Wyłudzanie informacji (phishing)

Wprowadzenie do phishingu

Phishing to jedna z form inżynierii społecznej. W przeciwieństwie do innych cyberataków, które bezpośrednio atakują sieci i zasoby, ataki socjotechniczne wykorzystują błędy ludzkie, fałszywe historie i taktyki nacisku, aby zmanipulować ofiary do nieumyślnego zaszkodzenia sobie lub swojej organizacji. W typowej próbie phishingu przestępca udaje kogoś, komu ofiara ufa, np. współpracownika, szefa, autorytet lub przedstawiciela znanej marki. Przestępca wysyła wiadomość instruującą ofiarę, aby zapłaciła fakturę, otworzyła załącznik, kliknęła link lub podjęła inne działanie.

Ewolucja i wpływ ataków phishingowych

Phishing, termin będący obecnie synonimem cyberprzestępczości, wywodzi się z programu opracowanego przez nastolatka z Pensylwanii o nazwie AOHell. To wczesne złośliwe oprogramowanie było ukierunkowane na AOL (America Online), popularną usługę online we wczesnych dniach Internetu, wykorzystując mechanizmy do kradzieży informacji o kartach kredytowych i łamania haseł, co prowadziło do zakłóceń w usługach AOL. Program AOHell położył podwaliny pod zautomatyzowane oprogramowanie phishingowe, wpływając na późniejsze metody phishingu, w tym te wykorzystywane przez społeczność Warez – grupę zaangażowaną w hakowanie i udostępnianie pirackiego oprogramowania.

Początki phishingu

Społeczności Warez przypisuje się pierwsze zorganizowane ataki phishingowe, które rozpoczęły się w 1996 roku. Ich celem byli użytkownicy AOL, wykorzystując algorytm do generowania losowych numerów kart kredytowych. Po znalezieniu prawidłowego numeru tworzyli prawdziwe konta AOL, aby oszukać innych użytkowników. Ten początkowy schemat phishingu ewoluował w bardziej wyrafinowane taktyki socjotechniczne, w których atakujący podszywali się pod pracowników AOL w celu zebrania poufnych informacji.

Po tych wczesnych oszustwach taktyka phishingu szybko przeniosła się na pocztę elektroniczną. Wczesne e-maile phishingowe wahały się od nieprzekonujących schematów, takich jak te z udziałem fałszywych nigeryjskich książąt, po bardziej wyrafinowane próby, takie jak wirus Mimail z 2003 roku. Wirus Mimail był rozprzestrzeniany za pośrednictwem wiadomości e-mail, która twierdziła, że pochodzi od PayPal i nakłaniała użytkowników do aktualizacji danych karty kredytowej. Wielu użytkowników, wprowadzonych w błąd przez przekonujące logo PayPal, wprowadziło swoje dane uwierzytelniające na złośliwej stronie internetowej.

Zagrożenie skoncentrowane na człowieku

Phishing jest szczególnie niebezpieczny, ponieważ wykorzystuje ludzką psychologię, zamiast polegać na lukach technologicznych. Atakujący często nie muszą bezpośrednio włamywać się do systemów ani przechytrzać narzędzi cyberbezpieczeństwa. Zamiast tego oszukują osoby z autoryzowanym dostępem do poufnych informacji, prowadząc je do nieświadomej pomocy w ataku.

Phisherzy mogą być zarówno pojedynczymi oszustami, jak i zorganizowanymi gangami przestępczymi i mogą wykorzystywać phishing do różnych złośliwych celów, w tym kradzieży tożsamości, oszustw związanych z kartami kredytowymi, kradzieży pieniędzy, wymuszeń, przejmowania kont i szpiegostwa. Celami ataków phishingowych są osoby fizyczne, korporacje i agencje rządowe. Jednym z godnych uwagi przykładów jest atak phishingowy na kampanię prezydencką Hillary Clinton w USA w 2016 roku, w którym rosyjscy hakerzy wykorzystali fałszywą wiadomość e-mail z resetem hasła do kradzieży tysięcy e-maili. Nawet dział pomocy IT kampanii został oszukany przez fałszywe wiadomości e-mail.

Nowoczesne techniki phishingu

Phishing znacznie ewoluował, wykorzystując wiele metod komunikacji i wyrafinowanych technik do oszukiwania celów. Nowoczesne próby phishingu mogą ściśle naśladować legalne firmy, co utrudnia ich wykrycie bez dokładnej analizy.

Niektóre współczesne techniki phishingu obejmują:

• Phishing wędkarski: odbywa się za pośrednictwem mediów społecznościowych, przy użyciu sfałszowanych adresów URL, wiadomości błyskawicznych lub fałszywych profili w celu zebrania poufnych informacji. Atakujący mogą również wykorzystywać profile w mediach społecznościowych do zbierania danych osobowych w celu wzmocnienia swojej manipulacji.
• Klonowanie i podszywanie się pod domeny: Atakujący tworzą wiadomości e-mail, które bardzo przypominają legalne wiadomości, wykorzystując dokładne kopie wiadomości lub fałszując nazwy domen, aby wiadomości e-mail wyglądały na autentyczne. Często podszywają się pod duże, znane firmy, aby nakłonić użytkowników do ujawnienia danych osobowych.
• Smishing: Ta technika łączy phishing z SMS-ami, wysyłając fałszywe wiadomości tekstowe w celu zebrania informacji, takich jak numery kart kredytowych lub hasła.
• Spear Phishing: wysoce ukierunkowany spear phishing polega na gromadzeniu przez atakujących szczegółowych informacji w celu tworzenia spersonalizowanych wiadomości e-mail, które wydają się pochodzić z zaufanych źródeł.
• Whaling: Ten rodzaj phishingu jest skierowany do pracowników wyższego szczebla lub osób o wysokim profilu, często obejmując wyrafinowaną manipulację społeczną i gromadzenie danych wywiadowczych.
• Vishing: łącząc phishing z VoIP (Voice over Internet Protocol), vishing obejmuje oszukańcze połączenia telefoniczne mające na celu uzyskanie poufnych informacji.

Podsumowując, phishing ewoluował od wczesnych programów, takich jak AOHell, do złożonych schematów obejmujących różne metody komunikacji. Zagrożenie pozostaje znaczące, ponieważ żeruje na ludzkiej psychologii, co sprawia, że osoby i organizacje muszą zachować czujność i być informowane o tych stale ewoluujących taktykach.