Phishing w e‑mailach. Pod kogo się podszywają i jak się chronić?

Początek 2023 roku jest bardzo obfity w phishingi, czyli ataki polegające na podszywaniu się pod zaufane podmioty - w celu wyłudzenia danych od użytkowników lub nakłonienia ich do wykonania niebezpiecznych akcji. Warto wiedzieć, pod jakie znane marki i firmy oszuści podszywają się najczęściej.

Z roku na rok dostrzeganych i obsługiwanych jest coraz więcej incydentów o charakterystyce phishingowej. Na ten wzrost wpływa z pewnością trend wyznaczony przez rozwój mechanizmów detekcji incydentów, które sprawiły, że inne rodzaje ataków, do niedawna popularnych, stały się mało atrakcyjne, powodując tym samym wzrost atrakcyjności phishingów. Dodatkowo mechanizmy detekcji incydentów zapewniają skuteczne wykrywanie phishingów, co powoduje, że analitycy widzą ich więcej.

Drugim czynnikiem wpływającym na wzrost liczby odnotowanych i obsłużonych phishingów jest rosnąca liczba pasjonatów cyberbezpieczeństwa. Mam tu na myśli osoby informujące innych użytkowników internetu za pośrednictwem swoich mediów społecznościowych, blogów lub newsów o bieżących zagrożeniach, takich jak właśnie kampanie phishingowe. Dzięki działaniom takich osób internauci zyskują świadomość, że otrzymali wiadomość o charakterze phishingowym, a analitycy incydentów mają szansę dostrzec atak, którego nie udało im się wcześniej wykryć.

Dalsza część artykułu pod materiałem wideo

Phishing jest obecnie najbardziej opłacalną formą ataku na konta, ponieważ do wysłania kampanii e-mailowej do kilkuset osób nie potrzeba ogromnych zasobów, czy wielkiej mocy obliczeniowej. Ponadto ataki takie są celowane prawie bezpośrednio w najsłabszy punkt naszego bezpieczeństwa w internecie, czyli w nas samych - użytkowników końcowych.

W przypadku skrzynek pocztowych atakujący podszywają się bardzo często pod administratorów kont pocztowych lub pracowników zespołów cyberbezpieczeństwa danego usługodawcy, przekazując informacje o nieprawdziwym incydencie bezpieczeństwa na koncie, prosząc o aktualizację danych na koncie lub nawet grożąc usunięciem, czy też blokadą konta.

Tego rodzaju maile są z punktu widzenia dostawcy usług poczty elektronicznej najprostsze do wykrycia i zablokowania, gdyż atakujący próbują podszywać się tutaj pod adresy samego dostawcy usługi pocztowej. Odpowiednie egzekwowanie mechanizmów uwierzytelniania SPF, DKIM i DMARC oraz kontrola wiadomości wychodzących z domeny usługodawcy są bardzo prostymi, jak i bardzo skutecznymi rozwiązaniami, które zespoły przeciwdziałające takim incydentom powinny zastosować w takim przypadku.

Innym przykładem podmiotów, pod które oszuści internetowi chętnie się podszywają są banki. Wiele mówi się o oszustach podających się za konsultantów dzwoniących do klientów danego banku, czy o SMS-ach rzekomo pochodzących z systemu bankowego. Skrzynki pocztowe nie są oczywiście wolne od tego rodzaju incydentów. Atakujący próbują podszywać się pod banki na wiele możliwych sposobów, a konta bankowe są przecież najbardziej atrakcyjnymi celami, ponieważ to tam znajduje się to, na czym atakującym najczęściej zależy - nasze pieniądze.

W celu wyeliminowania naruszeń polegających na podszywaniu się pod banki, stosowana jest usługa weryfikacji nadawcy. Polega na tym, że wiadomości pochodzące od nadawców biorących udział w usłudze, które wysłane zostały z zadeklarowanych domen lub adresów kopertowych, są oznaczane w taki sposób, żeby odbiorca wiadomości miał pewność, że nie doszło do podszycia pod nadawcę. Przykładem takiego oznaczenia może być zielona tarcza. Warto jednak dodać, iż oznaczenia takie są widoczne tylko podczas korzystania z oficjalnych aplikacji mobilnych dostawców usług pocztowych lub ich oficjalnych aplikacji webowych dostępnych przez przeglądarkę internetową.

Pozostałe duże podmioty takie jak kurierzy, firmy przewozowe, serwisy streamingowe czy portale społecznościowe też są bardzo popularnymi celami podszyć. Od końca poprzedniego roku w polskim internecie zaobserwować można bardzo aktywne próby podszywania się pod popularne serwisy streamingu video. W walce z tym coraz popularniejszym i coraz bardziej zaawansowanym procederem wykorzystywane są między innymi inteligentne systemy rozpoznające logotypy znanych podmiotów i weryfikujące czy podmiot reprezentowany przez logotyp w wiadomości jest rzeczywiście nadawcą wiadomości.

Kluczowym także jest wykorzystywanie wiedzy z poprzednich ataków, mam tutaj na myśli wszelkiego rodzaju inteligentne modele uczące się na podstawie wcześniejszych ataków, które zapewnią, że jeżeli atakujący wrócą z podobną kampanią, to zostanie ona wykryta i zniwelowana.

W celu zminimalizowania prawdopodobieństwa stania się ofiarą phishingu należy przede wszystkim zachować czujność podczas otwierania wiadomości e-mail od znanych podmiotów. Możemy sprawdzić w szczegółach wiadomości kto jest nadawcą wiadomości oraz ocenić wizualnie wiadomość, czy nie rzuca się w oczy nic podejrzanego.

Być może są to błędy językowe, być może braki liter lub polskich znaków, a może język, którym nie posłużyłby się dany serwis. Pod żadnym pozorem nie powinny nas interesować wiadomości, które nie są kierowane do nas, jeżeli wcale nie jesteśmy klientami danej usługi lub użytkownikami danego serwisu. Podobnie sytuacja wygląda w odniesieniu do e-maili z folderu spam - jeśli wiadomość od banku trafiła do spamu, to lepiej niech tam zostanie nieruszona!

W sytuacji, gdy musimy zweryfikować nasze dane w serwisie, którego jesteśmy użytkownikami, możemy przejść na daną stronę internetową z pomocą wyszukiwarki własnoręcznie, zamiast korzystać z gotowych odnośników, które w wiadomościach od oszustów mogą prowadzić na fałszywe strony. Dobrą praktyką jest także śledzenie informacyjnych serwisów internetowych o tematyce bezpieczeństwa internetowego. Z udostępnianych tam treści możemy dowiedzieć się o bieżących incydentach, dzięki czemu będziemy świadomi, na co szczególnie należy uważać.

A co nas uratuje, gdy damy się nabrać oszustom? Przede wszystkim uwierzytelnianie wieloetapowe - po pierwsze jest szansa na to, że zauważymy, że coś jest nie tak i nie było żadnego drugiego etapu uwierzytelnienia podczas próby autoryzacji na stronie podstawionej przez atakującego, a po drugie - nawet gdy atakujący zdobędzie nasze dane logowania - będzie to tylko połowa sukcesu. Ważne jest też, czy używamy tego samego hasła w kilku serwisach. Jeśli tak, to atakujący zyska dostęp do nich wszystkich. Jeśli nie, strata będzie znacznie mniejsza.