Co to jest phishing?

Co to jest phishing?

Phishing to rodzaj manipulacji socjotechnicznej.

Jej celem jest pozyskanie danych, spowodowanie u odbiorcy kliknięcia w link, otwarcia załącznika, nakłonienie odbiorcy do wykonania pożądanej przez przestępcę czynności lub nawiązanie relacji i zbudowanie zaufania u ofiary z zamysłem realizacji większego planu później.

Najczęściej stosowane narzędzie phishingu to e-mail, w którym nadawca podszywa się pod zaufaną dla odbiorcy osobę lub organizację.

No1

Podstawowe, współczesne ryzyko bezpieczeństwa firm, to
ATAKI SOCJOTECHNICZNE NA PRACOWNIKA.

Najczęściej stosowaną metodą ataków socjotechnicznych jest PHISHING, a kanałem dotarcia e-mail.

Jak groźne są ataki phishingowe

SECAWA 90% ataków zaczyna się od phishingu

Źródła: Proofpoint, Symantec, Kaspersky, SECAWA, Cisco, AVG, FBI 2018

90% to bardzo dużo. Tak dużo, że rozsądne jest wzięcie tego ryzyka pod uwagę i jak najszybsze przeciwdziałanie temu zjawisku, tj. wdrożenie efektywnej edukacji security awareness pracowników.

Narzędzia ataku phishingowego

1
E-mail
2
Sms
3
Telefon
4
Media społecznościowe
5
Kontakt bezpośredni

Rodzaje ataków phishingowych

Clone phishing

Przestępcy klonują, czyli kopiują wygląd, ton wypowiedzi, tematykę i wszystkie inne szczegóły prawdziwych wiadomości, a podmieniają linki, załączniki, strony docelowe (landing page) lub adres nadawcy.
Siła tej techniki to masowość. Wiadomości są przesyłane do bardzo wielu odbiorców. Nawet jeżeli procentowo niewiele osób da się złapać, to wynik czyli ostateczna liczba nabranych ludzi jest dla przestępców satysfakcjonująca.

Search Engine Advertising

W tej metodzie przestępcy wykorzystują do phishingu płatne reklamy w wyszukiwarkach, w których wykorzystują zakupione przez siebie (własne) typosquattingowe domeny.
Cel działań przestępców: wyłudzania poufnych informacji.

Typosquatting

W tej przestępczej metodzie pułapka jest zastawiona i czeka na osobę, która sama w nią wpadnie. Atakujący wykupuje nazwę domeny "z błędem" w stosunku do oryginalnej. Może brakować jakiejś literki lub wręcz przeciwnie - jeden znak może być zduplikowany, litery mogą być przestawione (czeski błąd) lub np. "o" może być zamienione z "0" (zero). Pod tym fałszywym adresem na osoby, które błędnie wpisały adres www czeka podrobiona strona, usługa lub formularz.

Spear phishing

Jest to atak profilowany. Oznacza to, że przed rozpoczęciem działań przestępcy przeprowadzają rekonesans, czyli zbierają, analizują i wiążą informacje na temat firmy, pracownika i ich otoczenia. Treść komunikacji phishingowej jest przygotowana w oparciu o zebrane informacje, co gwarantuje dużą skuteczność.
Jest to bardzo efektywna dla przestępców technika phishingu.

Giveaways

W tej metodzie przestępcy mogą nawet... rozdawać gratisy.
W początkowej fazie atakujący przejmują konta popularnych osób w mediach społecznoścowych lub modyfikują przejęte konta innych użytkowników tworząc łudząco podobne profile do oryginalnych kont docelowych osób.
Później wykorzystując status i wpływ influencera, wciągają w komunikację swoje ofiary, wyciągają od nich dane oferując tytułowe gratisy lub nakłaniają ich do do realizacji własnych scenariuszy.

Watering Hole

Wykorzystując tą metodę ataku przestępcy zaczynają od rekonesansu i sprawdzenia, które strony www ich ofiara często odwiedza. Na tych stronach internetowych szukają podatności starając się umieścić w nich dla tego użytkownika specjalnie przygotowane reklamy kierujące go stron - pułapek.

Whaling

Whaling to specjalny rodzaj spear phishingu, w którym grupą docelową atakujących są "grube ryby" tj. bogate firmy, ludzie sukcesu, osoby wpływowe: prezesi, członkowie kadr zarządzających, menadżerowie, osoby świetnie zarabiające, celebryci, wynalazcy, leaderzy, urzędnicy państwowi i kościelni...
Najczęstsze cele to kradzież danych, pieniędzy, dokumentów lub kompromitujących materiałów.

Spoofing

Przestępcy podszywają się pod prawdziwe osoby lub firmy. Ich celem jest przekierowanie odbiorcy do odwiedzenia fake'owej strony, na której atakujący wyłudzają dane logowania lub dane tożsamości za pomocą np. fałszywych formularzy imitujących te rzeczywiste lub wykorzystując luki w zabezpieczeniach przeglądareki systemów wyciągnąć dane lub zainstalować złośliwe skrypty.

Pharming

W tej metodzie ataku nie są wykorzystywane socjotechniki, ale warto o niej wiedzieć, bo nawet jeżeli sprawdziliśmy wszystko dokładnie, to nie oznacza to, że jest w 100% bezpiecznie. Przestępca przekierowuje w DNS domenę na stworzoną przez siebie stronę www. Jeżeli fałszywy odpowiednik jest dokładnie odwzorowany, a proces przemyślany, to przestępca przejmuje nasze dane, podstawia nam fałszywe aktualizacje i zainfekowane pliki, a my się nigdy o tym nie dowiadujemy.

Ciekawe, czy wiesz, że

1987

1987 to rok, w którym Phishing został pierwszy raz zidentyfikowany i zdefiniowany przez International HP Users Group - Interex.

Clickjacking

oszustwo, w którym kliknięcie na stronie internetowej wywołuje zupełnie inną akcję niż oczekiwana

Tabnabbing

to podmiana zawartości strony przy zmianie zakładki w przeglądarce

Khan C. Smith

Spamer z lat 90-tych, uznawany przez niektórych za ojca terminu "phishing".

Catfishing vs catphishing

Catfishing to scenariusz wyłudzania "na romans" pieniędzy, kosztowności, ruchomości i danych od osób prywatnych.
Catphishing działa wg tego samego scenariusza, ale człowiek jest celem pośrednim uderzenia w firmy, organizacje, a nawet kraje.
Skradzione informacje służą uzyskaniu przewagi nad celem lub organizacją i mogą zostać wykorzystywane na wiele sposobów: do szantażu, wymuszenia, sprzedaży na czarnym rynku, do przejęcia, do upadku.

2.01.1996

2.01.1996 narodził się phishing. To pierwsza oficjalna data zarejestrowanego przypadku publicznie przeprowadzonego phishingu.

24 urodziny

Phishing w tym skończył 24 lata.

419

Liczba 419 jest związana z oszustwami w nigeryjskim kodeksie karnym i oznacza "nigeryjski przekręt", "nigeryjski szwindel", wyłudzenie „na nigeryjskiego księcia”. Schemat: otrzymujemy wiadomość od bogatej i wiarygodnej osoby: księcia, szejka, polityka, pracownika NASA, celebryty (...), że znalazła się chwilowo w tragicznej sytuacji i prosi o pomoc finansową - niewielką w stosunku do bogactwa, którym za chwilę zostanie wynagrodzona.

Masz pytania?
Chcesz zamówić Praktyczny Trening Antyphihingowy dla pracowników?

Skontaktuj się z nami

    Narzędzia

    Więcej informacji o na temat Praktycznego Treningu Antyphishingowego

    Zapraszamy na Praktyczny trening antyphishingowy dla pracowników
    home-cybersecurity-contact-bg-image
    Zwiększ bezpieczeństwo swojej firmy – zamów Praktyczny Trening Antyphishingowy!