Phishing jest to oszustwo internetowe polegające na wyłudzeniu danych poufnych poprzez podszycie się pod osobę lub też instytucję. To jedna z nowszych form przestępstw, które wykorzystują internet do wyłudzenia danych umożliwiających uzyskanie dostępu do haseł, loginów, numerów kart płatniczych.
Phishing - rodzaje
Jak wskazuje się w orzecznictwie, phishing jest to forma oszustwa polegająca na podszyciu się przez przestępców pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji typu dane do logowania lub dane karty kredytowej, bądź też zainfekowania komputera szkodliwym oprogramowaniem.
Do rodzajów phishingu zalicza się:
- spear phishing – w tym przypadku ataki hakerów skierowane są do konkretnych osób, firm, instytucji. Najczęstszą przyczyną jest chęć pozyskania kluczowych danych dotyczących firmy;
- clone phishing – ataki dotyczą klonowania wiadomości, które pochodzą od zaufanego adresata – nadawcy, natomiast różnią się detalami, takimi jak linki zawarte w treści;
- smishing – ataki skupiają się na linkach zawartych w wiadomościach SMS;
- spoofing – ataki polegają na fałszowaniu adresów domen tak, aby wiadomość wyglądała, jakby pochodziła od zaufanej organizacji, firmy, nadawcy;
- brand phishing – ataki polegają na podszywaniu się pod przedsiębiorstwa, które są powiązane z atakowaną firmą, jak np. dostawcy usług księgowych, informatycznych, kurierskich;
- whaling – ataki skierowane są do najwyżej postawionych osób w firmie: kierowników, prezesów, szefów działów/departamentów;
- vishing – ataki polegają na bezpośrednim kontakcie telefonicznym i podszywaniu się pod kontrahenta, instytucję publiczną, bank.
Metody phishingu
Najbardziej rozpowszechnioną metodą phishingu są e-maile, które zawierają linki prowadzące do stron internetowych udających autentyczne serwisy, gdzie ofiary są proszone o podanie swoich danych logowania lub innych poufnych informacji, takich jak numery kart płatniczych. Często zdarzają się również praktyki polegające na załączeniu do wiadomości e-mail załączników, których pobranie powoduje instalację złośliwego oprogramowania na atakowanym urządzeniu, co może być również prowadzić to ułatwienia dostępu do danych poufnych atakowanego.
Przykład 1.
Pan Jan kupował części do samochodu na portalu aukcyjnym. Po wykonaniu ostatniego przelewu otrzymał e-mail od sprzedawcy, że musi dopłacić kwotę 1,36 zł. Jak się okazało, padł on ofiarą działań hakera, gdyż nieznana osoba przy pomocy fałszywej wiadomości wysłanej ze skrzynki o adresie zbliżonym do adresu e-mail sprzedawcy uzyskała login i hasło do jego bankowości elektronicznej poprzez podszycie się pod serwis internetowy banku; z fałszywego serwisu pan Jan wykonał przelew na kwotę 1,36 zł. W tamtym czasie kupował kilka akcesoriów samochodowych na portalu i wykonywał kilka przelewów za te zakupy. Uznał, że mógł w którymś z nich jakiejś kwoty nie dopłacić. Kliknął więc w link prowadzący do systemu płatności i wykonał przelew brakującej kwoty. Według niego była to strona systemu płatniczego stosowana przy zakupach. Były tam prostokąty z wyborem banku, w którym posiada konto.
W tym wypadku niewątpliwie mamy do czynienia z phishingiem.
Jak przeciwdziałać phishingowi w firmie i jak ją chronić?
Phishing może stanowić duży problem w firmie. Z uwagi na to, że zdecydowana większość działań skupia się wokół elektronizacji i digitalizacji dokumentów, stanowi to dość ważki kąsek dla przestępców. Chodzi tu w szczególności o takie dane firmy jak księgi rachunkowe, dane pracowników, dane dostępowe do rachunków firmowych, dane kontrahentów. Jakie środki można zastosować, aby zapobiec phishingowi?
Przykładowe sposoby zabezpieczenie firmy przed phishingiem to:
- zastosowanie systemu szkoleń dla pracowników, współpracowników, kadry zarządzającej firmy w zakresie ochrony danych, sposobu rozpoznawania zagrożeń, sposobu zgłaszania sytuacji, gdy pracownik rozpozna zagrożenie;
- zastosowanie w firmie na służbowych komputerach dobrych systemów antywirusowych, które będą wspierać system operacyjny w walce z trojanami, robakami;
- wprowadzenie w firmie wieloetapowych systemów logowania, w tym logowania za potwierdzeniem kodu przychodzącego SMS-em na numer telefonu;
- stosowanie wielu haseł do różnych systemów – nie należy stosować jednego hasła do różnych systemów znajdujących się w firmie – w sposób istotny może to zmniejszyć możliwość do uzyskania przez hakera dostępu do większej liczby danych;
- zawarcie umowy ubezpieczenia na tego typu przypadki wycieku danych na skutek działania hakera;
- wprowadzenie zasady zmiany haseł do systemów co 30 dni lub częściej;
- wprowadzenie zasady skomplikowanych haseł;
- wprowadzenie zasady niezwłocznego informowania przez pracowników sytuacji podejrzanych, gdzie mogło dojść do ataku phishingu;
- wprowadzenie regulaminu/ogólnych zasad postępowania w przypadku phishingu, w tym regulaminu wprowadzania zabezpieczeń, zmiany haseł;
- wprowadzenie zasady dokładnej weryfikacji wiadomości e-mail oraz załączników do wiadomości e-mail otrzymywanych przez pracowników, współpracowników, kadry zarządzającej;
- sprawdzanie domeny internetowej, na którą został przekierowany adresat wiadomości;
- wprowadzenie zasady niezapisywania haseł na kartkach pozostawionych na biurku;
- wprowadzenie zasady weryfikacji nadawców wiadomości e-mail i każdorazowego sprawdzania nadawcy wiadomości przed otwarciem załącznika lub przed kliknięciem linku zawartego w treści wiadomości.
Co zrobić w przypadku, gdy firma padła ofiarą phishingu?
W pierwszej kolejności należy zweryfikować, jakie dane zostały naruszone i z jakiego komputera. Następnie konieczne jest poinformowanie odpowiednich podmiotów o wycieku danych. Jeżeli mamy do czynienia z wyciekiem danych dotyczących płatności, kart płatniczych, to w pierwszej kolejności należy skontaktować się z bankiem, a następnie złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa.
Jeżeli wyciek dotyczy danych osobowych, to oprócz powiadomienia policji zasadna jest ocena, czy doszło do naruszenia danych osobowych, które uwarunkowane jest koniecznością zgłoszenie do Prezesa UODO.
Kolejną rzeczą jest dokonanie zawiadomienia odpowiednim służbom (np. CERT Polska, czyli zespołowi zajmującemu się reagowaniem na tego typu incydenty) albo firmie lub instytucji, pod którą podszywa się przestępca.
W przypadku podejrzenia kliknięcia podejrzanego linku i obawy przed phishingiem należy:
- jeżeli już użytkownik kliknął link i uważa, że jest podejrzany – nie można podawać żadnych danych, np. logowania do banku;
- odłączyć urządzenie od internetu;
- wykonać kopię zapasową danych zawartych na komputerze (jeżeli nie ma generalnego serwera, gdzie przechowywane są dane);
- powiadomić podmiot obsługujący;
- wykonać skanowanie urządzenia antywirusem lub innym dostępnym oprogramowaniem wykrywającym złośliwe oprogramowania;
- wykonać screen strony internetowej, na którą skierowany został użytkownik, i przesłać wraz ze zgłoszeniem np. do CERT Polska.