Cyberprzestępców wyobrażamy sobie zwykle jako ludzi dobrze obeznanych z komputerami. Okazuje się jednak, że przeprowadzenie niektórych ataków nie wymaga rozległej wiedzy informatycznej.
Należy do nich także phishing – najpopularniejsza obecnie metoda wyłudzania danych, takich jak numery kont bankowych, identyfikatory używane podczas logowania, hasła oraz kody jednorazowe służące do potwierdzania transakcji.Typowy atak phishingowy składa się z kilku kroków. Najpierw cyberprzestępca wybiera, kogo zaatakuje – załóżmy, że będą to klienci określonego banku. Tworzona jest witryna przypominająca oryginalną stronę logowania do konta. Wszystkie wprowadzone na niej dane będą przekazywane cyberprzestępcy. Kolejnym krokiem jest rozpowszechnienie odnośnika do spreparowanej strony. Najczęściej używa się do tego celu poczty elektronicznej. Jeżeli wiadomość będzie sprawiać wrażenie wiarygodnej, jest szansa, że jej odbiorca kliknie w zamieszczony w treści odnośnik i próbując się zalogować się na podrobionej stronie, przekaże dane dostępowe do swojego konta atakującemu.

Czy to działa

Niestety tak, również na polskim gruncie. W 2008 roku cyberprzestępcy obrali sobie za cel klientów Banku Zachodniego WBK. Pierwsza z rozesłanych wiadomości została napisana łamaną polszczyzną (do jej stworzenia wykorzystano zapewne translator). Niedbała oprawa graficzna i linki kierujące do stron, których adresy w najmniejszym nawet stopniu nie przypominały adresu oryginalnego serwisu bankowego, wzbudziły podejrzenia nawet u osób nieświadomych zjawiska phishingu. Niedługo po tym incydencie internauci otrzymali jednak drugą porcję fałszywej korespondencji przygotowanej w dwóch językach: angielskim i polskim. Tym razem cyberprzestępcy przyszykowali się o wiele lepiej – wiadomość po polsku wyglądała profesjonalnie i na pierwszy rzut oka niełatwo było zwietrzyć podstęp (zob. „Sprytniejszy atak na klientów BZ WBK 24”).
Atak na BZ WBK powtarzany był kilkakrotnie, nie oznacza to jednak, że klienci innych banków działających na polskim rynku mogą czuć się bezpiecznie. Na początku 2010 roku e-mailem rozesłano zachętę do podania danych w celu rzekomego odblokowania konta prowadzonego przez PKO BP. Wiadomości były przygotowane dość nieudolnie, prawdopodobnie przy użyciu automatycznego tłumacza, niewykluczone jednak, że oszustom udało się nabrać mniej świadomych użytkowników sieci (zob. „Klienci PKO BP na celowniku oszustów”). Miesiąc później podobną akcję przeprowadzono w stosunku do osób mających konto w Lukas Banku (zob. „Cyberprzestępcy przymierzają się do ataku na Lukas Bank?”). Według Macieja Ziarka, analityka polskiego oddziału Kaspersky Lab, posunięcia te należy traktować jako wstępne „rozpoznanie terenu” przez cyberprzestępców, w przyszłości spodziewać się bardziej przemyślanych ataków.

Skala zjawiska

Przeglądając raporty dotyczące krążącego w internecie spamu, można nabrać przekonania, że rozsyłanie wiadomości phishingowych nie jest powszechnych zjawiskiem. Ilość niechcianej korespondencji w ruchu pocztowym sięga obecnie 82,6 proc., ale odnośniki do fałszywych stron internetowych specjaliści wykryli tylko w 0,03 proc. e-maili (zob. „Masowe wysyłki spamu stają się coraz bardziej szkodliwe”).
Spójrzmy jednak na phishing z nieco innej strony. Eksperci z laboratorium PandaLabs szacują, że co tydzień w internecie pojawia się 57 tys. nowych stron podszywających się pod około 375 rozpoznawalnych marek z całego świata. Aż 64,72 proc. z nich udaje witryny różnych banków. Na drugim miejscu z udziałem sięgającym 26,81 proc. plasują się podrobione strony sklepów internetowych. Odnośniki do nich cyberprzestępcy rozsyłają przy użyciu poczty elektronicznej, publikują w serwisach społecznościowych, takich jak Facebook czy Twitter, a także pozycjonują za pomocą technik Black Hat SEO w wynikach wyszukiwania, mając nadzieję, że nieostrożni użytkownicy przez pomyłkę je odwiedzą (zob. „Co tydzień przybywa 57 tys. złośliwych stron internetowych”). Ta ostatnia metoda zaczyna wypierać rozpowszechnianie odnośników do sfałszowanych stron za pomocą e-maili.



Tabnabbing

Na uwagę zasługuje także opracowana pod koniec maja metoda wyłudzania poufnych danych wykorzystująca system przeglądania kart w nowoczesnych przeglądarkach.
Przede wszystkim cyberprzestępca musi zwabić użytkownika na zainfekowaną stronę.
Może do tego celu użyć aktualnych, budzących powszechne zainteresowanie tematów. Jeżeli użytkownik po zapoznaniu się z ciekawiącymi go informacjami przejdzie do innej karty przeglądarki, nie zamykając podstawionej strony, to zaimplementowany na niej skrypt podmieni jej zawartość. Osoba korzystająca z wielu kart jednocześnie może tej podmiany w ogóle nie zauważyć. Wchodząc ponownie na spreparowaną stronę, zobaczy np. panel logowania do bankowego konta.
Adres strony nie zmieni się, ale uwzględniając fakt, że internauci większą uwagę zwracają na wygląd strony i opis karty, można oczekiwać, że wielu nabierze się na taki trick.
Dane wprowadzone na podrobionej stronie trafią oczywiście do jej twórcy, a użytkownik zostanie przekierowany na oryginalną witrynę (zob. „Nowy sposób na phishing – najbardziej zagrożeni użytkownicy Firefoksa”).

Zamknięta kłódka

Podczas logowania się na konto bankowe należy przede wszystkim sprawdzić, czy połączenie jest szyfrowane – adres strony będzie się wówczas zaczynać od https://, a nie http://. Zobaczymy też charakterystyczny symbol zamkniętej kłódki (w zależności od przeglądarki – w prawym dolnym rogu na pasku stanu albo w górnej części ekranu obok adresu). To jednak nie wystarczy. Według ekspertów z firmy Symantec rośnie bowiem liczba ataków phishingowych z wykorzystaniem oryginalnych certyfikatów SSL na sfałszowanych witrynach. Cyberprzestępcy starają się w ten sposób nadać podrobionym stronom autentyczny charakter.
Aby to osiągnąć, włamują się na serwer legalnie działającej firmy i używają go do opublikowania własnej witryny. Zazwyczaj przypomina ona stronę logowania konkretnego banku, w rzeczywistości nie łączy się jednak z jego autentycznym serwerem i certyfikatem. Korzysta natomiast z certyfikatu przechwyconego wcześniej serwera legalnej firmy, dzięki czemu na ekranie wyświetla się symbol zamkniętej kłódki informujący o szyfrowaniu połączenia (zob. Phishing z użyciem autentycznych certyfikatów SSL). Dlatego przed zalogowaniem się na swoje konto bankowe należy zawsze zweryfikować ważność certyfikatu oraz to, czy został on wystawiony dla danego adresu.

Inne sposoby

Warto pamiętać, że banki nie wysyłają swoim klientom e-maili z prośbą o podanie poufnych informacji, takich jak identyfikatory i hasła używane podczas logowania, numery kont bankowych i kart kredytowych, PIN-y czy jakiekolwiek dane identyfikacyjne. Korzystają z poczty elektronicznej tylko w celach informacyjnych – po wcześniejszym wyrażeniu zgody przez klienta przesyłają mu np. miesięczne wyciągi z konta czy informacje o nowościach wprowadzonych w ofercie. Nie umieszczają też w swoich wiadomościach odnośników pozwalających na zalogowanie się do systemu transakcyjnego. E-maile, które nie spełniają tych reguł, należy ignorować.
Ważne jest również korzystanie z regularnie aktualizowanego programu antywirusowego. Niektóre pakiety zostały wyposażone w moduły antyphishingowe, które sprawdzają, czy odwiedzane przez użytkownika strony nie zostały zgłoszone do specjalnego rejestru witryn wyłudzających dane. Jeśli nie dysponujemy takim rozwiązaniem, warto sprawdzić, co ma do zaoferowania używana przez nas przeglądarka. Producenci większości z nich zaopatrzyli już swoje aplikacje w dodatki służące do rozpoznawania, a nawet blokowania podrobionych stron. Nie zawadzi też systematyczne aktualizowanie systemu operacyjnego i zainstalowanego na nim oprogramowania, cyberprzestępcy starają się bowiem wykorzystać każdą niezałataną lukę.