Phishing
Klasyczny phishing nadal trzyma się dobrze, choć ma na karku już trzy dekady. Potwierdzają to statystyki policji, z których wynika, że każdego roku dochodzi do co najmniej kilkuset tego typu incydentów. Nazwa phishing jest wariacją na temat dwóch angielskich słów: „password” (hasło) i „fishing” (łowienie). W wolnym tłumaczeniu możemy więc mówić o „łowieniu haseł”.
Phishing polega na podstawieniu klientowi sfabrykowanego maila, w którym nadawca podszywa się pod zaufaną instytucję. Maile z prośbą wysyłane są na setki lub tysiące adresów z nadzieją, że w tej masie uda się wyłowić naiwnych. Najczęściej oszuści podszywają się pod bank, bo środki finansowe są najbardziej pożądanym przez nich łupem. Ofiara dostaje więc maila z informacją, że konto w banku zostało zablokowane lub środki są w niebezpieczeństwie. Jest proszona o pilne zalogowanie się do systemu i np. zmianę hasła. Oszuści podstawiają w wiadomości link kierujący do fałszywej strony banku. Witryna do złudzenia przypomina oryginał, ale oczywiście różni się adres w pasku wyszukiwarki. Kto nie zwróci na to uwagi i wprowadzi swoje dane, ten da się nabrać. Informacje te trafiają bowiem w ręce oszustów, którzy mogą wyprowadzić pieniądze z konta.
Smishing
Nowszą odmianą phishingu, która wykorzystuje SMS-y lub komunikatory tekstowe jest smishing (sms phishing). Oszuści rozsyłają na losowo wybrane numery wiadomość z informacją o blokadzie konta. W wiadomości zaszyty jest link z prośbą o pilne zalogowanie się do systemu. Oczywiście po kliknięciu w link i wprowadzeniu danych na podstawioną stronę, wrażliwe dane trafiają w ręce oszustów. Złodzieje wykorzystują też komunikatory internetowe do wyłudzania pieniędzy. Celują np. w osoby, które sprzedają różne rzeczy na aukcjach internetowych. Deklarują zakup, ale całą rozmowę przekierowują do zewnętrznego komunikatora (np. Whast App) i tam podsyłają linki do rzekomej bramki płatniczej. Oczywiście sfałszowanej. Po wprowadzeniu danych i zaakceptowaniu transakcji ofiara może pożegnać się z oszczędnościami.
Vishing
Kolejna odmiana phishingu nosi nazwę vishing i polega na oszustwie wykorzystującym połączenia telefoniczne (voice phishing). Oszust dzwoni do swojej ofiary podając się za przedstawiciela banku lub działu bezpieczeństwa firmy IT i wciąga ją w swoją grę. Prosi np. o pilne zalogowanie się do konta (i podrzuca fałszywy link) lub nakłania do zainstalowania rzekomego oprogramowania antywirusowego. Program taki w rzeczywistości sam jest wirusem, który wyciąga hasła i wrażliwe dane z komputera. Ofiara, która da się nabrać postępuje zgodnie z wskazówkami oszusta i przekazuje mu wszelkie niezbędne informacje do wykonania transakcji na koncie. Niestety, ostatnimi czasy oszuści potrafią się podszyć nawet pod prawdziwe numery infolinii bankowych, co utrudnia rozpoznanie ataku.
Spear phishing
Tradycyjny phishing polega na wysyłce fałszywej korespondencji na tysiące losowo wybranych adresów. Jego odmianą jest „spear phishing” polegający na dokładnie ukierunkowanym ataku (nazwa pochodzi od włóczni – narzędzia do precyzyjnego polowania). Oszuści najpierw zdobywają informacje na temat swojej ofiary, a następnie przygotowują spersonalizowany atak. Często znają już nazwisko celu czy bank, w którym potencjalna ofiara trzyma swoje oszczędności, więc mogą podać w informacji konkretne szczegóły. Dalej atak przebiega już „klasycznie” – ofierze podstawiana jest fałszywa strona z prośbą o pilne zalogowanie się na konto. Wprowadzone tu dane trafiają w ręce złodziei, którzy mogą wyprowadzić pieniądze z konta.
Whaling
Whaling to kolejna forma phishingu. Tym razem ukierunkowana na tzw. „grube ryby” (z ang. whale to wieloryb). Celem ataku stają się z reguły osoby pełniące kluczowe funkcje w spółkach, np. dyrektorzy, księgowi, a nawet prezesi. Ofiarom podstawiane są spersonalizowane wiadomości z prośbą o pilne wykonanie np. przelewu na dużą kwotę do innej spółki. Z reguły oszust prosi o dyskrecję, przedstawia się jako szef firmy i prosi o pilne przetransferowanie pieniędzy na wskazane w wiadomości konto. Wiadomości oczywiście wyglądają na oryginalne, a ofiara dostając polecenie od wysoko postawionej osoby w firmie, rzadko kiedy weryfikuje w innych źródłach taką informację. W takich przypadkach w grę wchodzą już naprawdę poważne kwoty, często idące w miliony. Atak ten określany jest także terminem BEC (Business Email Compromise). Wysłanych pieniędzy oszywiście nie sposób jest później odzyskać.
Malvertising
Pod phishing możemy też podciągnąć technikę zwaną „malvertising” (zbitka sów malvare i advertising). Oszustwo polega bowiem na wyświetlaniu fałszywych reklam np. w serwisach społecznościowych. W reklamach takich – nakłaniających np. do niesamowitych inwestycji – zaszywane jest złośliwe oprogramowanie, które może przejąć kontrolę nad komputerem i wyciągnąć hasła. Często takie reklamy kierują do złośliwych stron, które służą do wyciągania wrażliwych danych. Tam ofiara wprowadza wrażliwe informacje samodzielnie. A one trafiają w ręce oszustów.
Przestępstwa nigeryjskie
To w zasadzie też forma phishingu. Nazwa pochodzi od popularnych przed laty przekrętów, w których oszuści podając się za nigeryjskiego księcia informowali mailowo swoją ofiarę o możliwości przetransferowania grubych milionów. Dziś oszuści wykorzystujący tę technikę podszywają się np. pod żołnierzy na misjach, lekarzy czy ofiary wojenne. Proszą o podanie numerów rachunków, na które trzeba wysłać pieniądze, ale z reguły najpierw trzeba dokonać opłaty za transfer środków lub przelać swoje oszczędności na wskazany przez oszustów rachunek, by odblokować inny przelew. Oczywiście każda z tego typu korespondencji ma na celu wyprowadzenie środków z konta ofiary.
Jak chronić się przed atakami?
By nie paść ofiarą oszustów warto zakodować sobie w głowie kilka informacji. Przede wszystkim należy zachować ostrożność, gdy w grę wchodzą nasze pieniądze – nie ufać obcym. Należy pamiętać, że banki nigdy nie wysyłają do swoich klientów informacji o blokadach konta czy atakach hakerskich za pomocą maila czy SMS-a z linkiem zewnętrznym. Jeśli otrzymamy taką wiadomość możemy być niemal w 100 proc. pewni, że to próba oszustwa. Nie należy też ufać rzekomym konsultantom dzwoniącym do nas z prośbą o podanie wrażliwych informacji (ale też np. kodów Blik do autoryzacji). Jeśli otrzymamy taki telefon, rozłączymy się i samemu zadzwońmy na infolinię – pamiętajmy jednak, by ręcznie wprowadzić numer telefonu, a nie oddzwaniać na ostatni numer z listy. Banki nie proszą też nigdy o zainstalowanie programów antywirusowych podczas połączenia telefonicznego czy za pomocą wiadomości e-mail z linkiem. Natomiast jeśli otrzymamy od szefa drogą mailową prośbą o pilne i dyskretne wykonanie przelewu, najlepiej udać się do przełożonego i osobiście potwierdzić taką informację.
