Phishing

Phishing jest jednym z popularniejszych w ostatnim okresie sposobów kradzieży danych, w którym stosowane są elementy socjotechniki. Jest  to rodzaj ataku internetowego, w którym oszust próbuje oszukać użytkowników, podszywając się pod zaufane instytucje lub osoby, w celu wyłudzenia poufnych informacji, takich jak hasła, numer karty kredytowej czy dane osobowe. Atak ten często polega na wysyłaniu fałszywych wiadomości e-mail, które wydają się pochodzić od znanych firm, banków lub serwisów społecznościowych. Odbiorca jest zachęcany do kliknięcia w linki lub udzielenia informacji, co może prowadzić do kradzieży danych lub innych niepożądanych konsekwencji.

Jak rozpoznać phishing

Wiadomość z błędami językowymi

Najprostsze i zarazem najłatwiejsze do rozpoznania formy oszustw w wiadomościach przygotowywane są masowo, czasem nawet jednocześnie dla odbiorców w wielu krajach. Stąd, treść takich wiadomości może często zawiera błędne formy językowe, typowe dla tłumaczenia automatycznego lub osoby niewładającej biegle danym językiem.

Należy jednak pamiętać, że w profesjonalnie przygotowanych atakach wiadomość może być napisana przez osobę władającą językiem polskim jako ojczystym, zatem nawet poprawna treść nie powinna przesądzać o jej bezpieczeństwie.

Wiadomość od podejrzanego nadawcy

Najczęściej wiadomości phishingowe wysyłane są z darmowych skrzynek pocztowych oraz przejętych przez atakującego kont innych użytkowników. Warto zwracać uwagę na pole “Od:”, identyfikujące nadawcę wiadomości. Jeśli domena (część adresu znajdująca się po ‘@’) nie jest domeną AGH (agh.edu.pl) lub jej poddomeną (adresem, który po swojej lewej stronie ma dodatkowe człony, na przykład cri.agh.edu.plchor.agh.edu.pl, open.agh.edu.pl i tym podobne), to należy podejść do takiej wiadomości szczególnie ostrożnie. Tak samo podejrzane powinny wydać się wszystkie wiadomości z darmowych skrzynek pocztowych (jak gmail.com, yahoo.com itp.), skrzynek z innych, zwłaszcza pozaeuropejskich, krajów, a także brak adresu nadawcy w ogóle.

Sprawdzając domenę, dokładnie się jej przyjrzyj. Dobrze przygotowani oszuści zwykle używają adresów z trudnymi do wykrycia “literówkami”. Zdarza się zastępowanie litery „l” cyfrą „1”, a dużej lub małej litery „o” – cyfrą „0”

Pamiętaj, że poszczególne człony w adresie zawsze oddzielone są kropkami, a nie innymi znakami, na przykład myślnikami lub znakami podkreślenia. Zatem, przykładowy adres informatyka.agh-edu.pl nie jest własnością AGH (zwróć uwagę na myślnik w środku).

Jeżeli nawet adres odbiorcy zawiera człon agh.edu.pl, ale nie po skrajnie prawej stronie adresu, to taka domena nie należy do AGH i jej użycie prawdopodobnie wiąże się z próbą oszustwa.

Phishing_wrong_domain

Przykładowe adresy, które nie należą do AGH

agh.edu.pl-online.com   
agh.edu.pl.24.eu   
aghedupl.co.zw
agh-edu.pl
agh.cri.edu.pl   
agh.odu.pl   
agh.com.pl   

Wiadomość straszy i zmusza do szybkiej reakcji

Autorom ataków phishingowych zależy na tym, by wzbudzić w użytkowniku niepokój i obawę, że stanie się coś nieprzyjemnego. Dlatego często wykorzystywanym motywem jest ostrzeżenie o braku płatności za jakąś usługę, zablokowaniu konta pocztowego lub złamaniu prawa lub dobrego obyczaju. Atakujący chce, by użytkownik zadziałał jak najszybciej, bez przemyślenia całej sytuacji.

Taka strategia doczekała się nawet specjalnego określenia: FUD (Fear, Uncertanity, Doubt – z ang. strach, niepewność, wątpliwość) i są to techniki często wykorzystywane w propagandzie i dezinformacji.

Pamiętaj, że administratorzy zawsze informują o zbliżających się działaniach (np. niedostępności serwera pocztowego, usunięciu konta z powodu braku potwierdzenia go na następny rok itp.) z odpowiednim wyprzedzeniem i nie jest ich celem straszenie użytkowników.

Zawsze daj sobie czas do namysłu i nie reaguj instynktownie.

Autor chce podania wrażliwych danych lub zalogowania się na stronie.

Pamiętaj, że administratorzy nigdy nie proszą o podanie w wiadomości e-mail danych dostępowych do konta (loginu, hasła, kodów jednorazowych) oraz innych danych wrażliwych (numeru PESEL, numeru karty płatniczej itp.)

Szczególną uwagę zwróć również na wiadomości, w których znajdują się odnośniki do zewnętrznych stron wymagających logowania. Zazwyczaj przejście do strony z odnośnika nie grozi negatywnymi konsekwencjami, jeśli nie podasz na stronie żadnych danych, ani nie wykonasz żadnych dodatkowych akcji (np. pobierania plików).

Jeśli przejdziesz na stronę z odnośnika, koniecznie zweryfikuj adres tej strony. Domena powinna należeć do AGH (domena to część adresu pomiędzy https:// a następnym ukośnikiem /). Zasady określania tego, czy domena należy do AGH, są takie same, jak w punkcie 2.

Pamiętaj, że odnośnik może w treści wiadomości nie prezentować rzeczywistego adresu strony docelowej. Poniżej przykład odnośnika, który został zastąpiony innym tekstem. Żeby poznać prawdziwy odnośnik, należy najechać na niego myszką. Wtedy w dolnym lewym rogu ekranu pojawi się pasek z rzeczywistym adresem (w przypadku programu Microsoft Outlook pojawi się dodatkowo chmurka z adresem). 

Poprawny adres strony

podyplomowe.informatyka.agh.edu.pl/oferta/cyberbezpieczenstwo/

Niepoprawny adres strony

poczta-agh.edu.pl.poczta24.pl/panel/logowanie/

Adres odbiorcy nie jest poprawny

Jeśli adres odbiorcy wiadomości nie jest Twoim adresem lub w ogóle go nie ma, to najprawdopodobniej wiadomość została wysłana z użyciem zautomatyzowanego rozwiązania, a nie przez człowieka. Może to być również efektem błędnej konfiguracji, jednak jest to dosyć częsta sytuacja w wiadomościach będących próbą oszustwa lub wyłudzenia danych.

Pamiętaj, że może być też tak, że wiadomość została wysłana do wielu adresatów w użyciem mechanizmu kopii ukrytej lub “ukryte do wiadomości” (tzw. BCC – od Blind Carbon Copy). Wtedy nie będziesz widział listy odbiorców, a sama wiadomość może być poprawna i nie być próbą oszustwa.

Jak reagować na phishing

Nie działaj na szybko i bez zastanowienia

Twórcom oszustw zależy na tym, by ich odbiorca zadziałał instynktownie i nie zastanawiał się zbyt długo nad tym, co robi. Dlatego w wielu atakach pojawia się informacja, że musisz podjąć jakąś akcję w ciągu najbliższych 24 godzin lub coś - zawsze negatywnego - już się stało. Jeśli nie jesteś pewien, jak zareagować, nie reaguj. Lepiej pozostawić niepewną wiadomość bez działania i zrobić coś później (jeśli w ogóle będzie konieczne), niż paść ofiarą ataku. 

Zweryfikuj prawdziwość wiadomości

Wiele informacji o planowanych pracach serwisowych, czekającym regulaminie do zaakceptowania lub opóźnieniu w płatności (i grożących konsekwencjach) można sprawdzić.

Komunikaty administratorów AGH publikowane są na stronie Centrum Rozwiązań Informatycznych AGH (https://www.cri.agh.edu.pl/). Nawet jeśli nie umiesz znaleźć poszukiwanej informacji, możesz skontaktować się z Pomocą IT (https://pomoc-it.agh.edu.pl/).

Pamiętaj, by do kontaktu nie wykorzystywać informacji, które podane są w podejrzanej wiadomości. Atakujący mógł zamieścić tam celowo sfałszowane odnośniki lub numery telefonów, które może obsługiwać oszust. Jak skomplikowany może być taki atak, możesz zobaczyć tutaj (https://www.youtube.com/watch?v=SbCcmLqmQSs).

Nawet to, że w wiadomości pojawiają się informacje, które mogłyby wskazywać na jej prawdziwość (na przykład podpisana jest pod nią osoba, którą znasz osobiście, lub wiesz, że pracuje na AGH, a dodatkowo zgadza się nazwa jednostki i stanowisko) nie świadczy o tym, że wiadomość jest prawdziwa. Wiele takich informacji da się znaleźć w Internecie i może pozyskać je każdy, kto będzie tego chciał. 

Nigdy nie odpowiadaj na podejrzaną wiadomość

Nadawca podejrzanej wiadomości, jeśli jest oszustem, będzie próbował przekonać Cię do tego, że wiadomość jest autentyczna i powinieneś jak najszybciej spełnić prośby w niej zawarte. Jeśli chcesz zweryfikować, czy wiadomość jest prawdziwa, skorzystaj z zaleceń z wcześniejszego punktu.

Nigdy nie otwieraj załączników z podejrzanej wiadomości

Do ataków prowadzonych z użyciem wiadomości e-mail często wykorzystywane są szkodliwe załączniki, które mogą być plikiem wykonywalnym lub zawierającym krótki program skryptowy, tzw. makro. Nawet pliki wyglądające niewinne, jak dokumenty Word, Excel lub PDF, mogą zawierać złośliwy kod.

Regularnie aktualizuj oprogramowanie swojego komputera oraz nie otwieraj załączników z wiadomości, których się nie spodziewasz, i których nie możesz zweryfikować zgodnie z powyższymi zasadami.

Zgłoś do nas próbę ataku

W sprawach związanych z atakami i innymi kwestiami dotyczącymi bezpieczeństwa komputerowego możesz kontaktować się z nami pod adresem bezpieczenstwo@agh.edu.pl.

W celu ułatwienia nam analizy, najlepiej podejrzaną wiadomość zapisz w pliku .eml (opcja “Zapisz jako” dostępna w większości klientów pocztowych) i wyślij nam taką wiadomość jako załącznik.

Przykład: eksport maila, Thunderbird wersja 1

Wersja 1.

Wersja 1. W prawnym górnym rogu (nad wiadomością) Więcej => Zapisz jako

Przykład: eksport maila, Thunderbird wersja 2

Prawym przyciskiem myszy na danej wiadomości => Zapisz jako… 

Przykład: eksport maila, Outlook

W środkowej części, w prawym górnym rogu okna wiadomości kliknij znak "wiadomości z notatką" => "Prześlij dalej jako załącznik"

Przykład: eksport maila, Roundcube

Należy kliknąć w koło zębate w górnym menu => Pobierz (.eml)