Phishing – dlaczego dajemy się na to nabrać? 

Phishing ma się naprawdę dobrze. Cały czas dajemy się nabrać na ten stary numer z linkami i załącznikami. Dlaczego? Spróbujmy wyjaśnić ten fenomen. 

Phishing – trochę danych z najnowszych raportów

Na początek trochę faktów. Według Cybersecurity Ventures, wiodącej światowej organizacji badającej tematykę bezpieczeństwa IT, w 2019 roku ransomware (czyli oprogramowanie szantażujące) będzie atakował co 14 sekund. To prawie trzy razy częściej niż trzy lata temu. Taki ransomware dostaje się do komputera ofiary najczęściej w postaci tzw. konia trojańskiego. W praktyce wygląda to tak: pobierasz jakąś przydatną aplikację albo klikasz w link przesłany w mailu lub otwierasz załącznik, a tam bonus: uruchomiony ransomware szyfruje wszystkie Twoje pliki i prosi o zapłacenie okupu w celu ich odzyskania.

Cala heca polega na tym, że to człowiek musi wpuścić ransomware’a na pokład. Czyli jeśli załoga jest niewyedukowana, żaden antywirus czy firewall nie pomogą. Według najnowszych badań* w ciągu ostatnich trzech lat niewiele się zmieniło. Prawie 60% użytkowników Internetu daje się nabrać na phishing lub wykazuje ryzykowne zachowania, takie jak wspomniane wcześniej klikanie w niebezpieczne linki. Jeśli ofiarą cyberprzestępcy jest przedsiębiorstwo, firmy płacą i płaczą. Dla 53% z nich oznacza to stratę na poziomie od pół do ponad 5 milionów dolarów.

Co to (dokładnie) jest phishing?

Phishing to wyłudzenie, ale w wirtualnym świecie. Na przykład wyłudzenie Twoich wrażliwych danych. Albo wyłudzenie dostępu do Twojego komputera. Albo zainfekowanie komputera w celu wyłudzenia pieniędzy (okupu). Przestępca działa tak, aby wprowadzić Cię w błąd. A potem dzieją się dziwne rzeczy. Znikają pieniądze z konta. Ktoś bierze na Ciebie chwilówkę. Nie masz dostępu do ważnych informacji na komputerze. Ktoś rozsyła spam z Twojego maila. W sieci pojawiają się zdjęcia, których nie chciałeś nigdy publikować. Ktoś zaczyna Cię szantażować. Żąda coraz większych pieniędzy. Za odzyskanie dostępu do zaszyfrowanych ransomwarem dokumentów. Za nieujawnienie znajomym, jakie strony w Internecie przeglądasz. Za zachowanie w tajemnicy Twojego romansu, nałogu, każdej rzeczy, której się wstydzisz. Jednym słowem: koszmar.  

Dlaczego dajemy się nabrać na phishing?

Odpowiedzi na to pytanie jest kilka. Po pierwsze, jesteśmy za mało wyedukowani, dlatego łatwo nas nabrać na te proste sztuczki. Po drugie, jesteśmy ciekawi. Jeśli dostaniesz maila o treści: „Hej Anka, przesyłam Ci foty z ostatniej imprezy integracyjnej. Tylko cichosza, zdjęcia nieoficjalne, ode mnie tego nie dostałaś” to jak będzie, uszanujesz zwrot „zdjęcia nieoficjalne” czy od razu klikniesz w link/załącznik, aby przejrzeć co się działo podczas firmowego spotkania, na którym prezes wypił za dużo? Po trzecie, przestępcy są naprawdę cwani. Podszywają się pod instytucje zaufania publicznego. Doskonale preparują treści maili oraz linki, w które masz kliknąć. Pobawmy się w „znajdź różnicę”. Który link jest poprawny?

  • pkobp.pl czy pkоbp.pl
  • santander.pl czy santandeꭇ.pl
  • bgz.pl czy bɡz.pl
  • bankmillennium.pl czy bankmiIIennium.pl
  • getinbank.pl czy getinbanƙ.pl
  • bnpparibas.pl czy bnpparíbas.pl
  • aliorbank.pl czy alioŗbank.pl
  • ing.pl czy inġ.pl

Na pierwszy rzut oka różnica jest niezauważalna. Pisze do Ciebie Twój bank, na formularzu, który znasz i prosi o obowiązkowe odesłanie arkusza, który znajdziesz pod wskazanym linkiem prowadzącym do witryny znanej Ci instytucji. Czy to się może nie udać? 

Phishing – czy istnieją środki zapobiegawcze?

Bezpośrednie środki zapobiegawcze nie istnieją, ponieważ tak jak napisaliśmy wcześniej – człowiek wpuszcza przestępcę dobrowolnie. Pozostaje tylko nauka. Czytaj, korzystaj ze szkoleń, dziel się informacjami w social mediach, a jeśli jesteście pracodawcą – edukuj zespół, bo masz naprawdę dużo do stracenia. Kilka pomysłów na to, jak zainteresować pracowników  tematem cyberbezpieczeństwa zajdziesz tu: https://blog.specfile.pl/cyberbezpieczenstwo-jak-zainteresowac-pracownikow/.

Ku przestrodze.

Zanim w coś klikniesz albo odpiszesz na jakiegoś maila, pamiętaj że warto zachować szczególną ostrożność, gdy:

  • mail, który otrzymałeś nie jest napisany poprawną polszczyzną,
  • bank prosi Cię o potwierdzenie danych do logowania,
  • witryna nie stosuje protokołu HTTPS.

Więcej na temat phishingu dowiesz się z tego artykułu: https://blog.specfile.pl/co-to-jest-phishing/

Jeśli zainteresował Cię temat phishingu w firmach, zlecić darmowy audyt bezpieczeństwa aby sprawdzić podatność pracowników. Więcej na ten temat: https://blog.specfile.pl/darmowy-test-bezpieczenstwa/.

* CISO Benchmark Study 2019


Chroń swoje dokumenty. Pobierz bezpłatnie aplikację Specfile i szyfruj dowolne pliki pdf, dokumenty word, excel, zdjęcia czy video, a nawet całe foldery jednym kliknięciem. Pobierz aplikację Specfile

Zostaw komentarz

MENU