Phishing
Opublikowano wBezpieczeństwo IT, Wirusy i zagrożenia

Phishing – jak hakerzy wyłudzają dane

Czym jest phishing?

Najprościej mówiąc, phishing polega na wyłudzeniu danych wrażliwych przez hakera, który imituje tożsamość innej osoby lub instytucji. Zdarza się, że przybiera on formę zorganizowanych działań socjotechnicznych, w wyniku których, zmanipulowana osoba sama podaje hakerowi hasła, kody dostępu lub inne dane, które następnie są wykorzystywane przeciwko niej, najczęściej po to, by ją okraść. Każdy z rodzajów phishingu jest naruszeniem prawa i zasad etyki, nawet jeśli mowa o niefrasobliwym ujawnieniu danych przez omotaną socjotechnikami ofiarę.

Podstawowe formy phishingu.

Angielskie słowo phishing w wolnym tłumaczeniu oznacza „łowienie haseł”, co w przystępny sposób odzwierciedla charakter tego rodzaju przestępstwa. Jedna z form phishingu to tzw. spear-phishing, wymagający od hakera zgromadzenia szczegółowej bazy danych o potencjalnej ofierze indywidualnej lub instytucjonalnej. Haker może przeprowadzić szereg rozmów, stale obserwować ofiarę lub, jako potencjalny klient, wejść z nią w inne interakcje. Dzięki temu zdobędzie dokładne dane, które pozwolą mu oszacować kiedy będzie odpowiedni czas i miejsce, aby uderzyć w ofiarę. Czasem jest to wiedza o dostępie do komputerów służbowych, uprawnieniach konkretnych osób do zarządzania danymi wrażliwymi, niekiedy posuwa się wręcz do wykonania zrzutów ekranów z wewnętrznej bazy danych. Z tego rodzaju oszustwami phishingowymi mają do czynienia nawet instytucje zaufania publicznego i naprawdę trudno się przed nimi bronić. Niestety, długo przygotowywane i wnikliwie przemyślane akcje hakerskie z gatunku spear-phishingu, zwykle kończą się powodzeniem. Druga forma phishingu, tzw. clone-phishing, polega na klonowaniu faktycznie istniejących listów lub wiadomości mailowych i zakażaniu ich bezpiecznych załączników wirusami. Czasem zdarza się, że podane w takim phishingowym mailu informacje o danych do przelewu zawierają fałszywe numery kont. Hakerzy rozsyłają tego rodzaju wymysły do wybranych adresatów i w ten sposób łowią swoje ofiary. Jak widać, choć to irytujące zajęcie, naprawdę warto sprawdzać źródła maili, numery kont do przelewów i inne, wydawać by się mogło –  nieistotne – szczegóły. Hakerzy tylko czekają na naszą nieuwagę.

Phishing telefoniczny – coraz rzadszy, ale wciąż groźny. 

Choć odporność na telemarketing i inne usługi telefoniczne znacząco wzrosła, tele-oszustom nadal zdarzają się sukcesy. No bo jak tu nie zaufać np. konsultantowi z naszego banku? Otóż, podczas takiej, sterowanej socjotechnicznie rozmowy, „konsultant naszego banku” prosi o dane osobowe, a nawet hasła do przelewów, kont oszczędnościowych, czy inne poufne dane. W takiej sytuacji powinna nam się zapalić czerwona lampka, bo przecież banki nie proszą o hasła do przelewów i kont, prawda? W razie jakichkolwiek wątpliwości, powinniśmy zadzwonić na infolinię i sprawdzić tożsamość naszego rozmówcy. Ostrożności nigdy za wiele, a postępowanie sądowe, nie dość że czasochłonne, to i często mało skuteczne w przypadku działania profesjonalnych oszustów, którzy potrafią umiejętnie ukrywać swoją prawdziwą tożsamość.

STAY SAFE!

Udostępnij:

Opublikowany przez Paweł Hordyński

Cybersecurity Expert Napisz do mnie, chętnie pomogę!