciekawością pozostanie z nami i wyciągnie coś dla siebie z tego artykułu lub uzna, że warto przesłać go do kogoś z bliskich bądź znajomych.

Ataki typu phishing - Wprowadzenie

Phishing to jedna z najpopularniejszych technik stosowanych przez cyberprzestępców w celu włamania się na konta użytkowników, kradzieży ich danych, czy infekcji sprzętu złośliwym oprogramowaniem (m.in. ransomware). Według jednego z najnowszych raportów (opracowanego przez Zscaler ThreatLabz) w 2023 roku na całym świecie odnotowano o 58,2% (czyli około 745 milionów) więcej ataków phishingowych w porównaniu z 2022 rokiem. To ile tych incydentów w ogóle wystąpiło? Według wspomnianego raportu szacuje się, że w zeszłym roku doszło do ponad 1,75 miliarda (!) prób wyłudzenia danych. To pokazuje, że phishing nie tylko żyje i ma się dobrze, ale również rozwija się w szaleńczym tempie oraz staje się plagą tej dekady. Patrząc na skalę globalną okazuje się natomiast, że nasz kraj jest w top 10 najczęściej atakowanych państw na świecie! Także warto być świadomym użytkownikiem i wprowadzić do swoich nawyków odpowiednie mechanizmy, chroniące przed wyłudzeniem danych.

Obejrzyj w

Czym w ogóle jest phishing?

Phishing to technika oszustwa polegająca na wykorzystaniu fałszywych danych (najczęściej wiadomości z komunikatorów, e-mail, SMS-ów czy stron internetowych), których zadaniem jest wyłudzenie od ofiar informacji poufnych, takich jak hasła, loginy, numery kart kredytowych, czy krytyczne/wrażliwe dane. Atakujący podszywają się często pod bliskich, znajomych, znane instytucje finansowe czy serwisy internetowe, co ma na celu zyskanie zaufania ofiary. Stąd właśnie wzięła się nazwa samego ataku (z ang. łowienie ryb) – Cyberprzestępca wabi odpowiednią przynętą ofiarę i ma za zadanie uśpić jej czujność. Gdy tylko poczuje, że „rybka połknęła haczyk” przystępuje do odłowienia jej (danych). Świetnym przykładem takiego zabiegu była promocja głośników Marshall na platformie Facebook, gdzie serwis X-kom.pl (X z dużej ma znaczenie) sprzedawał je w cenie… 9 zł. Grzech nie skorzystać, prawda? Szkoda tylko, że x-kom nie prowadził takiej akcji, a rzekoma oferta miała tak naprawdę za zadanie wyłudzenie danych kart płatniczych w celu ustawienia miesięcznej subskrypcji wynoszącej około 284 zł.

Oczywiście istnieje wiele innych rodzajów phishingów - przynęty, haczyki i metody mogą się różnić w zależności od sytuacji, ale idea i cel są zawsze takie same. Także przejdźmy do omówienia tych najpopularniejszych typów oszustw i omówmy na co należy zwrócić uwagę, aby przypadkowo nie dać się na nie złapać.

Ataki typu phishing - Rodzaje i typy

Phishing e-mailowy

W przypadku phishingu e-mailowego procedura wygląda następująco: ktoś wysyła Ci fałszywy e-mail, który mniej lub bardziej przypomina oficjalną wiadomość. Atakujący ma nadzieję, że nakłoni Cię do kliknięcia odpowiedniego łącza/przycisku, bądź zmotywuje do pobrania załącznika. W Polsce takie wiadomości najczęściej imitują popularne portale sprzedażowe, bankowość internetową czy chociażby firmy pocztowe/kurierskie. W wielu przypadkach jesteśmy proszeni o pilną interwencję, gdyż z pewnych przyczyn (różnie określanych) doszło do niespodziewanego incydentu i wysyłający wiadomość każe podjąć odpowiednie działania – najczęściej chodzi o dopłatę jakiejś niewielkiej kwoty lub zalogowanie się na spreparowanej stronie internetowej. W takim przypadku atakującym chodzi oczywiście o uzyskanie dostępu do danych karty kredytowej lub konta bankowego.

Klasyczne próby phishingu mailowego. Tym razem skierowane do użytkowników OLX

Jak się należy bronić przed takim atakiem? Tutaj kwestii do poruszenia jest kilka. Najpierw zaczynamy od sprawdzenia adresu przychodzącego – Wiadomości mailowe powinny docierać do nas z oficjalnych domen danej platformy. Jeżeli zobaczymy dziwny ciąg znaków albo nietypowe nazewnictwo, to już powinna zapalić nam się odpowiednia lampka. Inną rzeczą, na którą warto zwrócić uwagę jest poprawna pisownia – Żaden szanujący się serwis nie będę popełniał błędów rzeczowych czy językowych w treści wiadomości. Jeżeli i tutaj będzie potencjalnie wszystko wyglądać w porządku, to nic nie stoi na przeszkodzie, aby zadzwonić na infolinię danego serwisu/platformy i dopytać, czy faktycznie pojawił się taki problem. Jeżeli którąkolwiek z tych metod potwierdzimy, że jest to próba wyłudzenia danych, to kopię tej wiadomości (wraz z odpowiednią adnotacją) warto przesłać do serwisu/platformy, pod którą oszust się podszywa. Oczywiście w kolejnym kroku samego maila należy usunąć.

Spear phishing

Spear phishing to szczególny rodzaj phishingu mailowego, który jest zdecydowanie bardziej spersonalizowany – Wiadomość zawiera dane osobowe ofiary w celu zwiększenia prawdopodobieństwa, iż ​​cel uwierzy w jej autentyczność. Taka forma ataku najczęściej kierowana jest do większych firm i ich pracowników. Haker może na przykład podać się za pracownika działu IT, by wyłudzić dane do logowania albo przesłać spreparowaną fakturę z prośbą o uregulowanie nieistniejącej zaległości.

Tutaj wyczucie próby oszustwa może być nieco trudniejsze, gdyż atakujący personalizuje wiadomość do ofiary. Warto jednak przejść przez wcześniejszą procedurę – Sprawdzamy maila, jego treść, a w ostateczności dzwonimy do danej osoby/firmy/działu w celu weryfikacji żądania.

Whaling

Bardzo ciekawy typ ataku phishingowego, w którym hakerzy skupiają się na upolowaniu „grubej sztuki”, a nie jakiejś tam „płotki” – Chodzi o to, że atakujący zamiast celować w szeregowego pracownika, przygotowuje się do spersonalizowanego ataku w kierownictwo wyższego szczebla, członków zarządu, a nawet samych szefów czy prezesów firm. To właśnie takie osoby mają wystarczającą władzę, aby uzyskać dostęp do poufnych danych lub przekazywać duże kwoty pieniędzy. Dlatego atak na takie persony musi być właściwie zaplanowany i niezwykle precyzyjny, przy zachowaniu odpowiedniego profesjonalizmu. Jeżeli jednak ów phishing się powiedzie, to skutki mogą być katastrofalne: kradzież tajemnic handlowych, straty finansowe (nierzadko liczone w milionach), a nawet dostęp do wewnętrznych danych, systemów i sieci.

Przykładów takich ataków w historii branży było naprawdę wiele. Z najświeższych można przytoczyć tutaj atak na węgierskie Pepco, gdzie firma straciła ponad 15 milionów euro.

Udany whaling na Pepco spowodował odpływ masy pieniędzy i strat na giełdzie

Co możemy zrobić z whalingiem? Dopóki jesteśmy wyłącznie szarymi obywatelami, to nie musimy się o taki atak martwić. W innym przypadku warto zawsze skonsultować tego typu incydenty z osobą/osobami odpowiedzialnymi za dział IT oraz przedyskutować to z bliskimi nam współpracownikami.

Smishing (lub SMS phishing)

Smishing jest bardzo zbliżony do klasycznego phishingu mailowego. Tutaj ponownie otrzymujemy wiadomości (w tym przypadku SMS), które również informują nas o pewnych nieprawidłowościach (najczęściej z dostawą, czy zamówieniem) i chcą zmotywować nas do natychmiastowego działania. Dokładnie tak jak w przypadku oszustwa poprzez pocztę elektroniczną, symptomy wskazujące na phishing są analogiczne (tak samo jak metody na jego weryfikację). Jedyną zmianą jest możliwość sprawdzenia numeru telefonu przesyłającego wiadomość w bazach online (tj. Nieznany Numer, czy Infonumer).

Przykłady wiadomości, które wielu Polaków otrzymuje każdego dnia

Do smishingu można również podpiąć ataki poprzez komunikatory internetowe (które nie otrzymały jeszcze swojej kategorii). W wielu przypadkach są one tożsame z wiadomościami SMS, jednak w ostatnim czasie pojawiła się nowa wariacja tego ataku. Otóż scammerzy próbują włamywać się na konta użytkowników, by z ich poziomu kontynuować rozmowy ze znajomymi ofiary i podejmować próby wyłudzenia pieniędzy. Przykład takiego ataku opisywał m.in. serwis Sekurak.

Scam na BLIK, opisywany w serwisie Sekurak

W takim scenariuszu mamy znikomą szansę na wykrycie oszustwa. Pamiętajmy jednak o kilku zasadach, gdy bliscy proszą nas o pieniądze:

• Korzystajmy z komunikatorów szyfrowanych, których aktywacja na nowym urządzaniu wymaga podania dodatkowych danych zabezpieczających
• Zabezpieczajmy swoje konta społecznościowe uwierzytelnianiem dwuskładnikowym (najlepiej stosując klucze szyfrujące)
• Jeżeli ktoś nas prosi o przelew środków, to róbmy to na zaufane konta, na które wcześniej już wpłacaliśmy danej osobie pieniądze (unikajmy podawania samego kodu BLIK)
• Jeżeli przeszło nam przez głowę, że ta prośba jest dość nietypowa, to po prostu zadzwońmy do osoby proszącej

Quishing (lub QR phishing)

Korzystasz z kodów QR (tzw. Quick Response)? Zapewne jak większość osób odpowiesz twierdząco. Te kwadratowe kody graficzne w bardzo wygodny sposób pozwalają nam odszyfrować chociażby linki do stron – nie trzeba przepisywać całego adresu URL, tylko wskazać obiektywem aparatu na ten czarno-biały obrazek i już mamy to, co chcemy… No chyba, że ktoś postanowił spreparować taki kod.

Obejrzyj w

W USA quishing jest bardzo popularny

Quishing to nic innego, jak próba podstawienia fałszywego kodu szybkiej odpowiedzi w miejscu, gdzie powinien znajdować się właściwy. Oszuści nie tylko przesyłają takie obrazki drogą elektroniczną, ale również pozostawiają je w fizycznych miejscach, tj. parkometry, komunikacja miejska, czy tablice ogłoszeń. Wobec tego jeżeli nie mamy pewności, czy dany kod jest bezpieczny, to po prostu go nie skanujmy.

Angler phishing

Pamiętacie jeszcze przykład ataku phishingowego, który przytoczyłem we wprowadzeniu? Mieliśmy tam do czynienia z sytuacją, gdy ktoś podawał się za jakiś realnie istniejący sklep i w ten sposób chciał pozyskać dane kart kredytowych postronnych użytkowników. Taka metoda phishingu ma swoją nazwę – Angler (czyli wędkarski).

Angler phishing polega na tym, że scammer dokonuje podszycia się pod jakąś popularną markę, w celu uśpienia czujności potencjalnych ofiar i skutecznego kradzieży ich danych. Najczęściej oszuści działają na platformach, tj. Facebook czy Instagram, gdzie tworzą profile o bardzo zbliżonej nazwie (jak wspomniany wcześniej x-kom.pl, w którego przypadku można spotkać fałszywki brzmiące X-kom.pl, X-KOM MarketPl, X Kom Sklep, czy X Kom PL). Z takich kont najczęściej zachęcają do promocyjnych zakupów albo do wzięcia udziału w jakimś konkursie. Oczywiście inni przestępcy potrafią do tego typu zadania przygotować całą stronę bądź włamać się do oficjalnego serwisu, by z jego poziomu pisać do klientów (Booking miał taką sytuację). Jak powinniśmy reagować na taką próbę oszustwa?

Przykłady angler phishingu na podstawie fanpage'u serwisu x-kom.pl na Facebooku

Po pierwsze, sprawdzamy nazwę danego profilu, ilość obserwujących i od kiedy funkcjonuje na danej platformie. Jeżeli natomiast scammer działa z poziomu oficjalnego konta (po wcześniejszym włamaniu), to przypominamy – Żaden konsultant, serwisant, czy sprzedawca NIGDY nie będzie prosił Was o wrażliwe dane, podanie loginów albo przelew na konto. Jeżeli spotkacie się z czymś takim, to natychmiast zakończcie korespondencję i zgłoście sprawę do administracji portalu bądź na infolinię.

Vishing (lub phishing głosowy)

Wcześniejsze metody phishingu były w jakiś sposób odczłowieczone – Mieliśmy do czynienia tak naprawdę tylko z tekstem. Vishing (ang. Voice Phishing) wchodzi na wyższy poziom, gdyż atakujący dzwoni do Ciebie bezpośrednio i (poprzez fałszywe informacje) próbuje Cię zastraszyć. Oszust może podawać się za firmę windykacyjną, kancelarię prawniczą, czy konsultanta dowolnego przedsiębiorstwa usługowego. W każdym z tych przypadków otrzymasz informację o sprawie, która będzie dla Ciebie co najmniej niekomfortowa. Ponadto osoba po drugiej stronie będzie starać się wywrzeć na Tobie presję, byś podjął natychmiastowe działanie. Mogą to być przekazanie swoich danych personalnych albo żądanie dokonania natychmiastowej płatności.

Choć phishing głosowy może być (w szczególności dla osób starszych) bardzo trudny do zauważenia, to wystarczy zapamiętać najlepszą procedurę do jego weryfikacji. Otóż mamy prawo poprosić rozmówcę o numer prowadzonej sprawy (czy określonego zlecenia) oraz dane firmy, której rzekomo to dotyczy. Jeżeli osoba po drugiej stronie nie będzie chciała podać takowych danych, rozłączy się albo będzie tłumaczyć, że to bez sensu (bo przecież sprawę trzeba rozwiązać NATYCHMIAST) to znaczy, że mamy do czynienia z oszustem. Jeżeli jednak scammer i na to się przygotował (np. na potrzeby phishingu została utworzona jakaś działalność gospodarcza), to możemy zweryfikować firmę chociażby w bazach CEIDG oraz KRS, jak również po prostu poszukać opinii na jej temat w Google. W przypadku rzekomej windykacji, warto również sprawdzić swoją osobę w raporcie BIK.

Deepfake phishing

Czas na najnowszą i (prawdopodobnie) najgroźniejszą metodę phishingu, która zyskuje coraz większą popularność. Otóż wraz z rozwojem algorytmów sztucznej inteligencji, otrzymaliśmy możliwość podkładania obrazu i dźwięku do oryginalnych nagrań i zdjęć. Oszuści wyczuli tutaj świetną przestrzeń do nadużyć i zaczęli tworzyć spreparowane materiały, gdzie politycy, influencerzy, czy nawet nasi najbliżsi mogą nas zachęcać do zakupów, inwestycji bądź innych rzeczy, które spowodują kradzież naszych danych lub pieniędzy. Prawdopodobnie z każdym rokiem ta metoda będzie chętniej wykorzystywana przez scammerów, gdyż algorytmy AI radzą sobie z tego typu zadaniami coraz lepiej. To w takim razie jak możemy się bronić przed tego typu phishingiem?

Tom Hanks reklamujący usługi dentystyczne? Rząd promujący projekt pasywnego dochodu? A może Pan Lewandowski oferujący swoją platformę inwestycyjną? Tak działa phishing XXI wieku

Tutaj już nie będzie jasnych i precyzyjnych procedur. W tym momencie każdy z nas powinien wyrobić w sobie mechanizm obronny, który będzie polegał na braniu tego typu informacji w wątpliwość. Widzisz zdjęcie premiera Polski, który w artykule zachęca obywateli do lokowania swoich środków w jakieś projekty inwestycyjne, gwarantując każdemu dochód pięciocyfrowy? Zauważasz popularną gwiazdę TikToka, która proponuje Ci zakup świetnego produktu w absurdalnie niskiej cenie? A może Twój brat wysłał Ci głosówkę, w której zachęca Cię do inwestycji niewielkiej kwoty w kryptowaluty? W każdym z tych scenariuszów musimy postawić sobie pytanie – Jak miałoby to działać? Czemu ta oferta jest taka cudowna i bez wad? Dlaczego nie ma podanych żadnych precyzyjnych informacji? Jeżeli sami nie jesteśmy w stanie odpowiedzieć na te pytania, to warto skierować się do zaufanych nam osób i omówić ten temat.

Obejrzyj w

Ataki typu phishing - Podsumowanie

Patrząc na statystyki, ataki phishingowe będą coraz popularniejsze w naszym cyfrowym świecie. Oszuści otrzymują raz za razem kolejne narzędzia, które mogą ułatwić im kradzież naszych danych, pieniędzy czy tożsamości. W takim wypadku nie pozostaje nam nic innego, jak uczyć się odpowiednich metod ich wykrywania. Najważniejsze w tym wszystkim jest to, aby wyrobić w sobie nawyk sceptyka – Oszuści najczęściej korzystają z naszej niewiedzy, strachu oraz pośpiechu. Jeżeli przy jakiekolwiek próbie phishingowej zatrzymamy się chociaż na minutę i podejmiemy odpowiednie działania prewencyjne, to mamy bardzo dużą szansę wyjść z takiej sytuacji obronną ręką.

A jakie są Wasze doświadczenia z phishingiem? Padliście jego ofiarą? A może ktoś z Waszych bliskich lub rodziny miał taką sytuację? Dajcie nam znać na ten temat poprzez udział w ankiecie. Jednocześnie zachęcamy do wypowiedzi w sekcji komentarzy!

Źródło: PCWorld, CERT.pl, comCERT, zscaler, demagog, Trend Micro, Sekurak, Niezbezpiczenik, Kwestia Bezpieczeństwa