Na przeczytanie potrzebujesz 6 minut(y).
Przeglądasz Internet albo grasz w swoją ulubioną grę, gdy nagle dostajesz wiadomość e-mail od administratora serwisu gamingowego – coś jest nie tak z twoim kontem i zaraz zostanie usunięte na zawsze. Aby to sprawdzić i zapobiec nieszczęściu, szybko logujesz się, korzystając z linka umieszczonego w otrzymanej wiadomości. I już – właśnie padłeś/aś ofiarą phishingu.
Artykuł powstał w ramach współpracy z magazynem Programista Junior (https://programistajr.pl) i został opublikowany w numerze 06/2020.
Dowiesz się
- Co to jest “phishing”.
- Jak rozpoznać phishing oraz jak się przed nim bronić.
Potrzebna wiedza
- Posiadanie konta e-mail.
Co to jest phishing?
Phishing to rodzaj oszustwa, w którym przestępca podszywa się pod osobę lub firmę, aby wyłudzić od ofiary informacje. Atakującemu może zależeć na uzyskaniu dostępu do poczty e-mail, serwisu gamingowego lub bankowości elektronicznej. Wykradzione w ten sposób informacje mogą służyć do podszycia się pod zaatakowanego w kolejnej fazie oszustwa. Na przykład dane osobowe, jak imię, nazwisko czy PESEL, mogą posłużyć do uzyskania dostępu do pozostałych kont w innych serwisach lub nawet wyłudzenia kredytu w banku na dane ofiary.
Atak ten wykorzystuje metodę manipulacji popularnie zwaną socjotechniką lub inżynierią społeczną (ang. social engineering). Polega ona na wykorzystaniu emocji, łatwowierności i braku wiedzy użytkownika, aby nakłonić go do podania swoich danych. Jest to tania i bardzo skuteczna metoda ataku – nie jest wymagana zaawansowana wiedza techniczna, a jedynie dobry pomysł, który można wykorzystać na masową skalę.
Dlaczego phishing działa?
Atakujący często opierają swoje ataki phishingowe o stresujące sytuacje, równocześnie oferując użytkownikowi łatwe wyjście z zaistniałej sytuacji. Przykładem może być wiadomość e-mail od administratora konta w serwisie gamingowym. Wiadomość wygląda łudząco podobnie do tej prawdziwej – ma ten sam font, logo, wyrażenia i sposób komunikacji. Treść otrzymanej wiadomości jest często niepokojąca, na przykład jeśli użytkownik nie zaloguje się w ciągu kilku godzin do serwisu, jego konto zostanie trwale usunięte! Wiadomość zawiera link do strony logowania, prowadzi on jednak do fałszywej strony serwisu, która wygląda tak samo jak prawdziwa – na pierwszy rzut oka nie wzbudza podejrzeń. Po wpisaniu loginu i hasła na fałszywej stronie pojawia się błąd albo oczekiwanie na zalogowanie trwa bardzo długo – logowanie nie udaje się. Zniecierpliwiona ofiara może uznać, że pomyliła hasło lub otworzyć kolejną kartę przeglądarki internetowej i wpisać adres serwisu ręcznie. Po poprawnym zalogowaniu na prawdziwej stronie użytkownik sam utwierdza się w przekonaniu, że wszystko jest OK. Zamyka przeglądarkę i wraca do swoich spraw, nieświadomy, że przekazał dane do logowania oszustom.
Ciekawostka
Nazwa „phishing” pochodzi od połączenia słów „password” – hasło i „fishing”, czyli łowienie. Łącząc te słowa, mamy dosłownie „łowienie haseł”. Wyraz „phishing” to homofon (wyraz identyczny fonetycznie, ale różny pod względem pisowni i znaczenia) do słowa „fishing”. Po polsku czytamy „fiszing”.
Na co zwracać uwagę?
Wykonajmy ćwiczenie, w którym przyjrzymy się wiadomości phishingowej, widocznej na Ilustracji 1. Wiadomość ta miała wyłudzić ode mnie dane logowania do serwisu gamingowego. Wykorzystuje ona wspomniany wcześniej scenariusz, w którym administrator serwisu gamingowego informuje użytkownika, że jego konto zostanie skasowane, jeżeli ten nie zaloguje się do serwisu w przeciągu kilku godzin. Uważny gracz, jeśli otrzyma taką korespondencję, powinien zwrócić uwagę na kilka szczegółów.
1) Adres nadawcy wiadomości
Prawdziwy adres nadawcy wiadomości e-mail często jest ukryty, a wyświetlana w kliencie pocztowym (program do odczytywania i wysyłania wiadomości e-mail) nazwa stanowi jedynie alias/nazwę ustawioną przez nadawcę w nagłówkach wiadomości. W ten sposób atakujący może wysłać wiadomość z adresu [email protected], a klient pocztowy ofiary wyświetli nazwę „Steam Support”, zamiast pełnego adresu. Prawdziwy adres nadawcy można zobaczyć po kliknięciu w nazwę, jak przedstawiono to na Ilustracji 2 (zależy to jednak od wykorzystywanego klienta pocztowego).
2) Adres strony, do której prowadzi załączony link
Wiadomość e-mail można stworzyć w tak zwanym „czystym tekście” (ang. plain text) lub przy użyciu języka HTML, który używany jest do tworzenia stron internetowych. Drugi sposób pozwala znacznie uatrakcyjnić wizualną stronę wiadomości, dlatego też często stosowany jest przez różnego rodzaju serwisy do korespondencji z użytkownikami. W języku HTML istnieje tag <a>, który pozwala na tworzenie linku (hiperłącza) ze słów w treści. Na przykład kod:
Due to inactivity your account will be deleted in 2 hours. Click this link to log in and extend the validity of the account. <a href="https://evil-site.example.com/">https://store.steampowered.com/login/</a>
spowoduje wyświetlenie na stronie WWW lub w wiadomości e-mail słów „https://store.steampowered.com/login/” jako linku prowadzącego do strony „https://evil-site.example.com/". Jeśli klikniemy w taki odnośnik, zostaniemy przeniesieni na stronę, która została zdefiniowana w kodzie HTML (https://evil-site.example.com), a nie tę, która została wyświetlona użytkownikowi w treści wiadomości (https://store.steampowered.com/login/). Korzystając z tej techniki, atakujący może wyświetlić użytkownikowi dowolny adres lub tekst, a jednocześnie link może prowadzić na przykład do spreparowanej przez niego strony logowania serwisu Steam.
By zobaczyć prawdziwy adres, na który kieruje link, należy na niego najechać myszką. W zależności od używanego oprogramowania adres może się wyświetlić pod linkiem (Ilustracja 3) lub na przykład u dołu okna programu pocztowego.
Jeżeli kliknęliśmy w złośliwy odnośnik z wiadomości, adres fałszywej strony wyświetli się również w pasku adresu przeglądarki (Ilustracja 4). Na to również należy zwracać uwagę. W dzisiejszych czasach atakujący wykupują dla swoich stron certyfikaty SSL, więc to, że w przeglądarce przy adresie znajduje się kłódka nie znaczy, że strona jest prawdziwa.
3) Domeny podobne do prawdziwych
Czasem atakujący wykupują adresy domen bardzo podobne do prawdziwych, ale na przykład zawierające literówkę lub zamienione litery (adres „staem.com” zamiast „steam.com). Wykorzystują również fakt, że zestawy niektórych liter mogą wyglądać jak inna litera: na przykład litery „r” i „n” postawione jedna za drugą „rn” mogą przypominać literę „m”. Ma to znaczenie, szczególnie gdy mamy do czynienia z małą wielkością tekstu (adres „stearn.com” może przypominać „steam.com”). Innym przypadkiem jest stosowanie małej litery „l” (L) jako dużej litery „i”. To, czy litery będą skutecznie „udawać” inne znaki, zależy oczywiście od używanego fontu. Nazwa tego rodzaju oszustwa to typosquatting.
4) Błędy językowe
W samej treści często znajdują się literówki czy błędy gramatyczne. Nasz język nie jest łatwy do opanowania, a oszuści często używają tłumaczy online, jak na przykład Google Translate, które nie zawsze radzą sobie ze składnią szczególnie pojedynczych zdań. Jeśli oszuści skorzystają z szablonu wiadomości e-maili w języku angielskim, a następnie przetłumaczą tekst na polski, mogą wyjść ciekawe fragmenty, na przykład:
- „Drogi Aleksandra” zamiast “„Droga Aleksandro” – w języku angielskim nie ma odmiany przez rodzaje.
- „Zostań w dotyku” zamiast „Pozostańmy w kontakcie” – dosłowne przetłumaczenie sformułowania „let's stay in touch”.
Jak się bronić?
Przed zjawiskiem phishingu nie ma ucieczki, ale można się przed nim bronić, stosując się do kilku podstawowych zasad.
1) Wybierz sprawdzonego dostawcę poczty e-mail
Dostawcy usług pocztowych często stosują autorskie lub komercyjne systemy antyphishingowe. Moim zdaniem prym wiedzie poczta Gmail, która jednak osiąga to, analizując korespondencję swoich użytkowników. Bezpieczeństwo za prywatność.
2) Uruchom dwuskładnikowe uwierzytelnianie (2FA)
W poprzednim numerze PJR w artykule „Nie daj przestępcy ukraść swojego konta gamingowego” autorstwa Wiktora Szymańskiego mogłeś/aś przeczytać o tym, czym jest dwuskładnikowe uwierzytelnianie i jak je uruchomić na platformie Epic Games. Proces włączania dwuskładnikowego uwierzytelniania w innych serwisach wygląda bardzo podobnie. W zależności od serwisu mogą być dostępne różne metody, na przykład kod z aplikacji mobilnej, klucz Yubikey czy kod dostarczany w wiadomości e-mail lub SMS.
3) Do wiadomości, które wzbudzają emocje, podchodź z rezerwą
To bardzo ważne! Jeśli otrzymujesz wiadomość, która wzbudza w tobie nagły przypływ emocji, to nie reaguj na nią pochopnie – przestępcy właśnie na to liczą. Podejmowanie decyzji w pośpiechu sprawia, że przestajemy zwracać uwagę na ważne szczegóły i znaki ostrzegawcze. Nic na szybko. Zanim klikniesz w link, poczekaj chwilę. Weź trzy głębokie wdechy i zastanów się nad treścią wiadomości. Ta dodatkowa chwila może uratować twoje konto i dane.
4) Do stron loguj się z zapisanych wcześniej zakładek
Nawet jeżeli uważasz, że otrzymana wiadomość jest prawdziwa, to dla bezpieczeństwa nie loguj się do serwisu przez otrzymany w niej link, lecz wejdź na stronę poprzez zapisaną wcześniej zakładkę lub ręcznie wpisz adres strony w pasku adresu przeglądarki.
Zapamiętaj
- “Phishing” to element socjotechniki. Wykorzystuje emocje i pośpiech ludzi.
- Autorem wiadomości nie zawsze jest ten, kto jest podpisany na jej końcu.
Jeśli otrzymana wiadomość wzbudza twoje emocje, to daj sobie chwilę. Kilka głębokich wdechów może uratować twoje dane. - Na pewno jakaś z podejrzanych wiadomości przedrze się przez filtry antyspamowe, dlatego bądź zawsze uważny.
- W podobny sposób oszuści mogą nas dopaść przez rozmowę głosową, wiadomości SMS czy na komunikatorach takich jak Facebook Messenger czy WhatsApp.
Ćwicz w domu
- Przejdź kursy obrony przed phishingiem online. Istnieją interaktywne kursy, które mogą pomóc w nauce rozpoznawania złośliwych wiadomości, na przykład https://phishingquiz.withgoogle.com/
- Podziel się zdobytą wiedzą z innymi. Nie dość, że ich uświadomisz i może nawet ochronisz, to dodatkowo lepiej przyswoisz zdobytą wiedzę.
Zapraszamy do zapoznania się z innymi artykułami przygotowanymi przez bezpieczny.blog dla magazynu Programista Junior:
- Nie daj przestępcy ukraść swojego konta gamingowego, czyli co to jest dwuskładnikowe uwierzytelnianie i dlaczego jest ważne?
- Zabezpieczamy domową sieć przed stronami wyłudzającymi od nas dane - gościnny wpis w serwisie Sekurak.pl
- Używamy managera haseł
- O czym pamiętać konfigurując router
- Jak zabezpieczyć pocztę e-mail?
- Znajdź wirtualną flagę
- Uczymy się szyfrować pliki
- Kopia bezpieczeństwa
- Bezpieczeństwo systemów satelitarnych
- Piractwo komputerowe
- Czym jest honeypot?
Bezpiecznik w pracy, geek w domu, macuser tu i tu. Uwielbia słuchać podcastów, automatyzować swoje zadania i pić dobrą kawę.
Jeśli mówimy o phishing'u to warto wspomnieć o liście ostrzeżeń przygotowywanej przez cert.pl. Jest to rozwiązanie na okres epidemi, ale dobrze by było gdyby zostało przedłużone.
Lista ostrzeżeń przed niebezpiecznymi stronami
https://www.cert.pl/posts/2020/03/ostrzezenia_phishing/
Współpraca (cert.pl) z operatorami bazuje na Porozumieniu podpisanym pomiędzy Ministrem Cyfryzacji, Dyrektorem NASK PIB oraz Prezesem Urzędu Komunikacji Elektronicznej a Orange Polska S.A., Polkomtel Sp. z o.o., P4 Sp. z o.o., T-Mobile Polska S.A. Treść porozumienia została opublikowana na stronie Urzędu Komunikacji Elektronicznej.
UKE przystąpił do porozumienia chroniącego abonentów
https://uke.gov.pl/akt/uke-przystapil-do-porozumienia-chroniacego-abonentow,300.html
Do metod obrony dodałbym stosowanie różnych narzędzi, które blokują niebezpieczne strony.
1) Na poziomie dostawcy Internetu np.
CyberTarcza Orange
https://cert.orange.pl/cybertarcza
2) Poprzez dodawanie list zagrożeń do ad blocker'a
Do Adblocka/uBlocka można dodać poniższe filtry:
a) https://hole.cert.pl/domains/domains_adblock.txt
b) https://raw.githubusercontent.com/PolishFiltersTeam/KAD/master/KAD.txt
3) Używanie dostawcy DNS, który blokuje niebezpieczne strony:
Polecane serwery DNS — które z nich są najszybsze i najlepiej chronią użytkownika?
https://avlab.pl/polecane-serwery-dns/
W testach zrobionych przez avlab najlepiej wypadł Quad9 (DNS 9.9.9.9) :
https://quad9.com/
Zaletą Quad9 jest darmowość oraz prostota, a wadą brak polskich filtrów.
Bardzo ciekawym dostawcą DNS jest NextDNS: https://nextdns.io/
NextDNS w sekcji bezpieczeństwo pozwala włączyć poniższe mechanizmy:
- Użyj źródła informacji o zagrożeniach (zawiera domyślnie oba polskie filtry z punktu nr 2)
- Włącz bezpieczne przeglądanie Google (Google Safe Browsing)
- Ochrona przed cryptojackingiem
- Ochrona przed ponownym wiązaniem DNS
- Ochrona przed atakami homografów IDN
- Ochrona przed porywaniem URL
- Blokuj nowo zarejestrowane domeny (NRD)
- Blokuj zaparkowane domeny
- Blokuj domeny najwyższego poziomu (TLD)
Porady jak skonfigurować NextDNS można znaleźć w jednym z komentarzy pod:
https://niebezpiecznik.pl/post/olx-scam-karta-platnicza/
Dzięki za cenne uwagi! 🙂
Wykrywanie i sprawdzanie domen stworzonych dla phishingu
https://nfsec.pl/security/6335#more-6335
Narzędzie, które po podaniu nazwy oryginalnej domeny generuje listę potencjalnych domen phishingowych:
https://dnstwister.report/
By nie szukać po komentarzach, podaję stronę konfiguracji: https://soo.bearblog.dev/nextdns/
Podajcie dalej znajomym!
Dzięki. Przyda się tym bardziej zaawansowanym 🙂