bezpieczny.blog

Jak rozpoznać phishing?

Marcin

Na przeczytanie potrzebujesz 6 minut(y).

Przeglądasz Internet albo grasz w swoją ulubioną grę, gdy nagle dostajesz wiadomość e-mail od administratora serwisu gamingowego – coś jest nie tak z twoim kontem i zaraz zostanie usunięte na zawsze. Aby to sprawdzić i zapobiec nieszczęściu, szybko logujesz się, korzystając z linka umieszczonego w otrzymanej wiadomości. I już – właśnie padłeś/aś ofiarą phishingu.

Artykuł powstał w ramach współpracy z magazynem Programista Junior (https://programistajr.pl) i został opublikowany w numerze 06/2020

Dowiesz się

Potrzebna wiedza

Co to jest phishing?

Phishing to rodzaj oszustwa, w którym przestępca podszywa się pod osobę lub firmę, aby wyłudzić od ofiary informacje. Atakującemu może zależeć na uzyskaniu dostępu do poczty e-mail, serwisu gamingowego lub bankowości elektronicznej. Wykradzione w ten sposób informacje mogą służyć do podszycia się pod zaatakowanego w kolejnej fazie oszustwa. Na przykład dane osobowe, jak imię, nazwisko czy PESEL, mogą posłużyć do uzyskania dostępu do pozostałych kont w innych serwisach lub nawet wyłudzenia kredytu w banku na dane ofiary.
Atak ten wykorzystuje metodę manipulacji popularnie zwaną socjotechniką lub inżynierią społeczną (ang. social engineering). Polega ona na wykorzystaniu emocji, łatwowierności i braku wiedzy użytkownika, aby nakłonić go do podania swoich danych. Jest to tania i bardzo skuteczna metoda ataku – nie jest wymagana zaawansowana wiedza techniczna, a jedynie dobry pomysł, który można wykorzystać na masową skalę.

Dlaczego phishing działa?

Atakujący często opierają swoje ataki phishingowe o stresujące sytuacje, równocześnie oferując użytkownikowi łatwe wyjście z zaistniałej sytuacji. Przykładem może być wiadomość e-mail od administratora konta w serwisie gamingowym. Wiadomość wygląda łudząco podobnie do tej prawdziwej – ma ten sam font, logo, wyrażenia i sposób komunikacji. Treść otrzymanej wiadomości jest często niepokojąca, na przykład jeśli użytkownik nie zaloguje się w ciągu kilku godzin do serwisu, jego konto zostanie trwale usunięte! Wiadomość zawiera link do strony logowania, prowadzi on jednak do fałszywej strony serwisu, która wygląda tak samo jak prawdziwa – na pierwszy rzut oka nie wzbudza podejrzeń. Po wpisaniu loginu i hasła na fałszywej stronie pojawia się błąd albo oczekiwanie na zalogowanie trwa bardzo długo – logowanie nie udaje się. Zniecierpliwiona ofiara może uznać, że pomyliła hasło lub otworzyć kolejną kartę przeglądarki internetowej i wpisać adres serwisu ręcznie. Po poprawnym zalogowaniu na prawdziwej stronie użytkownik sam utwierdza się w przekonaniu, że wszystko jest OK. Zamyka przeglądarkę i wraca do swoich spraw, nieświadomy, że przekazał dane do logowania oszustom.

Ciekawostka

Nazwa „phishing” pochodzi od połączenia słów „password” – hasło i „fishing”, czyli łowienie. Łącząc te słowa, mamy dosłownie „łowienie haseł”. Wyraz „phishing” to homofon (wyraz identyczny fonetycznie, ale różny pod względem pisowni i znaczenia) do słowa „fishing”. Po polsku czytamy „fiszing”.

Ilustracja 1. Przykład phishingowej wiadomości e-mail, podszywającej się pod serwis Steam. Na pierwszy rzut oka wiadomość może nie wzbudzać podejrzeń

Na co zwracać uwagę?

Wykonajmy ćwiczenie, w którym przyjrzymy się wiadomości phishingowej, widocznej na Ilustracji 1. Wiadomość ta miała wyłudzić ode mnie dane logowania do serwisu gamingowego. Wykorzystuje ona wspomniany wcześniej scenariusz, w którym administrator serwisu gamingowego informuje użytkownika, że jego konto zostanie skasowane, jeżeli ten nie zaloguje się do serwisu w przeciągu kilku godzin. Uważny gracz, jeśli otrzyma taką korespondencję, powinien zwrócić uwagę na kilka szczegółów.

1) Adres nadawcy wiadomości

Prawdziwy adres nadawcy wiadomości e-mail często jest ukryty, a wyświetlana w kliencie pocztowym (program do odczytywania i wysyłania wiadomości e-mail) nazwa stanowi jedynie alias/nazwę ustawioną przez nadawcę w nagłówkach wiadomości. W ten sposób atakujący może wysłać wiadomość z adresu attacker@evil-site.com, a klient pocztowy ofiary wyświetli nazwę „Steam Support”, zamiast pełnego adresu. Prawdziwy adres nadawcy można zobaczyć po kliknięciu w nazwę, jak przedstawiono to na Ilustracji 2 (zależy to jednak od wykorzystywanego klienta pocztowego).

Ilustracja 2. Sprawdzanie faktycznego adresu e-mail nadawcy

2) Adres strony, do której prowadzi załączony link

Wiadomość e-mail można stworzyć w tak zwanym „czystym tekście” (ang. plain text) lub przy użyciu języka HTML, który używany jest do tworzenia stron internetowych. Drugi sposób pozwala znacznie uatrakcyjnić wizualną stronę wiadomości, dlatego też często stosowany jest przez różnego rodzaju serwisy do korespondencji z użytkownikami. W języku HTML istnieje tag <a>, który pozwala na tworzenie linku (hiperłącza) ze słów w treści. Na przykład kod:

Due to inactivity your account will be deleted in 2 hours. Click this link to log in and extend the validity of the account.

<a href="https://evil-site.example.com/">https://store.steampowered.com/login/</a>

spowoduje wyświetlenie na stronie WWW lub w wiadomości e-mail słów „https://store.steampowered.com/login/” jako linku prowadzącego do strony „https://evil-site.example.com/". Jeśli klikniemy w taki odnośnik, zostaniemy przeniesieni na stronę, która została zdefiniowana w kodzie HTML (https://evil-site.example.com), a nie tę, która została wyświetlona użytkownikowi w treści wiadomości (https://store.steampowered.com/login/). Korzystając z tej techniki, atakujący może wyświetlić użytkownikowi dowolny adres lub tekst, a jednocześnie link może prowadzić na przykład do spreparowanej przez niego strony logowania serwisu Steam.
By zobaczyć prawdziwy adres, na który kieruje link, należy na niego najechać myszką. W zależności od używanego oprogramowania adres może się wyświetlić pod linkiem (Ilustracja 3) lub na przykład u dołu okna programu pocztowego.

Ilustracja 3. Pod linkiem kryje się zupełnie inny adres niż ten, który widać w treści wiadomości

Jeżeli kliknęliśmy w złośliwy odnośnik z wiadomości, adres fałszywej strony wyświetli się również w pasku adresu przeglądarki (Ilustracja 4). Na to również należy zwracać uwagę. W dzisiejszych czasach atakujący wykupują dla swoich stron certyfikaty SSL, więc to, że w przeglądarce przy adresie znajduje się kłódka nie znaczy, że strona jest prawdziwa.

Ilustracja 4. Fałszywą stronę można rozpoznać po adresie URL znajdującym się w pasku adresu przeglądarki

3) Domeny podobne do prawdziwych

Czasem atakujący wykupują adresy domen bardzo podobne do prawdziwych, ale na przykład zawierające literówkę lub zamienione litery (adres „staem.com” zamiast „steam.com). Wykorzystują również fakt, że zestawy niektórych liter mogą wyglądać jak inna litera: na przykład litery „r” i „n” postawione jedna za drugą „rn” mogą przypominać literę „m”. Ma to znaczenie, szczególnie gdy mamy do czynienia z małą wielkością tekstu (adres „stearn.com” może przypominać „steam.com”). Innym przypadkiem jest stosowanie małej litery „l” (L) jako dużej litery „i”. To, czy litery będą skutecznie „udawać” inne znaki, zależy oczywiście od używanego fontu. Nazwa tego rodzaju oszustwa to typosquatting.

4) Błędy językowe

W samej treści często znajdują się literówki czy błędy gramatyczne. Nasz język nie jest łatwy do opanowania, a oszuści często używają tłumaczy online, jak na przykład Google Translate, które nie zawsze radzą sobie ze składnią szczególnie pojedynczych zdań. Jeśli oszuści skorzystają z szablonu wiadomości e-maili w języku angielskim, a następnie przetłumaczą tekst na polski, mogą wyjść ciekawe fragmenty, na przykład:

Ilustracja 5. Przykład phishingowej wiadomości e-mail, która podszywa się pod serwis „Netflix” – na czerwono zaznaczone miejsca, na które użytkownik powinien zwrócić uwagę

Jak się bronić?

Przed zjawiskiem phishingu nie ma ucieczki, ale można się przed nim bronić, stosując się do kilku podstawowych zasad.

1) Wybierz sprawdzonego dostawcę poczty e-mail

Dostawcy usług pocztowych często stosują autorskie lub komercyjne systemy antyphishingowe. Moim zdaniem prym wiedzie poczta Gmail, która jednak osiąga to, analizując korespondencję swoich użytkowników. Bezpieczeństwo za prywatność.

2) Uruchom dwuskładnikowe uwierzytelnianie (2FA)

W poprzednim numerze PJR w artykule „Nie daj przestępcy ukraść swojego konta gamingowego” autorstwa Wiktora Szymańskiego mogłeś/aś przeczytać o tym, czym jest dwuskładnikowe uwierzytelnianie i jak je uruchomić na platformie Epic Games. Proces włączania dwuskładnikowego uwierzytelniania w innych serwisach wygląda bardzo podobnie. W zależności od serwisu mogą być dostępne różne metody, na przykład kod z aplikacji mobilnej, klucz Yubikey czy kod dostarczany w wiadomości e-mail lub SMS.

3) Do wiadomości, które wzbudzają emocje, podchodź z rezerwą

To bardzo ważne! Jeśli otrzymujesz wiadomość, która wzbudza w tobie nagły przypływ emocji, to nie reaguj na nią pochopnie – przestępcy właśnie na to liczą. Podejmowanie decyzji w pośpiechu sprawia, że przestajemy zwracać uwagę na ważne szczegóły i znaki ostrzegawcze. Nic na szybko. Zanim klikniesz w link, poczekaj chwilę. Weź trzy głębokie wdechy i zastanów się nad treścią wiadomości. Ta dodatkowa chwila może uratować twoje konto i dane.

4) Do stron loguj się z zapisanych wcześniej zakładek

Nawet jeżeli uważasz, że otrzymana wiadomość jest prawdziwa, to dla bezpieczeństwa nie loguj się do serwisu przez otrzymany w niej link, lecz wejdź na stronę poprzez zapisaną wcześniej zakładkę lub ręcznie wpisz adres strony w pasku adresu przeglądarki.

Zapamiętaj

Ćwicz w domu

Zapraszamy do zapoznania się z innymi artykułami przygotowanymi przez bezpieczny.blog dla magazynu Programista Junior:

Exit mobile version