Phishing to rodzaj ataku, za pomocą którego haker próbuje wyłudzić od ofiary wrażliwe informacje. Jego celem jest kradzież loginów, numerów kart kredytowych i wrażliwych informacji firmowych. Ponadto haker może próbować zainfekować komputer użytkownika oprogramowaniem malware.
Phishing to próba kradzieży za pośrednictwem połączonych urządzeń. Może on wykonywać różne działania ręcznie lub za pośrednictwem automatycznych narzędzi. Czasami obie metody są łączone w ten sposób, że pierwszy etap przeprowadza skrypt, którego celem jest uchylenie drzwi, przez które może wejść do akcji haker.
Terminu „phishing” po raz pierwszy użyto w 1994 r., kiedy grupa nastolatków ręcznie kradła numery kart kredytowych nieświadomych zagrożenia użytkowników aplikacji AOL. W 1995 r. nastolatkowie ci mieli już program o nazwie AOHell, który wykonywał pracę za nich.
Od tamtej pory hakerzy nieustannie wymyślają coraz to nowsze sposoby kradzieży danych nieświadomych osób podłączonych do Internetu. Stworzyli wiele programów i rodzajów złośliwego oprogramowania, które są dziś powszechnie wykorzystywane. Niektóre z tych narzędzi zostały stworzone na potrzeby testów penetracyjnych, czyli „hakowania za pozwoleniem”. Jednak każde narzędzie może zostać wykorzystane do złych celów.
Z biegiem lat hakerzy stworzyli złośliwe oprogramowanie specjalnie przeznaczone do przeprowadzania ataków phishingowych. Jednym z takich programów jest PhishX, służący do kradzieży danych bankowych. Z jego pomocą przestępcy tworzą fałszywe strony internetowe banków, które wyglądają jak prawdziwe. Zmieniają tylko numer telefonu i adres e-mail. Kliknięcie łącza kontaktowego powoduje skontaktowanie użytkownika bezpośrednio z hakerami.
Z kolei Phishing Frenzy to narzędzie stworzone do testów penetracyjnych, które jest wykorzystywane do phishingu. Ten program jest popularny wśród hakerów ze względu na łatwość obsługi.
Kolejne narzędzie to Swetabhsuman8 do hakowania kont na Instagramie przez tworzenie fałszywych stron logowania. Zbiera loginy i hasła użytkowników próbujących się zalogować.
Oprócz fałszywych witryn internetowych, narzędzi do phishingu i złośliwych stron logowania mających na celu kradzież danych użytkowników, hakerzy tworzą biura telefonicznej obsługi klienta pod numerem, który przesyłają w fałszywych wiadomościach e-mail lub SMS-ach albo podają na fałszywych stronach WWW.
Nowoczesne ataki typu ransomware są nakierowane na duże przedsiębiorstwa, które dają szansę na większe zyski. Zanim przeprowadzą właściwy atak, hakerzy często poświęcają bardzo dużo czasu na zdobywanie sieci ofiary krok po kroku. Tego typu wieloetapowy atak często zaczyna się od wysłania jednej phishingowej wiadomości elektronicznej.
Choć wyróżnia się kilka typów ataków phishingowych, najbardziej rozpowszechniony i najłatwiejszy do rozpoznania jest phishing e-mail. Stał się on bardziej zaawansowany, kiedy pojawiły się takie jego odmiany, jak spear phishing, whaling i ataki laserowe. Ponadto ataki typu phishing rozprzestrzeniły się z programów pocztowych do platform komunikacyjnych, takich jak komunikatorów tekstowych i mediów społecznościowych.
Wyróżnia się następujące typy ataków phishingowych:
Hakerzy uwielbiają wykorzystywać okazje nadarzające się w naszym internetowym świecie. W tym celu tworzą fałszywe strony WWW i strony logowania, za pomocą których zbierają wrażliwe dane. W ten sposób hakerzy nie tylko zdobywają numery kart kredytowych czy dane logowania do kont bankowych i mediów społecznościowych, lecz również zyskują możliwość zaatakowania znajomych lub współpracowników ofiary. Tak się dzieje, kiedy przestępca zdobędzie dostęp do czyjegoś konta i zacznie wysyłać wiadomości phishingowe do obserwujących, znajomych lub współpracowników tej osoby. Wielka popularność mediów społecznościowych sprawiła, że w ciągu ostatniej dekady metoda ta jest coraz częściej stosowana.
W tym względzie każdy może wiele zrobić we własnym zakresie. Przede wszystkim należy zachować ostrożność.
Po drugie chroń swoje konta. Hasło powinno mieć długość około 20 znaków lub więcej. Hasło nie musi zawierać wszystkich czterech rodzajów znaków (wielkie litery, małe litery, cyfry, symbole). Wystarczą dwa lub trzy, ale przy tworzeniu nowego hasła staraj się je jak najbardziej urozmaicić. Wiele osób ma problem z zapamiętywaniem haseł. Stwórz jedno długie hasło, które będziesz w stanie zapamiętać. Następnie wszystkie pozostałe hasła zapisz w menedżerze haseł, takim jak np. LastPass lub Password Safe.
Co najważniejsze, włącz uwierzytelnianie dwuskładnikowe (2FA) na wszystkich swoich kontach. Jeśli witryna oferuje możliwość otrzymywania jednorazowych haseł w wiadomości SMS, to taki sposób uwierzytelniania jest lepszy niż tylko użycie zwykłego hasła.
NIST (National Institute of Standards and Technology) już nie zaleca stosowania jednorazowych haseł przesyłanych w wiadomościach SMS. Lepszym rozwiązaniem jest tworzenie haseł jednorazowych za pomocą takich narzędzi, jak Google Authenticator, Microsoft Authenticator lub LastPass Authenticator. Poszukaj tych opcji w ustawieniach swoich kont.
Korzystaj z programów, które pomagają dostrzec to, co przeoczysz. Używaj zapory sieciowej, programu antywirusowego i narzędzi antyphishingowych. Mądrze wybieraj przeglądarkę internetową. Sprawdź, czy ta, której używasz, oferuje ochronę przed phishingiem. A może da się dodać taką funkcję za pomocą wtyczki? Jeśli nie ma takiej możliwości, wybierz inną przeglądarkę.
Obok powyższych rekomendacji dla pracowników, organizacja powinna także: