Mimo rozwoju technologii oszuści wciąż potrafią wykorzystać naiwność i niewiedzę internautów. W ostatnich dwunastu miesiącach 37,3 mln użytkowników Internetu na całym świecie zetknęło się z atakiem phishingu. To o 87 proc. więcej niż w tym samym okresie rok wcześniej. Wciąż najpopularniejszym celem ataków oszustów internetowych są klienci banków i instytucji finansowych, ale coraz częściej są na nie narażone także osoby korzystające z serwisów aukcyjnych czy portali społecznościowych. Zdaniem ekspertów firmy doradczej Deloitte najsłabszym ogniwem pozwalającym na dokonywanie tego rodzaju przestępstw są sami użytkownicy oraz ich złe przyzwyczajenia i słabości.
Phishing jest rodzajem oszustwa, polegającego na kradzieży tożsamości lub innych danych (np. finansowych) z wykorzystaniem kopii strony internetowej (poczty internetowej, bankowości on-line, portalu społecznościowego) zaufanej instytucji. Niczego niepodejrzewający użytkownik wpisuje na tak spreparowanej stronie swój login i hasło lub dane z karty kredytowej, a informacje te trafiają w ręce przestępców. „Co ciekawe istota phishingu nie zmieniła się od początku istnienia tego zjawiska. Jedynie metody działania oszustów stają się coraz bardziej wyrafinowane, a próby ataku coraz częściej dotyczą także właścicieli smartfonów i użytkowników aplikacji mobilnych. W najbliższej przyszłości nie należy spodziewać się zmniejszenia skali tego rodzaju przestępstw, a wręcz jego nasilenia” – wyjaśnia Piotr Szeptyński, Menedżer w Dziale Zarządzania Ryzykiem, Deloitte.
Potwierdzają to wyniki badania Kaspersky Lab. W ciągu ostatnich dwunastu miesięcy oszuści atakowali dziennie średnio 102 tys. osób, dwa razy więcej niż w analogicznym okresie rok wcześniej. Prób oszustwa najczęściej dokonywano w Rosji, USA, Indiach, Wietnamie oraz Wielkiej Brytanii, a największa liczba zaatakowanych użytkowników to mieszkańcy Wietnamu, Stanów Zjednoczonych, Indii oraz Niemiec. Większość serwerów, na których znajdowały się strony phishingowe, została zarejestrowana w USA, Wielkiej Brytanii, Niemczech, Rosji oraz Indiach.
W ostatnich latach coraz popularniejszy staje się phishing targetowany (spear-phishing), mający charakter spersonalizowanego ataku. Choć najpopularniejszym celem oszustów nadal pozostają klienci instytucji finansowych (20 proc. ogólnej liczby przestępstw phishingowych), to narażeni na nie są także użytkownicy serwisów transakcyjnych (np. aukcyjnych) oraz takich, w których gromadzone są cenne dane osobowe, zawodowe, dotyczące zdrowia i szczególnych zainteresowań. Świadczy o tym mnogość ataków wycelowanych w użytkowników takich serwisów, jak PayPal, Facebook, LinkedIn czy Twitter.
Niestety firmy i ich klienci zbyt często są niesłusznie przekonani o skuteczności stosowanych zabezpieczeń. Dwuskładnikowe uwierzytelnianie, kody SMS, karty zdrapki i szyfrowane połączenie są to (w ocenie użytkowników) sposoby wystarczające, by uchronić się przed udanym atakiem. „Jednak rzeczywistość pokazuje, że wcale tak nie jest. Szkodliwe oprogramowanie tworzone jest pod konkretne potrzeby, co świadczy o tym, że jego skuteczność jest wysoka, a przestępcom opłaca się angażować wykwalifikowanych programistów w jego tworzenie” – uważa Piotr Szeptyński.
Tym, co często zdradza próbę wyłudzenia danych, jest niska jakość treści wiadomości i fałszywych stron. Pomimo widocznej poprawy wyglądu imitacji serwisów transakcyjnych, treść wiadomości nadal przypomina efekt automatycznego i nieudolnego tłumaczenia z języka rosyjskiego – poprzez angielski – na polski. Okazuje się jednak, że nie jest to przeszkodą w realizacji ataków. Odbiorcom często wystarcza prosta informacja (np. nazwa jego stanowiska, imię i nazwisko znajomego, nazwa miasta zamieszkania), by dać się przekonać o „autentyczności” wiadomości. Dane te użytkownicy zamieszczają w portalach społecznościowych takich jak Facebook czy LinkedIn, a niewłaściwe ustawienia dotyczące ochrony prywatności sprawiają, że cyberprzestępcy w szybki sposób docierają do potrzebnych im informacji i wykorzystują je następnie przeciwko swoim ofiarom
Zwykło się też uważać, że o autentyczności strony świadczy to, co widać w pasku adresu oraz słynna „żółta kłódka”. Przypadki udanych ataków pokazują, że także te założenia bywają błędne. Problemy z mechanizmami leżącymi u podstaw modelu zaufania w Internecie (m.in. słabość funkcji skrótu MD5 oraz nieuprawniony dostęp do kluczy prywatnych centrów certyfikacji) spowodowały, że widząc symbol żółtej kłódki użytkownik nie może już mieć pewności, że loguje się do autentycznego i należycie zabezpieczonego serwisu transakcyjnego.
Jednak głównym powodem tego, że ataki phishingowe są wciąż skuteczne i opłacalne dla przestępców nie są wady oprogramowania lecz błędy użytkowników i ich zbytnia skłonność do postępowania według przyzwyczajeń. Dlatego ochrona przed phishingiem powinna skupić się na budowaniu świadomości oraz zmiany schematów. Powinny do nich należeć:
- ostrożne dzielenie się osobistymi informacjami,
- stosowanie różnych haseł w zależności od serwisu,
- aktualizacja systemu i oprogramowania (zwłaszcza antywirusowego),
- rozsądne otwieranie załączników do wiadomości i klikanie w linki,
- łączenie się z serwisami internetowymi pod znanymi adresami (np. z zakładek).
Mimo że żadna z tych zasad nie da 100 proc. gwarancji ochrony przed nadużyciem, to pozwalają one zminimalizować ryzyko i uniknąć większości przykrych niespodzianek. „I w tej dziedzinie technologia powinna pełnić rolę wspierającą, analogicznie jak ma to miejsce w przypadku samego phishingu. Programy komputerowe i mechanizmy bezpieczeństwa nie mogą zastąpić zdrowego rozsądku” – podsumowuje ekspert Deloitte.
Źródło: Deloitte
Wojciech Boczoń