Co to jest phishing, na czym polega i jak się przed nim zabezpieczyć [przykłady]
Cyberprzestępstwa stały się tak powszechne, jak dostęp do internetu. Oznacza to jednak, że w sieci stale czyhają na nas zagrożenia, które mogą spowodować drastyczne uszczuplenie konta. Jednym z takich zagrożeń jest phishing, czyli najprostsza, najczęściej spotykana i niestety najbardziej skuteczna metoda hakerów. Co to jest phishing, jakie są jego przykłady i jak skutecznie się przed nim bronić?
Spis treści
Co to jest i na czym polega phishing?
O zagrożeniach czyhających w cyberprzestrzeni mówi się ostatnio coraz głośniej – także w mediach głównego nurtu. Jednym z powszechnie poruszanych tematów jest phishing, czyli metoda wyłudzania danych i wykorzystywania ich do kradzieży pieniędzy lub cyfrowych aktywów.
Sama nazwa phishingu pochodzi od angielskiego słowa „fishing”, czyli łowienia ryb. Podobieństw pomiędzy działaniami wędkarzy a cyberprzestępców jest bowiem wiele. Zarówno jedni, jak i drudzy wykorzystują przynętę, aby skutecznie schwytać swoją ofiarę.
Jak wygląda atak phishingowy?
Atak hakerski kojarzy się raczej spektakularnie. Haker wypisujący na klawiaturze skomplikowane kombinacje cyfr i liter i przejmujący urządzenie. Rzeczywistość wygląda jednak całkiem inaczej. Ataki phishingowe nie są jak przelot Supermana nad miastem, ale bardziej jak cicha robota ninja. Phisning, jak sama nazwa wskazuje, polega na łowieniu ofiary, która… nie może zorientować się, że jest łowiona. Dlatego też metody phishingowe są dyskretne, podstępne i nie budzą podejrzeń nieświadomego użytkownika.
Taki podstęp jest najlepszym sposobem na to, aby skutecznie wyłudzić dane i jednocześnie nie zaalarmować swojej ofiary. Phishing to przede wszystkim podstęp i stosowanie najbardziej kreatywnych technik inżynierii społecznej, czyli metod manipulacji stosowanych także w wyłudzeniach przez telefon. Odpowiednio poprowadzona rozmowa działa często o wiele skuteczniej, niż wymyślne metody, takie jak np. podrabianie całych stron internetowych.
Dlaczego phishing jest taki niebezpieczny?
Phishing jest szczególnie niebezpieczny, ponieważ jest dyskretny, ale jednocześnie daje cyberprzestępcom najcenniejszą w sieci rzecz, czyli Twoje dane. Nasz współczesny świat opiera się na internecie. Potwierdzeniem tego stwierdzenia niech będzie fakt, że bankowość internetowa stała się poniekąd standardem i praktycznie każdy korzysta z aplikacji bankowych, robi przelewy BLIK-iem, czy płaci w aplikacji za swoje zakupy online. Tam, gdzie pieniądze, tam też cyberprzestępcy.
Warto dodać, że phishing jest dokładnie tak samo popularny, jeśli chodzi o cyfrowe aktywa. Wyłudzanie danych logowania do popularnych giełd lub (o wiele cięższy kaliber) fraz seed do portfeli kryptowalutowych, to codzienność. Choć świadomość odnośnie phishingu jest coraz wyższa, tak niestety działania cyberprzestępców pozostają niezwykle skuteczne.
Rozwój phishingu w erze sztucznej inteligencji
Phishing jest tak naprawdę jedną z najstarszych metod hakerskich. Stosowany był już w latach 80. XX. przez takich hakerów, jak Kevin Mitnick. Nazywany często „największym hakerem wszech czasów”, często wykorzystywał także socjotechniki, aby wydobyć od swoich ofiar konkretne informacje. Można powiedzieć, że Mitnick stosował phishing zanim stał się on podstawowym działaniem hackerów w sieci.
Choć phishing obecny był w sieci tak naprawdę od samego jej początku, tak w ciągu ostatnich lat rozwój metod na wyłudzanie danych wszedł na całkowicie nowy poziom. Zacznijmy od tego, że przekonanie użytkownika, że odpowiada na oficjalnego maila, lub wchodzi na swoją stronę bankową, od samych początków phishingu wymagało sporych umiejętności. Wiadomość musiała być napisana w taki sposób, aby nie wzbudzała podejrzeń – chodzi zarówno o styl, jak i wygląd całego maila. To samo dotyczy stron internetowych, które były wykonywane z ogromną dokładnością.
Dziś jednak haker wcale nie musi być utalentowany lub zlecać takich działań osobom parającym się takimi nieuczciwymi praktykami. Wyręczy go sztuczna inteligencja, która od dwóch lat zmienia kształt praktycznie każdej branży. Sztuczna inteligencja jest w stanie tworzyć naprawdę duże ilości tekstów wykorzystywanych w phishingu. Częstotliwość takich oszustw drastycznie wzrosła w ostatnich 12 miesiącach.
WormGPT i inne LLM, które pozwalają hakerom na skuteczne działanie
Osoby zaznajomione generatywną sztuczną inteligencją z pewnością stwierdzą, że korzystanie z AI przy phishingu jest niemożliwe, ze względu na ograniczenia LLM-ów narzucane przez samych twórców. Generatywna sztuczna inteligencja ma swego rodzaju przestrzeń tabu, dzięki czemu niemożliwe jest wykorzystanie takiego choćby ChatuGPT, do tworzenia masowych treści phishingowych. Jest to prawda, ale warto pamiętać, że hakerzy są zawsze dwa kroki w przód i kreatywnie podchodzą do ograniczeń narzucanych przez prawo lub technologię.
Chwilę po premierze ChatuGPT w sieci pojawiła się masa pomysłów na to, w jaki sposób złamać LLM od OpenAI, aby pisał treści, które zostały natywnie zablokowane przez deweloperów. OpenAI szybko załatało exploity, z których korzystali “kreatywni” użytkownicy. Co więcej, próby łamania LLM-a od OpenAI kończyły się banem, dlatego wydawało się, że hakerzy nie będą w stanie wykorzystywać AI do hakowania.
Warto jednak zaznaczyć w tym miejscu, że sztuczna inteligencja nie jest pomysłem z 2022 roku, ponieważ koncepcja AI rozwijana jest tak naprawdę od blisko 80-ciu lat! OpenAI spopularyzowało generatywną sztuczną inteligencję, jednakże narzędzia AI były dostępne na długo przed listopadem 2022, czyli momentem premiery ChatGPT 3.5. Hakerzy nie próżnowali i szybko stworzyli własnego LLM-a, który posiada jedną, nadrzędną pod kątem cyberprzestępców zaletę – nie jest ograniczony żadnymi blokadami. Jednym z takich narzędzi jest WormGPT, który promowany jest w Dark Necie.
Deepfake, czyli skuteczne wsparcie dla phishingu
Phishing to nie tylko maile lub fałszywe strony, jednak szerzej o przykładach tego oszustwa napiszę w następnym akapicie. Tutaj natomiast chcę podkreślić, że cyberprzestępcy szalenie kreatywnie podchodzą dziś do phishingu i skutecznie wykorzystują możliwości generatywnej sztucznej inteligencji. Dzięki temu phishing wchodzi na całkowicie nowy poziom realizmu, który do tej pory był po prostu nieosiągalny. Hakerzy posługują się inżynierią społeczną, czyli sposobami na zmanipulowanie osoby i zmuszenie jej do określonego działania, tylko za pomocą fałszywych informacji.
W inżynierii społecznej przede wszystkim liczą się emocje, zaś cyberprzestępcy doskonale to wiedzą. To właśnie dlatego tak chętnie wykorzystują dziś możliwości generatywnej sztucznej inteligencji, takie jak klonowanie głosu lub wizerunku. Tak stworzony deepfake jest doskonałą przynętą i wywołuje prawdziwą lawinę emocji.
Wyobraź sobie, że dzwoni do Ciebie Twoja mama i przerażonym głosem prosi Cię o pomoc. Poznajesz ją od razu – przecież ten głos doskonale znasz od dziecka. Jej wyjaśnienia są jednak bardzo chaotyczne i w szybkich komunikatach mówi Ci, że potrzebuje dostęp do Twojego konta, bo grozi jej niebezpieczeństwo. Odmówisz jej? W pierwszym momencie górę wezmą emocje. Skoro grozi jej jakieś ryzyko, to zrobisz wszystko, aby była bezpieczna.
To tylko przykładowy scenariusz tego, w jaki sposób hakerzy wykorzystują generatywną sztuczną inteligencję, aby wprowadzić phishing na nowy poziom. Dzięki AI wzbudzanie silnych emocji jest jeszcze bardziej skuteczne, a to właśnie one są podstawą phishingu.
Jakie wyróżniamy rodzaje phishingu?
Wkraczamy w temat swoją obszernością dorównujący bezkresom Puszczy Amazońskiej. Ilość ataków phishingowych stale rośnie, jednak klasyfikacja pozwala nam na wyróżnienie kilku głównych rodzajów działań tego typu. Ich znajomość jest niezbędnym elementem budowania świadomości, który pozwala przeciwstawić się działaniom hakerów już na samym ich początku.
Rozpoznanie ataku phishingowego pozwala szybko odzyskać trzeźwe myślenie. To tak, jakby ryby były w stanie nauczyć się rozróżniania pożywienia od wędkarskiej przynęty.
Phishing e-mailowy
Najbardziej podstawowy rodzaj phishingu, który jednocześnie jest także tym najbardziej skutecznym. W e-mailowym phishingu cyberprzestępcy najczęściej wykorzystują Twoją nieuwagę, brak uważności na szczegóły. Wiadomości od nich zaczynają się najczęściej krzykliwym tytułem, który ma przyciągnąć Twoją atencję. Maile te często do złudzenia przypominają wiadomości od zaufanych źródeł, takich jak banki, poczta, firmy, czy instytucje rządowe.
Wzbudzenie zaufania słowem pisanym jest najprostsze, gdyż nie wymaga dużego nakładu pracy. W dobie AI maile phishingowe pisane są przez LLMy, które w doskonały sposób są w stanie odwzorować różne style wiadomości – od tych oficjalnych, aż po te „luźniejsze”.
Smishing
Mianem smishingu określa się rodzaj oszustwa, do którego wykorzystuje się wiadomości SMS. Jest to zatem analogiczny sposób phishingu, jak ten mailowy, tylko opiera się na innych sposobach dotarcia do ofiary. W smishingu bardzo często stosuje się krótkie, ale konkretne komunikaty, które zmuszają ofiarę do natychmiastowego działania.
Najczęściej w takich SMS-ach dołączone są także linki przekierowujące do fałszywych stron, takich jak np. bankowość internetowa. W smishingu bardzo popularnym jest podszywanie się pod firmy kurierskie lub dostawców energii elektrycznej. Wiadomości w stylu „niedopłata do paczki” lub „brak płatności za prąd w wysokości 0,50 gr -zapłać, żeby zapobiec odłączeniu energii”, to najczęstsze sposoby na szybkie wzbudzenie emocji i wykonanie konkretnych działań.
Whale phishing lub whaling
Mistrz Qui Gon Jin z uniwersów Star Wars zwykł mawiać, że „zawsze znajdzie się większa ryba”. Hakerzy stosujący whaling wychodzą właśnie z takiego założenia i nie celują swoich działań w płotki, tylko w duże ryby – czyli, innymi słowy, prezesów firm, osoby odpowiedzialne za zarządzanie danymi sektorami przedsiębiorstwa, managerów, kadrę kierowniczą. Celem takich ataków jest uzyskanie dostępu do danych kluczowych dla danego przedsiębiorstwa. Whaling był jedną z ulubionych metod hakera Kevina Mitnicka.
Clone phishing
Clone phishing to bardzo podstępna metoda, która wymaga od hakera znajomości nie tylko socjotechnik, ale także umiejętności włamania się na pocztę. Otóż cyberprzestępca wykrada maile swojej ofiary, kopiuje je i w miejsce prawdziwych linków wkleja te prowadzące do fałszywych stron internetowych (zazwyczaj bankowych).
Clone phishing wymaga od cyberprzestępców wiedzy i umiejętności, jednakże jego skuteczność jest niezwykle wysoka – wszystko ze względu na to, że użytkownicy poczty praktycznie nigdy nie sprawdzają linków, na które wchodzą, skoro wyglądają one wiarygodnie.
Vishing
Najbardziej wyrafinowana i jednocześnie wymagająca forma phishingu polegająca na rozmowie głosowej z ofiarą to vishing. Jak wspomniałem wyżej, dziś do tego typu ataków bardzo często stosuje się narzędzia generatywnej sztucznej inteligencji, dzięki czemu vishing jest jeszcze bardziej wiarygodny i przekonujący. Celem rozmowy jest pozyskanie cennych informacji, takich jak dane logowania w banku, numery PESEL lub inne wrażliwe informacje. Warto dodać, że na tego typu ataki najczęściej narażone są osoby starsze.
Social Media phishing lub phishing społecznościowy
Twoje konto na Tiktoku, Instagramie, Facebooku, czy LinkedIn zostało zablokowane – to jeden z najpopularniejszych komunikatów stosowanych przez cyberprzestępców. Hakerzy podszywają się pod przedstawicieli danych platform społecznościowych alarmując o włamaniu, zablokowaniu konta, czy naruszeniu praw autorskich.
URL phishing
Jedna z podstawowych metod phishingu, która używana jest we wszystkich pozostałych. Zamiana adresu URL sprawia, że ofiara wchodzi w link, który nie kieruje na stronę banku lub instytucji, ale na zaprojektowaną przez hakera fake stronę. Kradzież danych jest zatem dla takiego cyberprzestępcy dziecinnie prosta, gdyż ofiara zanosi jej dane praktycznie na tacy.
Malvertising
Ten rodzaj phishingu oparty jest o praktykę, z którą stale walczą media społecznościowe. Otóż Malvertising polega na wrzucaniu przez hakerów reklam przekierowujących do wyłudzających dane stron internetowych w legalnie wykupionych reklamach na mediach społecznościowych. Oznacza to, że na tego typu phishing możesz natknąć się np. na YouTube, czy Facebooku.
Choć platformy starają się aktywnie walczyć z tego typu oszustwami, to hakerzy nadal sprawnie wykorzystują legalne reklamy do promowania swoich scamerskich stron. Szczególnie mocno ulubili sobie tematykę kryptowalut. W połączeniu z np. deepfake’iem znanej osoby podkładającej głos i wizerunek pod całą reklamę, sprawia to wrażenie wiarygodności. To oczywiście tylko i wyłącznie sprytnie spreparowane pozory, aby skutecznie złapać ofiarę i zdobyć jej cenne dane.
Spear phishing – atak ze specjalną dedykacją
Spear phishing jest atakiem skierowanym w jedną, konkretną osobę. Wyobraź sobie Scorpiona z Mortal Kombat wyrzucającego swój kunai z łańcuchem i wypowiadającego legendarną kwestię „Get over here!”. To właśnie spear phishing. Cyberprzestępca koncentruje się na jednej konkretnej osobie lub grupie osób np. administratorach systemu danej firmy. Spear phishing jest przemyślany i celny jak rzut włóczni spartańskiego hoplity.
Najczęściej są to wiadomości tekstowe, które przygotowane są z wielkim pietyzmem, aby wyglądały maksymalnie wiarygodnie. Hakerzy często włamują się do systemów firmy, aby znaleźć przykłady korespondencji pomiędzy pracownikami. To samo dotyczy skrzynek cywilnych i np. maila z banku czy urzędu skarbowego. Ważnym elementem jest prośba o szybkie wejście w link i odpowiedź na wiadomość.
Całość ma wyglądać na prawdziwy mail otrzymany z pracy, banku lub urzędu.
Przykłady
Jednym z najczęściej cytowanych przykładów smishingu, czyli phishingu przez SMS, jest wiadomość od kuriera o niedopłacie do paczki.
Twoja paczka jest w drodze, ale pojawiła się nie dopłata. Zapłać 0,86 groszy, aby kurier mógł doręczyć ją do Ciebie. Szybki przelew zrobisz tutaj https://mban-k.pl/4333kds/ffa
Ta zaszyfrowana wiadomość zwraca uwagę i zmusza do działania. Wejście w linka powoduje, że ofiara podaje swoje dane logowania do banku, myśląc, że loguje się na swoje prawdziwe konto. Cyberprzestępca ma zatem łatwy dostęp do konta, które skrupulatnie czyści.
Przykład prawdziwego smishingu, w którym cyberprzestępca podszywa się pod dostawcę energii elektrycznej.
Przykład fałszywej strony logowania do banku. Zwróć uwagę na adres URL, nachodzące na siebie elementy (tekst nachodzi na zdjęcie) oraz pustą przestrzeń.
W bardzo podobnym stylu pisane są klasyczne e-mailowe wiadomości phishingowe, które także ukierunkowane są na wywołanie w odbiorcy szoku i szybkiego działania – gdy się człowiek spieszy, to się haker cieszy. Z kolei vishingowe działania wchodzą dziś na całkowicie nowy poziom i to dzięki AI. Do tego czasu cyberprzestępcy musieli się nagimnastykować własnym głosem, jednak dziś z pomocą przychodzi im AI.
Dzięki temu mogą skopiować głos bliskiej Ci osoby i wykonać spear phishing na niezwykle wysokim poziomie. Jest to ogromne ryzyko. Vishing stanowi spory problem już od jakiegoś czasu, zaś metody oszustw „na wnuczka” lub „na policjanta” były wręcz powszechnie stosowane.
Jak zabezpieczyć się przed phishingiem?
Choć zagrożenie ze strony phishingu jest dziś wręcz powszechne, są skuteczne sposoby, aby zminimalizować ryzyko bycia złowionym przez cyberprzestępców. Przede wszystkim liczy się świadomość zagrożenia i ostrożność. Nigdy nie wchodź w żadne podejrzane maile, zawsze dokładnie sprawdzaj nadawcę wiadomości i poprawność linku. W przypadku smishingu niezwykle istotne jest, aby nie ulec pierwszej emocjonalnej chęci zareagowania na sytuację i np. opłacenia paczki z niedopłatą. Jeśli zaś chodzi o vishing, to niezwykle istotne jest, aby razem ze swoimi bliskimi ustalić coś na kształt hasła bezpieczeństwa, które pozwoli nam zweryfikować, czy osoba posługująca się głosem naszego bliskiego faktycznie nim jest.
Czy i gdzie zgłaszać oszustwa phishingowe?
Zgłoszenie oszustwa phishingowego jest bardzo istotne. Po pierwsze, takie działania są w stanie odwrócić skutki (przynajmniej w pewnej części) kradzieży danych, pod drugie jest to ostrzeżenie dla służb i społeczeństwa. Takie oszustwa phishingowe można zgłaszać zarówno na policję, jak i do prokuratury. Kolejnym sposobem jest zgłoszenie poprzez wypełnienie ankiety na stronie zespołu reagowania na incydenty komputerowe CERT Polska. Jeżeli oszustwo dotyczyło włamania na konto bankowe, warto skontaktować się także z bankiem, aby poinformować ich o zaistniałym incydencie.
Podsumowując, phishing jest dziś obecny w praktycznie każdym medium, które nas otacza. Na podstępne i niestety diabelnie skuteczne metody cyberprzestępców natkniemy się zarówno na skrzynkach mailowych, w wiadomościach sms, na social mediach, jak i nawet w rozmowach telefonicznych. Z tego też powodu tak istotna jest świadomość zagrożeń czyhających na nas w sieci.
Bitcoina i inne kryptowaluty kupisz w prosty i bezpieczny sposób na giełdzie zondacrypto.
Zawodowy copywriter oraz social media manager. Od 5 lat publikuje treści w tematyce m.in. nowoczesnych technologii. W Bitcoin.pl zajmuje się nowościami z rynku, artykułami odnośnie kryptowalut oraz sztucznej inteligencji.
Zawodowy copywriter oraz social media manager. Od 5 lat publikuje treści w tematyce m.in. nowoczesnych technologii. W Bitcoin.pl zajmuje się nowościami z rynku, artykułami odnośnie kryptowalut oraz sztucznej inteligencji.
Newsletter Bitcoin.pl
Więcej niż bitcoin i kryptowaluty. Najważniejsze newsy i insiderskie informacje prosto na Twój email.
Dbamy o ochronę Twoich danych. Przeczytaj naszą Politykę Prywatności