Phishing największym zagrożeniem w 2020 roku
Aż 96 proc. firm na świecie wskazało phishing jako największe zagrożenie dla ich organizacji w 2020 roku. Z kolei 76 proc. firm uważa, że równie dużym zagrożeniem w nadchodzącym roku będzie pracownik, który nie potrafi rozpoznać wiadomości phishingowej i nieświadomie kliknie złośliwe linki – wynika z niedawnych badań firmy doradczej KnowBe4. Biorąc pod uwagę, że według danych firmy Intel Security zaledwie 3 proc. użytkowników internetu potrafi rozpoznać maila wykorzystywanego do ataku, obawy firm są w pełni zasadne. Przed phishingiem można się jednak obronić, a w jaki sposób to robić można przeczytać we właśnie opublikowanym przez serwis Domeny.pl e-booku „Phishing – nie daj się złowić”.
Phishing to metoda oszustwa, w której przestępca z użyciem nowoczesnych technologii podszywa się pod inną osobę lub organizację celem pozyskania określonych informacji lub nakłonienia ofiary do pewnych czynności. Wedle danych przytaczanych w publikacji Domeny.pl, wśród ofiar phishingu w ostatnich lat znalazło się wiele bardzo znanych firm z Polski i świata, jak PGZ, Google czy Facebook.
„Przykładowo w marcu 2017 roku Google i Facebook padły ofiarą oszustwa phishingowego na aż 100 milionów dolarów! Oszust podawał się za dostawcę części komputerowych z Azji, z którym firmy te faktycznie współpracowały, i skłonił je do przelania środków na swoje konto. W Polsce jednym z głośniejszych przykładów phishingu był ten dotyczący spółki z Polskiej Grupy Zbrojeniowej, która w 2018 roku straciła 4 miliony złotych. Oszust podawał się za czeskiego dostawcę broni i poinformował spółkę o zmianie numeru konta, na które należy dokonywać płatności” – mówi Elżbieta Kornaś, Brand Manager serwisu Domeny.pl.
Phishing chce wywołać emocje
Żeby zwiększyć świadomość użytkowników internetu na temat phishingu, autorzy e-booka podeszli do tematu w sposób kompleksowy – począwszy od wyjaśnienia, czym jest phishing oraz skąd oszuści biorą adresy e-mail swoich ofiar, przez omówienie rodzajów phishingu, aż po rady, jak się przed tego typu atakami zabezpieczyć.
„Najskuteczniejsze phishingowe wiadomości e-mail zostały zaprojektowane w taki sposób, aby wywołać u odbiorcy pewne emocje. Może to być ciekawość lub strach, ale też poczucie palącej konieczności podjęcia szybkiej reakcji na otrzymaną wiadomość. Istnieje wiele sposobów na wyłudzanie informacji, jednak kilka technik się powtarza. Należą do niech np. tzw. oszustwa na CEO, kiedy to oszust podszywa się pod osobę z kadry zarządzającej firmą, czy spearphishing, który polega na wysłaniu maila do osoby po przeprowadzeniu na jej temat bardzo dokładnego wywiadu” – tłumaczy Elżbieta Kornaś.
Inne popularne rodzaje wiadomości phishingowych wskazane w publikacji to m.in.:
- whaling – typ spearphishingu skupiający się na osobach zajmujących czołowe stanowiska w danym przedsiębiorstwie;
- clone phishing – typ phishingu, w którym prawdziwa wiadomość e-mail, posiadająca załącznik lub link, zostaje użyta przez przestępcę jako wzór przy tworzeniu fałszywej wiadomości. Załączniki lub linki zostają zastąpione złośliwymi wersjami;
- brand phishing – przestępca podszywa się pod firmę, organizację lub agencję, która jest bezpośrednim dostawcą produktów lub usług do atakowanej firmy.
„Phishing się rozwija, a oszuści są coraz bardziej pomysłowi, dlatego powyższa lista nie wyczerpuje wszystkich możliwości. Przykładem ich kreatywności jest phishing „na YouTubera”, który w samym 2019 roku zebrał już spore żniwo. Jak można się domyślić, w tym wypadku przestępca podszywa się pod gwiazdy YouTube i wysyła swoim subskrybentom bezpośrednie wiadomości” – wyjaśnia przedstawicielka Domeny.pl.
O autorze