If you're seeing this message, it means we're having trouble loading external resources on our website.

Jeżeli jesteś za filtrem sieci web, prosimy, upewnij się, że domeny *.kastatic.org i *.kasandbox.org są odblokowane.

Główna zawartość

Ataki phishingowe

Internet jest siecią komputerową pełną cennych danych. Istnieje wiele mechanizmów zabezpieczających dostęp do tych danych.
Ale niestety mają one słaby punkt: człowieka. Jeżeli użytkownik sam udostępnia swoje dane osobowe lub swój komputer, zabezpieczenie danych i urządzeń staje się znacznie trudniejszym zadaniem.
Phishingiem nazywamy atak, którego celem jest oszukanie użytkownika w taki sposób, aby zdobyć jego prywatne dane.
Ilustracja przedstawiająca atak phishingowy. Napastnik ma wędkę z haczykiem poprzez przeglądarkę internetową. Przeglądarka ma pole z wypełnionym hasłem "UsersR3alP@ssword".
Phisher rzuca kuszącą przynętę - stronę internetową, która wygląda przekonująco. Jeżeli użytkownik złapie przynętę, phisher jest w stanie wyłowić "smakowite" prywatne dane.

Przykład ataku

Atak typu phishing zazwyczaj zaczyna się od wiadomości e-mail, która rzekomo pochodzi z legalnej strony internetowej, takiej jak strona bankowa lub sklep internetowy:
Zrzut ekranu z phishingowego e-maila. Tytuł brzmi: "Zablokowany dostęp do PayPala!". Email jest z "PayPal paypalaccounts@mailbox.com". Treść e-maila zawiera nagłówek "Twoje konto PayPal jest zablokowane, rozwiąż w 24 godziny!" oraz treść "Drogi Kliencie PayPal, Przykro nam, że nie masz dostępu do wszystkich funkcji konta PayPal, takich jak płatności i przelewy pieniężne. Kliknij tutaj, aby naprawić swoje konto teraz. Dlaczego jest ono zablokowane? Ponieważ uważamy, że Twoje konto jest zagrożone kradzieżą i nieautoryzowanym użyciem. Jak mogę naprawić ten problem? Potwierdź wszystkie swoje dane na naszym serwerze. Wystarczy kliknąć poniżej i wykonać wszystkie kroki. Potwierdź dane konta teraz." Istnieją dwa hiperłącza w tekście.
E-mail, który rzekomo pochodzi z PayPal
Celem e-maila jest uzyskanie prywatnych danych użytkownika, więc albo prosi on odbiorcę o odpowiedź zawierającą dane osobowe, albo odsyła do strony internetowej, która wygląda bardzo podobnie jak oryginalna strona:
Zrzut ekranowy strony phishingowej. Przeglądarka internetowa pokazuje tytuł strony internetowej "Zaloguj się do swojego konta PayPal". Pasek adresu pokazuje "paypal--accounts.com". Główny obszar ekranu zawiera pole logowania z logiem PayPal: pole do wpisania adresu e-mail lub numeru telefonu komórkowego, pole do wpisania hasła oraz przycisk "Zaloguj się".
Strona internetowa, która rzekomo jest ekranem logowania do systemu PayPal
Jeśli użytkownik zostaje przekonany i wpisuje prywatne dane na tej stronie, dane te znajdują się teraz w rękach napastnika! Jeśli użytkownik wypełnił dane logowania, oszust może użyć tych danych logowania, aby zalogować się do prawdziwej strony internetowej. Jeśli użytkownik dostarczył dane karty kredytowej, oszust może jej użyć do zakupienia produktów w internecie.

Objawy phishingu

Na szczęście istnieją znaki ostrzegawcze, dzięki którym phishing może zostać w porę rozpoznany.

Podejrzany adres e-mail

Phisherzy wielokrotnie używają adres e-mail z domeną, która nie należy do legalnej firmy.
Zrzut ekranu z phishing e-mail, przycięty, aby pokazać tylko linię od. Email jest z "PayPal paypalaccounts@mailbox.com". Adres e-mail jest wyróżniony kółkiem.
Email wygląda jak z PayPal, ale w rzeczywistości pochodzi z mailbox.com.
Z drugiej strony, legalny adres e-mail nie gwarantuje, że jest on w 100% bezpieczny. Atakujący mogą znaleźć sposób na podszycie się pod legalny adres e-mail lub przejęcie kontroli nad faktycznym adresem e-mail.

Podejrzane adresy URL

Phishingowe wiadomości e-mail często zawierają link to strony o adresie URL, który wygląda niewinnie, ale tak naprawdę odpowiada stronie pod kontrolą phisherów.
Zrzut ekranowy strony phishingowej, przycięty, aby pokazać tylko pasek adresu. Przeglądarka internetowa pokazuje tytuł strony "Zaloguj się do swojego konta PayPal". Na pasku adresu wyświetlany jest napis "paypal--accounts.com". Adres jest wyróżniony kółkiem.
URL ma w sobie "paypal", ale nie jest rzeczywistą domeną PayPal.
Atakujący używają różnych strategii tworzenia przekonywujących adresów URL:
  • Oryginalny adres URL albo nazwa firmy z błędem ortograficznym. Przykładowo, "goggle.com" zamiast "google.com".
  • Adres URL zawierający specialne znaki, które wyglądają podobnie do znaków z oryginalnego adresu. Na przykład, "wikipediа.org" versus "wikipedia.org", gdzie "e" oraz "a" są różnymi znakami w tych dwóch adresach.
  • Poddomeny, które wyglądają jak nazwy domeny. Przykładowo, "paypal.accounts.com" zamiast "accounts.paypal.com". PayPal jest włascicielem drugiej domeny, ale nie ma żadnej kontroli nad pierwszą.
  • Inna domena najwyższego poziomu (w skrócie TLD od angielskiego "top level domain"). Na przykład, "paypal.io" zamiast "paypal.com". Popularne firmy starają się wykupić większość powrzechnych TLD, takich jak ".net", ".com" i ".org", jednakże istnieją setki takich domen.
Nawet jeśli atakujący nie znalazł podobnie wyglądającego adresu URL dla swojej zwodniczej strony internetowej, może nadal próbować podstawić adres URL w kodzie HTML.
Rozważ ten bardzo poprawnie wyglądający tekst:
Odwiedź www.paypal.com aby zmienić hasło.
Teraz spróbuj kliknąć otworzyć link. Nie prowdzi on na stronę PayPal, nieprawdaż? To dlatego, że tekst linku nie jest taki sam jak adres strony, do której ten link prowadzi.
Oto jak wygląda ten tekst w kodzie HTML:
Odwiedź <a href="http://malicious-link.com">www.paypal.com</a> aby zmienić hasło.
Atakujący może w ten sposób zmodyfikować linki w wiadomościach e-mail lub na stronach internetowych. Otwierając podejrzany link, ważne jest, aby sprawdzić adres URL w pasku przeglądarki i upewnić się, że jest on poprawny.

Niezabezpieczone połączenia HTTP

Każda strona internetowa, która prosi Cię o poufne informacje, powinna używać HTTPS do szyfrowania danych wysłanych poprzez sieć Internetową.
Strony phishingowe nie zawsze kożystają z protokołu HTTPS, gdyż wymaga to dodatkowego wysiłku.
Zrzut ekranowy strony phishingowej, przycięty, aby pokazać tylko pasek adresu. Przeglądarka internetowa pokazuje tytuł strony "Zaloguj się do swojego konta PayPal". Na pasku adresu widnieje napis "Not Secure" oraz adres URL "paypal--accounts.com". Ostrzeżenie "Not Secure" jest wyróżnione kółkiem.
URL nie jest zabezpieczony przez HTTPS, więc przeglądarka wyświetla komunikat "Niezabezpieczona".
Jednak, zgodnie ze sprawozdaniem, w 2019 r. ponad dwie trzecie phishingowych stron internetowych korzystało z protokołu HTTPS, tak więc zabezpieczony adres URL niekoniecznie jest równoznaczny z bezpiecznym adresem URL. start superscript, 1, end superscript

Żądanie informacji wrażliwych

Wysłane e-maile często pytają o podanie danych osobistych lub o wypełnienie formularza na stronie internetowej. Większość legalnych firm nie musi weryfikować danych osobowych wielokratnie, ale jedynie podczas procesu tworzenia konta.
Zrzut ekranowy strony phishingowej, przycięty, aby pokazać tylko formularz logowania. Formularz logowania posiada logo PayPal: pole do wpisania numeru e-mail lub telefonu komórkowego, pole do wpisania hasła oraz przycisk "Zaloguj się". Pola e-mail i hasło są wyróżnione kółkami.

Taktyka pośpiechu i zastraszania

Phishingowe wiadomości używają manipulacji psychologicznych, aby uśpić naszą piloność i skłonić nas do szybkiej reakcji bez zastanowienia się nad jej konsekwencjami.
Zrzut ekranu z phishing e-mail, przycięty, aby pokazać część treści. Treść e-maila ma nagłówek "Twoje konto PayPal jest zablokowane, rozwiąż w 24 godziny!" oraz treść "Drogi Kliencie PayPal, Przykro nam, że nie masz dostępu do wszystkich funkcji konta PayPal, takich jak płatności i przelewy pieniężne. Kliknij tutaj, aby naprawić swoje konto teraz. Dlaczego jest ono zablokowane? Ponieważ uważamy, że twoje konto jest zagrożone kradzieżą i nieautoryzowanym użyciem." Nagłówek i ostatnia linia są zaznaczone kółkami.

Procedura postępowania w przypadku ataku

Każde oszustwo polegające na wyłudzaniu informacji różni się swoim wyrafinowaniem, więc niektóre wiadomości e-mail mogą być bardzo wyraźnie fałszywe, podczas gdy inne mogą być niezwykle przekonujące.
Jeśli kiedykolwiek podejrzewasz, że wiadomość e-mail jest atakiem phishingu, nie otwieraj linków ani nie pobieraj żadnych załączonych plików.
Znajdź inny sposób, aby skontaktować się z domniemanym nadawcą, aby upewnić się, że e-mail jest legalny. Jeśli e-mail pochodzi od firmy, możesz wyszukać jej numer telefonu w internecie. Jeśli pochodzi od znajomych lub rodziny, skontaktuj się z nimi bezpośrednio.

Phishing spersonalizowany

Istnieje nowy rodzaj phishingu, który jest jeszcze bardziej popularny i niebezpieczny: spear-phishing. Zamiast wysyłać podobną wiadomość e-mail do wielu użytkowników, spear-phisher bada użytkownika i wysyła e-mail skierowany bezpośrednio do nich.
Spersonalizowane ataki phishing często skierowane są na osoby należące do organizacji w celu wyłudzenia lub uzyskania dostępu do danych tej organizacji.
Jeden z moich kolegów otrzymał tę wiadomość e-mail, która twierdziła, że pochodzi ona od Sala Khana:
Zrzut ekranu wiadomości e-mail z tematem "Prośba" i nadawcą "Sal Khan executivee197@gmail.com" o treści "Kiedy znajdziesz minutkę, możesz wysłać do mnie e-mail? Pozdrawiam, Sal Khan, prezes zarządu"
Na szczęście było to oczywiste, że ta wiadomośc pochodzi od oszusta ze względu na adres e-mail użyty przez nadawcę.
Ale nie wszystkie próby spear-phishingu są tak oczywiste i nie wszyscy są tak ostrożni. Wystarczy tylko jedna osoba w organizacji, która przypadkowo ujawni swoje dane uwierzytelniające lub pobierze złośliwe oprogramowanie na swój komputer firmowy, aby atakujący mógł potencjalnie włamać się do bazy danych firmy. W konsekwencji, to nie tylko kradzież danych jednej osoby, ale potęcjanie tysięcy jeśli nie milionów ludzi. 😬
🔍 Potrafisz rozpoznać oszustwo typu phishing? Sprawdź swoje umiejętności za pomocą tego quizu z Google Phishing.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Masz pytania związane z tym zagadnieniem? Możesz zadać swoje pytanie poniżej!