Phishing, czyli rekordowo wielkie wyłudzanie

Jeśli tendencja wzrostowa się utrzyma – a styczeń i luty były miesiącami o 15 proc. wyższego ruchu phishingowego niż w analogicznym okresie roku ubiegłego – rok 2017 może pobić niemiły historyczny rekord phishingu finansowego.

Podszywanie się pod instytucje finansowe, operatorów telekomunikacyjnych, banki, firmy telekomunikacyjne w celu wyłudzenia danych, loginów i haseł do kont, czyli phishing, było jednym z największych zagrożeń bezpieczeństwa 2016 roku. Obecny rok zapowiada się pod względem phishingu jako rekordowy. Jednak nawet proste zabezpieczenia znacznie utrudniają te złośliwe działania.

Phishing jako termin, ale też i prawdopodobnie jako typ działania narodził się w środowisku hackerów z Kalifornii, w połowie lat 90., kiedy usiłowali oni wykraść hasła do kont serwisu AOL. Podszywając się pod pracowników firmy, wysyłali spreparowane e-maile, żądając podania hasła w celu „weryfikacji konta”. Termin miał zostać ukuty od nazwiska Briana Phisha, który po raz pierwszy zastosował tą technikę do wykradania numerów kart kredytowych lub miał być akronimem od określenia password harvesting fishing (łowienie haseł). Sam phishing terminem jest bardzo szerokim – obejmuje kradzież haseł, numerów kart kredytowych, danych kont bankowych i innych poufnych informacji.

Phisher, prowadzący ten proceder dokonuje masowej wysyłki e-mail, podobnie jak spamer. Podrabia zwykle stronę internetową banku, innej instytucji finansowej lub sklepu czy portalu aukcyjnego, do której zamieszcza link w swoim e-mailu. Nakłania do wejścia w link ostrzegając np. o rzekomej możliwości zablokowania konta lub utraty profilu, jeśli nie zweryfikuje się danych zwłaszcza dotyczących płatności jak dane karty kredytowej. Podszywa się przy tym pod pracowników instytucji, której stronę podrobił. Według Anti-Phishing Working Group aż 5 proc. osób do których dotarły takie maile odpowiada na nie i wchodzi na spreparowane strony; jest to kilkukrotnie więcej niż osób odpowiadających na spam.

Co ciekawe w ciągu ostatnich kilku lat pojawiły się wiadomości phishingowe, które ostrzegają przed phishingiem i stwierdzają iż instytucja, od której rzekomo wysłano maila, wprowadziła właśnie zabezpieczenia antyphishingowe, znajdujące się pod linkiem…

Phisher doprowadza to tego, aby użytkownik „zalogował się” na podrobionej stronie. Jednak wtedy, nawet mając dostęp do konta bankowego ofiary, nie może go po prostu wyczyścić, gdyż zostawi ślady manipulacji; toteż jest on najczęściej ogniwem w gangu cyberprzestępców trudniących się oszustwami internetowymi. Po uzyskaniu dostępu do konta przejmują je „specjaliści”, którzy łatwo poprzez firmy-słupy i rzeczywistych słupów, rekrutowanych np. spośród bezdomnych na nazwiska których zakładane są konta, wyprowadzają pieniądze.

Jak prawdziwy e-mail

Skrzynki e-mail przejęte przez phisherów, z kolei służą do rozsyłania masowego spamu. Dane osobowe są także bardzo cenne, zwłaszcza jeśli towarzyszą im skany dokumentów tożsamości – mogą one bowiem posłużyć do zakładania kont do oszustw finansowych.

Czasu kiedy phishing był prymitywnym tekstem, przetłumaczonym Google Translatorem z dodanym logo banku lub firmy, dawno minęły. Teraz wiadomości phishingowe niczym nie różnią się od e-maili z banku czy instytucji finansowej, które mają naśladować. Podobnie jest ze stronami internetowymi – nie różnią się niczym od prawdziwych, mimo iż są zbiorem ich statycznych kopii. Użytkownik nie może niczego podejrzewać, bowiem nie wprowadzi wtedy swoich danych. Phisher używa też URL jak najbardziej przypominających URL prawdziwych firm lub też URL wiarygodnych organizacji; są notowane przypadki iż adres przypominał prawdziwy adres Anti-Phishing Working Group. W przypadku mniej doświadczonych oszustów w pasku adresu pojawia się numer IP, co jednak od razu powinno wzbudzić podejrzenia u internautów. Jednak zwykle URL różni się od prawdziwego kropkami, tam gdzie w rzeczywistym adresie one nie występują, dolnymi podkreślnikami lub ukośnikami np.nazwabanku.pl/login lub www.nazwa.banku.pl.

Podobnie dzieje się z URL fałszywej strony – jak najbardziej przypomina prawdziwą, lecz jest to zwykłe przekierowanie, bowiem pod bardzo przypominającym bankowy adresem fałszywa strona nie zostałaby zarejestrowana (dbają o to specjaliści IT banków i blokują takie adresy). Fałszywy adres jest tylko aliasem, zaś prawdziwy – skrótem literowo-cyfrowym.

Dzieje się tak, bowiem średni czas trwania witryny phisherskiej w Internecie to 5 dni. Filtry antyphishingowe szybko wyłapują informacje dotyczące nowego zagrożenia, stąd phisher musi stale rejestrować nowe fałszywe strony, imitujące prawdziwe witryny i zwykle nie ma czasu na dopracowanie ich adresów.

Inne działania

Odmianą phishingu jest pharming. To domena przestępczości zorganizowanej, bowiem polega na „porywaniu” adresów witryn na serwerach DNS i przekierowywaniu użytkowników do fałszywych stron internetowych. Pharming ma jednak już szczyt swojej aktywności za sobą – serwery DNS są na tyle dobrze zabezpieczone, ze ta technika staje się dla cybergangsterów coraz bardziej ryzykowna.

Phisher nie gardzi dodatkowym zarobkiem jaki daje możliwość podrzucenia trakcie fałszywego logowania, malware na komputer użytkownika. Najczęściej są to trojany finansowe (popularny był zwłaszcza Zeus/Zbot), keyloggery lub spyware.

Według raportu Kaspersky Lab, w 2016 roku phishing był ogromnym zagrożeniem. Niemal połowa, bo 47,8 proc. ataków tego typu była ukierunkowana kradzież pieniędzy. Jest to o 13 proc. więcej niż w roku 2015. Łącznie jak wyliczyli analitycy firmy, w 2016 roku zanotowano niemal 155 mln prób wejść na fałszywe witryny internetowe, z czego 73,5 czyli niemal połowę stanowił phishing finansowy, który miał na celu pozyskanie takich danych jak numery kont bankowych, kart kredytowych, numerów ubezpieczenia społecznego czy loginów i haseł umożliwiających dostęp do e-bankingu. Informacje te z reguły wystarczały do okradzenia kont potencjalnych ofiar.

Obecny rok zapowiada się na jeszcze bardziej rekordowy – jeśli tendencja wzrostowa się utrzyma – a styczeń i luty były miesiącami o 15 proc. wyższego ruchu phishingowego niż w analogicznym okresie roku ubiegłego – rok 2017 może pobić niemiły historyczny rekord phishingu finansowego.

W 2016 roku zdecydowanie najważniejszy był phishing bankowy – dotyczyło go 25,76 proc. wszystkich ataków, czy o 831 proc. więcej niż 2015 roku. Z kolei phishing sklepów internetowych i portali aukcyjnych oraz systemów płatności, wynosił odpowiednio 10,14 proc. i 11,55 proc. co też stanowiło wzrost – odpowiednio o 1,09 proc. i 3,75 proc.

Powołana na początku obecnego stulecia Anti-Phishing Working Group, której członkami są agendy rządowe do walki z cyberprzestępczością państwa Europy i Ameryki Północnej ( są także państwa Azji jak choćby Japonia) oraz producenci oprogramowania antyphishingowego i antyspamowego gromadzi 2500 członków i tworzy standardy systemów bezpieczeństwa dla zabezpieczeń antyphishingowych oraz informuje o zagrożeniach. Od niej oraz od analityków bezpieczeństwa m.in. (Kaspersky Lab i Trend Micro) pochodzą zalecenia antyphishingowe , przeznaczone dla użytkowników indywidualnych.

I tak użytkownik przed dokonaniem płatności powinien sprawdzić czy połączenie jest szyfrowane (adres strony powinien rozpoczynać się od znaków https:// i zawierać symbol kłódki), a domena musi przynależeć do tej samej organizacji, na której konto ma być dokonana płatność.

Autentyczność wiadomości, choćby wyglądających na najbardziej prawdziwe, należy sprawdzać u źródła np. w banku czy organizacji, która rzekomo ją wysłała. Żadne bank czy organizacja finansowa nie poprosi w e-mailu o podanie haseł dostępowych i loginów do strony czy konta. Odsyłacze na stronach WWW lub w e-mailach mogą być pułapką – jeśli istnieją jakiekolwiek wątpliwości, nie należy nie klikać. Najlepiej jest też posiadać oprogramowanie wyposażone w filtry antyphishingowe, które wychwycą fałszywe informacje , domeny bądź strony czy odnośniki.

Marek Meissner

Źródło: biznes.interia.pl