Zostałem powołany do cyberwojska

 W maju 2021 roku na mojej skrzynce pocztowej pojawił się osobliwy e-mail – Dyrektor Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni żądał ode mnie potwierdzenia gotowości do wstąpienia do Cyberwojska. Wiadomość zawierała bezpośredni link, pod którym znajdował się formularz wstąpienia do wspomnianej jednostki. Drapanie w głowę i marszczenie brwi przekształciło się w śmiech dopiero chwilę później, gdy rzekomy generał oznajmił, iż sytuacja jest dramatyczna, ponieważ obecnie tylko dzięki dostawom prądu z Niemiec i Szwecji nasze państwo jest w stanie funkcjonować. Jest to tak nieprawdopodobne, że nie może być traktowane poważnie. Prawda?

Autor: Piotr Nasiłowski, IT Vulnerability Manager, ProData Consult

Czytam dalej: nie jesteśmy w stanie poradzić sobie sami, dlatego zdecydowałem się powołać specjalistów z sektora prywatnego, co do których posiadamy informacje, że są ekspertami w dziedzinie informatyki i cyberbezpieczeństwa. Jestem takim specjalistą i wiem, że z całą pewnością nie zostałem powołany do cyberwojska – zamiast tego stałem się celem kampanii mającej na celu wyłudzenie moich danych osobowych. Dało mi to do myślenia: większość użytkowników poruszających się po sieci nie posiada wiedzy eksperckiej w dziedzinie cyberbezpieczeństwa. Ale dzięki budowaniu świadomości w zakresie cyberzagrożeń każdy może na codzień walczyć z cyberprzestępcami. Co więcej – każdy powinien z nimi walczyć. Innymi słowy: korzystając z sieci zostaliśmy wszyscy powołani do cyberwojska.

Wędka i przynęta – typy phishingu

Opisane powyżej oszustwo to phishing (pochodzi od ang. „fishing” = łowienie ryb). Jest to bardzo popularna forma cyberataku. Wykorzystuje się w nim pocztę elektroniczną, wiadomości na instagramie, facebooku czy twitterze, ale też smsy i rozmowy telefoniczne, a jej celem jest wprowadzenie odbiorcy w błąd tak, aby zyskać jakieś korzyści – np. dane osobowe, dostęp do konta bankowego, dostęp do komputera czy dostęp do poufnych informacji, jeżeli użytkownik przechowuje takowe na stacji roboczej. Metafora odnosząca się do wędkowania jest bardzo trafna: wędką jest kanał komunikacyjny (np. e-mail, sms), przynętą wiadomość zawierająca manipulację, a zdobyczą – informacje, które dają cyberprzestępcy określone korzyści w postaci np. dostępu do konta bankowego, instytucji rządowej, poufnych danych krporacyjnych i tym podobnych.

 

Wiadomosci phishingowe są przygotowywane z coraz większą starannością – tak, by przypominały w jak największym stopniu prawdziwą korespondencję od zaufanego nadawcy. Szczególnie niebezpieczne są maile phishingowe kierowane na skrzynki pocztowe pracowników instytucji publicznych lub korporacji, gdyż te mogą skompromitować dane nie tylko pojedynczej osoby, lecz także pracę całej organizacji. Osobną kategorią takich ataków są tzw. spear phishing, czyli targetowanie (branie na cel) konkretnych organizacji bądź pracowników na konkretnych stanowiskach. Wiadomości takie są tworzone nie tylko z wykorzystaniem technik social engineering; oszuści nierzadko wykonują rekonesans w sieci na temat osoby bądź specyfiki stanowiska, na którym dana osoba pracuje. E-mail jest praktycznie „szyty na miarę” dla odbiorcy.

Prodata Consult

Whaling, czyli polowanie na „wieloryba” czy „grubą rybę” stanowi osobną kategorię phishingu. „Grubymi rybami” są CEO dużych koropracji, senior executives i tym podobne osoby na wysokich stanowiskach. Wiadomości spreparowane na potrzeby whailingu wymagają od oszusta dużo więcej wysiłku, niż phishing kierowany do losowych użytkowników. Osoby na wysokich stanowiskach są bowiem szerzej wykształcone, inteligentne, oczytane – i co za tym idzie – trudniej je oszukać. Chociaż sytuacje, w których whaling kończy się sukcesem po stronie cyberprzestępcy są rzadkością, to wystarczy tylko jedno kliknięcie na dziesiątki tysięci wysłanych maili, by firma odnotowała straty na poziomie milionów dolarów. To samo dotyczy kategorii phishingu określanej jako CEO fraud – przestępca podszywa się pod przełożonego, by np. wydać pracownikowi banku polecenie wykonania przelewu na wskazane konto.

 

Ciekawym przypadkiem jest też clone phshing. Ten rodzaj ataku zazwyczaj poprzedzony jest uprzednim włamaniem się i kradzieżą zasobów firmy w postaci oryginalnego, wcześniej rozsyłanego e-maila zawierającego listę odbiorców oraz załącznik lub link, który jest podmieniany na złośliwy oraz wysyłany ponownie. Jest to jeden z najbardziej niebezpiecznych ataków phishingowych, ponieważ taki e-mail jest niesamowicie trudny do odróżnienia od prawdziwego. Otrzymujesz jakieś powiadomienie, którego treść znasz na pamięć, ponieważ zazwyczaj dostajesz ich kilka w ciągu dnia i bez zastanowienia klikasz w link, który przecież zawsze znajduje się w tym samym miejscu. Jednak link nie prowadzi do tej samej strony, co zawsze – zostałeś\aś właśnie ofiarą ataku phishingowego, a na twojej stacji roboczej najpewniej właśnie instalowane jest złośliwe oprogramowanie.

 

Ale nie tylko poczta elektroniczna może być kanałem komunikacji dla phishingowców. Istnieje też coś takiego, jak voice phishing (vishing) oraz SMS phishing (smishing). W tym pierwszym przypadku atak polega na automatycznym wybieraniu dużej liczby numerów telefonu i odtwarzanie przygotowanego wcześniej nagrania przekazującego fałszywe informacje na przykład o nieautoryzowanej transakcji z jego konta.

Prodata Consult

Jest to o tyle niebezpieczne, że często numer telefonu, który wyświetla się użytkownikowi jest zgodny z numerem przypisanym np. do infolinii banku. Głos ze słuchawki mówi nam, że aby rozwiązać problem należy zadzwonić pod wskazany przez niego numer telefonu. Dzwoniąc pod taki numer łączymy się z oszustem, który będzie próbował wyłudzić od nas dane w celu uzyskania dostępu do naszego konta bankowego. Podobnie rzecz wygląda w przypadku smishingu – oszuści w treści SMS-a proszą użytkownika o skontaktowanie się z konkretnym numerem telefonu, kliknięcie w link albo napisanie e-maila na wskazany adres. Dalej następuje cały proces social engineering i wyłudzania danych.

 

Nieco rzadziej spotykanym, a jednym z najbardziej niebezpiecznych ataków phishingowych jest page hijacking, czyli manipulacja treścią istniejącego już serwisu internetowego w celu kradzieży danych użytkowników. Strona internetowa, z której zazwyczaj korzystamy wygląda tak jak zawsze, ale gdy na nią wejdziemy, automatycznie załadujemy złośliwe oprogramowanie, przez które atakujący może wykraść dane ze stacji roboczej.

 

Należy w tym miejscu zwrócić uwagę na bardzo istotną technikę, którą wykorzystują oszuści internetowi – manipulację nazwami domen. Wystarczy zmienić jedną literę w nazwie adresu www i na pierwszy rzut oka link wygląda w porządku, np. onlne (.) mbank (.) pl zamiast online (.) mbank (.) pl. Nie jest trudno przeoczyć taką literówkę, a wejście na fałszywą domenę i wpisanie danych logowania do konta internetowego może być katastrofalne w skutkach.

Jak nie połknąć haczyka?

 

Każdy z nas myśli, że nie dałby się oszukać. „Nie jestem taki głupi”, „przecież widać, że to oszustwo” - nic bardziej mylnego. Przestępcy internetowi opracowują nowe techniki ataków codziennie. Niedawno natknąłem się na news o bardzo sprytnej kampanii wyłudzania pieniędzy z kart kredytowych, która miała (bądź wciąż ma) miejsce na platformie OLX – gorąco polecam lekturę:

https://niebezpiecznik.pl/post/co-czuje-ofiara-oszustwa-na-olx/

Jak mówi ofiara: Myślałam, że mnie nikt nie oszuka, a jednak – oszukał.

 

Ofiarami ataków phishingowych nie są jedynie np. osoby starsze, które z racji różnicy pokoleń często opornie podchodzą do internetu. Nie są to też osoby niedoedukowane. Czasami wystarczy zadziałać automatycznie, nie doczytać, nie spojrzeć dokładnie, kliknąć coś pod wpływem emocji, czy pośpiechu. Zawsze jednak warto poświęcić chwilę i zapoznać się dokładnie ze wszystkim, co ląduje na naszym facebooku, e-mailu, instagramie czy w skrzynce SMS. Pomimo bardziej lub mniej skutecznych filtrów antyspamowych istniejących w każdej usłudze poczty elektronicznej, przedstawione poniżej przeze mnie rady powinny być dla każdego z nas rutyną:

  • Uważnie sprawdzaj każdy adres mailowy, z którego przyszła wiadomość – można np. wykonać proste wyszukiwanie Google w celu ustalenia, czy adres jest powiązany z daną instytucją, za którą się podaje lub skontaktować się z infolinią danej instytucji.
  • ZAWSZE przekazuj maile i smsy od osób podszywającyh się pod instytucję do tych własnie instytucji.
  • Nie otwieraj linków do stron, jeżeli adres wygląda podejrzanie, a tym bardziej jeżeli korespondencja wygląda jak najbardziej wiarygodnie, ale została wysłana z niewiarygodnego lub nieznanego Ci adresu.
  • Bardzo uważnie czytaj treść maila, smsa, wyjaśniaj sytuację przez sprawdzone i wiarygodne kanały porozumiewania się z instytucją – oficjalną infolinię czy e-mail, niezależnie od tego, z jakiego adresu została wysłana podejrzana wiadomość
  • Sprawdź poprawność polszczyzny\angielszczyzny\języka, którym się posługujesz na codzień, a który został użyty w wiadomosci. Oficjalne wiadomości od instytucji, organizacji, firm, korporacji niezwykle rzadko zawierają błędy czy literówki.
  • Potwierdź ze swoim przełożonym polecenie, które wydał, a które wydaje się niestandardowe – koniecznie innym kanałem komunikacji, niż to, którym polecenie zostało wydane. Innymi słowy: gdy dostałeś e-mail, w którym przełożony zleca Ci coś nieastandardowego – zadzwoń do niego.
  • Bądź na bieżąco z polityką prywatności Twojego banku, dostawcy energii elektrycznej, dostawcy usług telekomunikacyjnych i tym podobnych. Żadna instytucja nigdy nie poprosi o dane logowania przez telefon czy e-maila, nieważne jak wiarygodnie brzmi rozmowa i jak profesjonalne wygląda e-mail.
  • Nigdy nie podawaj nikomu danych swojej karty kredytowej, gdy ktoś będzie chciał przelać ci pieniądze. Posiadając dane karty można z niej wypłacać środki, nie wpłacać.
  • Pokaż podejrzaną wiadomość komuś innemu – koledze z biurka obok czy przełożonemu, a jeżeli to wiadomość prywatna – komuś z najbliższego otoczenia. Wiele ataków phishingowych zostało udaremnionych właśnie dzięki temu, że osoba trzecia spojrzała na potencjalnie niebezpieczną wiadomość.

 

---- z żołnierskim pozdrowieniem,

Piotr Nasiłowski

Prodata Consult

O autorze:

Piotr Nasiłowski

Z ProData Consult związany od ponad roku. Ekspert i pasjonat cyberbezpieczeństwa. Tematem na drodze zawodowej zajmuje się od 2014 r. Obecnie student studiów doktoranckich Szkoły Głównej Handlowej w Warszawie.

Chcesz pracować jako niezależny konsultant IT?

Daj się połączyć z najlepszymi projektami na rynku!