Główna zawartość
Podstawy informatyki - program rozszerzony
Kurs: Podstawy informatyki - program rozszerzony > Rozdział 7
Lekcja 4: CyberatakiAtaki phishingowe
Internet jest siecią komputerową pełną cennych danych. Istnieje wiele mechanizmów zabezpieczających dostęp do tych danych.
Ale niestety mają one słaby punkt: człowieka. Jeżeli użytkownik sam udostępnia swoje dane osobowe lub swój komputer, zabezpieczenie danych i urządzeń staje się znacznie trudniejszym zadaniem.
Phishingiem nazywamy atak, którego celem jest oszukanie użytkownika w taki sposób, aby zdobyć jego prywatne dane.
Przykład ataku
Atak typu phishing zazwyczaj zaczyna się od wiadomości e-mail, która rzekomo pochodzi z legalnej strony internetowej, takiej jak strona bankowa lub sklep internetowy:
Celem e-maila jest uzyskanie prywatnych danych użytkownika, więc albo prosi on odbiorcę o odpowiedź zawierającą dane osobowe, albo odsyła do strony internetowej, która wygląda bardzo podobnie jak oryginalna strona:
Jeśli użytkownik zostaje przekonany i wpisuje prywatne dane na tej stronie, dane te znajdują się teraz w rękach napastnika! Jeśli użytkownik wypełnił dane logowania, oszust może użyć tych danych logowania, aby zalogować się do prawdziwej strony internetowej. Jeśli użytkownik dostarczył dane karty kredytowej, oszust może jej użyć do zakupienia produktów w internecie.
Objawy phishingu
Na szczęście istnieją znaki ostrzegawcze, dzięki którym phishing może zostać w porę rozpoznany.
Podejrzany adres e-mail
Phisherzy wielokrotnie używają adres e-mail z domeną, która nie należy do legalnej firmy.
Z drugiej strony, legalny adres e-mail nie gwarantuje, że jest on w 100% bezpieczny. Atakujący mogą znaleźć sposób na podszycie się pod legalny adres e-mail lub przejęcie kontroli nad faktycznym adresem e-mail.
Podejrzane adresy URL
Phishingowe wiadomości e-mail często zawierają link to strony o adresie URL, który wygląda niewinnie, ale tak naprawdę odpowiada stronie pod kontrolą phisherów.
Atakujący używają różnych strategii tworzenia przekonywujących adresów URL:
- Oryginalny adres URL albo nazwa firmy z błędem ortograficznym. Przykładowo, "goggle.com" zamiast "google.com".
- Adres URL zawierający specialne znaki, które wyglądają podobnie do znaków z oryginalnego adresu. Na przykład, "wikipediа.org" versus "wikipedia.org", gdzie "e" oraz "a" są różnymi znakami w tych dwóch adresach.
- Poddomeny, które wyglądają jak nazwy domeny. Przykładowo, "paypal.accounts.com" zamiast "accounts.paypal.com". PayPal jest włascicielem drugiej domeny, ale nie ma żadnej kontroli nad pierwszą.
- Inna domena najwyższego poziomu (w skrócie TLD od angielskiego "top level domain"). Na przykład, "paypal.io" zamiast "paypal.com". Popularne firmy starają się wykupić większość powrzechnych TLD, takich jak ".net", ".com" i ".org", jednakże istnieją setki takich domen.
Nawet jeśli atakujący nie znalazł podobnie wyglądającego adresu URL dla swojej zwodniczej strony internetowej, może nadal próbować podstawić adres URL w kodzie HTML.
Rozważ ten bardzo poprawnie wyglądający tekst:
Odwiedź www.paypal.com aby zmienić hasło.
Teraz spróbuj kliknąć otworzyć link. Nie prowdzi on na stronę PayPal, nieprawdaż? To dlatego, że tekst linku nie jest taki sam jak adres strony, do której ten link prowadzi.
Oto jak wygląda ten tekst w kodzie HTML:
Odwiedź <a href="http://malicious-link.com">www.paypal.com</a> aby zmienić hasło.
Atakujący może w ten sposób zmodyfikować linki w wiadomościach e-mail lub na stronach internetowych. Otwierając podejrzany link, ważne jest, aby sprawdzić adres URL w pasku przeglądarki i upewnić się, że jest on poprawny.
Niezabezpieczone połączenia HTTP
Każda strona internetowa, która prosi Cię o poufne informacje, powinna używać HTTPS do szyfrowania danych wysłanych poprzez sieć Internetową.
Strony phishingowe nie zawsze kożystają z protokołu HTTPS, gdyż wymaga to dodatkowego wysiłku.
Jednak, zgodnie ze sprawozdaniem, w 2019 r. ponad dwie trzecie phishingowych stron internetowych korzystało z protokołu HTTPS, tak więc zabezpieczony adres URL niekoniecznie jest równoznaczny z bezpiecznym adresem URL. start superscript, 1, end superscript
Żądanie informacji wrażliwych
Wysłane e-maile często pytają o podanie danych osobistych lub o wypełnienie formularza na stronie internetowej. Większość legalnych firm nie musi weryfikować danych osobowych wielokratnie, ale jedynie podczas procesu tworzenia konta.
Taktyka pośpiechu i zastraszania
Phishingowe wiadomości używają manipulacji psychologicznych, aby uśpić naszą piloność i skłonić nas do szybkiej reakcji bez zastanowienia się nad jej konsekwencjami.
Procedura postępowania w przypadku ataku
Każde oszustwo polegające na wyłudzaniu informacji różni się swoim wyrafinowaniem, więc niektóre wiadomości e-mail mogą być bardzo wyraźnie fałszywe, podczas gdy inne mogą być niezwykle przekonujące.
Jeśli kiedykolwiek podejrzewasz, że wiadomość e-mail jest atakiem phishingu, nie otwieraj linków ani nie pobieraj żadnych załączonych plików.
Znajdź inny sposób, aby skontaktować się z domniemanym nadawcą, aby upewnić się, że e-mail jest legalny. Jeśli e-mail pochodzi od firmy, możesz wyszukać jej numer telefonu w internecie. Jeśli pochodzi od znajomych lub rodziny, skontaktuj się z nimi bezpośrednio.
Phishing spersonalizowany
Istnieje nowy rodzaj phishingu, który jest jeszcze bardziej popularny i niebezpieczny: spear-phishing. Zamiast wysyłać podobną wiadomość e-mail do wielu użytkowników, spear-phisher bada użytkownika i wysyła e-mail skierowany bezpośrednio do nich.
Spersonalizowane ataki phishing często skierowane są na osoby należące do organizacji w celu wyłudzenia lub uzyskania dostępu do danych tej organizacji.
Jeden z moich kolegów otrzymał tę wiadomość e-mail, która twierdziła, że pochodzi ona od Sala Khana:
Na szczęście było to oczywiste, że ta wiadomośc pochodzi od oszusta ze względu na adres e-mail użyty przez nadawcę.
Ale nie wszystkie próby spear-phishingu są tak oczywiste i nie wszyscy są tak ostrożni. Wystarczy tylko jedna osoba w organizacji, która przypadkowo ujawni swoje dane uwierzytelniające lub pobierze złośliwe oprogramowanie na swój komputer firmowy, aby atakujący mógł potencjalnie włamać się do bazy danych firmy. W konsekwencji, to nie tylko kradzież danych jednej osoby, ale potęcjanie tysięcy jeśli nie milionów ludzi. 😬
🔍 Potrafisz rozpoznać oszustwo typu phishing? Sprawdź swoje umiejętności za pomocą tego quizu z Google Phishing.
🙋🏽🙋🏻♀️🙋🏿♂️Masz pytania związane z tym zagadnieniem? Możesz zadać swoje pytanie poniżej!
Chcesz dołączyć do dyskusji?
Na razie brak głosów w dyskusji