Sezon na łowy – w jaki sposób przestępcy chcą cię złapać na haczyk
Kradzieże wirtualnych przedmiotów, wyłudzenia "Covidowe", podszywanie się pod pomoc techniczną – to ostatnio najczęściej spotykane typy ataków w internecie. Oprogramowanie NortonLifeLock zablokowało tylko w ciągu 3 miesięcy ponad 14 milionów takich zdarzeń. A najgorsze dopiero przed nami – sezon świąteczny to żniwa dla przestępców. Jak się bronić?
20.12.2021 10:23
Bazują na strachu, niepewności, poczuciu nieznajomości technologii. Wykorzystują nazwy i marki firm technologicznych, by uwiarygodnić pokazywaną wiadomość i skłonić użytkownika do kliknięcia "TAK". Internetowi oszuści, cyberprzestępcy, hakerzy – niezależnie od tego, jak ich nazwiemy, ich działania są przede wszystkim oparte na znajomości ludzkiej psychiki i wykorzystania jej słabych punktów. Takie oszustwa działają, bo ludzkie słabości są powszechnie znane i – mimo że wielu oszukanym trudno się z tym zgodzić – to oni są najsłabszym ogniwem w całym łańcuchu zabezpieczeń, jakie można zastosować w obronie przed cyberprzestępcami.
Haczyk "na COVID"
Przykład? Strach przed COVID-19. Fałszywe maile obiecujące pomoc w dostępie do szczepionek w czasie, gdy wielu chciało się jak najszybciej zaszczepić. Fałszywe prośby o pomoc, publikowane w mediach społecznościowych lub wysyłane na komunikatorach. Fałszywe strony z "prawdziwymi" informacjami o pandemii, w które aż chce się kliknąć. Fałszywe portale wydające paszporty covidowe.
Wirus spowodował, że ogromna rzesza ludzi pozostała w domach i kontaktowała się ze światem za pomocą komputera i smartfona, często własnego, a nie firmowego. Te drugie mają zwykle lepsze zabezpieczenia, więc są w mniejszym stopniu narażone na ataki wirusów i złośliwego oprogramowania. Te następują zwykle po tym, jak użytkownik kliknie w otrzymany w wiadomości link lub zechce pobrać jakiś plik z podstawionej strony. Komputery domowe są często pod tym względem zaniedbane, nie mają aktualnego oprogramowania antywirusowego, podobnie smartfony, które odpowiadają dziś za większość ruchu w sieci.
Ale też komputery firmowe w czasie pandemii są łatwiejszym łupem cyberprzestępców niż przed nią – wielotygodniowe odłączenie od firmowej sieci spowodowało, że administratorzy mogli nie wprowadzić potrzebnych aktualizacji i reagować na bieżąco, a nie każda firma ma możliwość pełnej zdalnej obsługi technicznej swoich urządzeń.
"To ja, administrator Twojej sieci"
Niechlubnym zwycięzcą ostatnich miesięcy w kategorii sposobu działania przestępców w sieci są oszustwa związane z pomocą techniczną. Jak piszą w październikowym raporcie eksperci z Norton Labs, to najczęściej spotykana metoda w trzecim kwartale tego roku. Jest to zwykle wyskakujące okienko z informacją w stylu "Twój komputer jest zagrożony. Kliknij, żeby uchronić się przed zablokowaniem konta". Po kliknięciu na komputerze użytkownika instaluje się złośliwe oprogramowanie albo jest kierowany na fałszywą stronę, która próbuje naciągnąć go na zakup jakiegoś zabezpieczenia lub w inny sposób wyłudzić dane karty kredytowej lub dostęp do konta bankowego.
Te ataki wykorzystują często nazwy i logo znanych firm technologicznych, podszywając się pod nie. Użytkownik myśli, że rzeczywiście ostrzega go przed niebezpieczeństwem znany program antywirusowy, więc postępuje zgodnie ze wskazówkami i instaluje niebezpieczne oprogramowanie lub podaje dane dostępowe. Jak informują eksperci Nortona – oprogramowanie tej firmy zablokowało ponad 12,3 miliona adresów URL "pomocy technicznej", a to zagrożenie znajdowało się na szczycie listy zagrożeń phishingowych przez 13 kolejnych tygodni między lipcem a wrześniem.
Phishing wszechobecny i wszechdostępny
Phishing, jako metoda oszustów internetowych istnieje od ponad 20 lat, ale wciąż jest jednym z najczęściej stosowanych. Bazuje na wykorzystaniu socjotechniki (np. wykorzystaniu obaw ofiary lub jej chęci zysku) i ma na celu pozyskanie nazwy użytkownika i hasła, które dają dostęp do określonych usług internetowych, najczęściej bankowości elektronicznej.
Ofiara otrzymuje wiadomość (e-mail, SMS itp.), w którym zachęca się ją do kliknięcia w link, kierujący na fałszywą stronę. Wygląda ona i działa niemal identycznie jak prawdziwa (im lepiej przygotowany atak, tym lepiej przygotowana strona).
Ciekawe jest to, że takim oszustem bardzo łatwo zostać, i to nawet bez szczególnych umiejętności technicznych. Gotowe zestawy można kupić lub nawet pobrać za darmo z sieci. Po skonfigurowaniu takiego zestawu wysyłane są wiadomości do ofiar, a gdy te się złapią na haczyk i ujawnią swoje dane – te trafiają do phishera, który dowolnie może z nich korzystać. Na przykład wypłacić pieniądze lub zablokować dostęp do jakiejś usługi czy strony internetowej z żądaniem okupu za przywrócenie tego dostępu.
Między innym ze względu na zagrożenie phishingowe wiele firm wprowadziło dwustopniowe logowanie – z potwierdzeniem w aplikacji mobilnej lub przez kod SMS. Jednak – o czym powiemy dalej – również te zabezpieczenia nie gwarantują dostatecznej ochrony.
Jak się bronić? Rada jest tak stara, jak sam phishing – uważać na wiadomości z linkiem kierującym do stron, na których podaje się jakiekolwiek dane, nie otwierać załączników. Logując się na swoje konta, korzystać z zabezpieczonych przeglądarek internetowych, wpisując adres strony ręcznie. Wreszcie – co jest samo przez się oczywiste – korzystać z aktualnego oprogramowania antywirusowego, które jest w stanie wykryć taki atak i uchronić użytkownika przed stratą.
Cenna niebieska czapka
Internetowi oszuści często atakują graczy i ich konta w grach. Ostatnim przykładem takiego działania jest kampania phishigowa, wymierzona w graczy RuneScape, mająca na celu wykradzenie danych logowania do ich kont.
Gra jest wpisana do Księgi Rekordów Guinnessa jako największa darmowa produkcja w kategorii MMORPG (massively multiplayer online role-playing game), z ponad 200 milionami kont. Jest darmowa, ale jej twórcy zarabiają na mikrotransakcjach, przychód to 1 miliard dolarów od jej uruchomienia 20 lat temu.
Rzadkie przedmioty z gry są kupowane i sprzedawane na cyfrowych rynkach. Najcenniejszym przedmiotem jest niebieska czapka imprezowa, wyceniana w grudniu 2020 roku na 6700 dolarów!
Norton Labs namierzyło kampanię phishingową, która przez stronę do złudzenia przypominającą stronę logowania do RuneScape wyłudzało od graczy dostępy do kont. Co istotne – miało to miejsce już po wprowadzeniu przez twórców gry dwuskładnikowego uwierzytelnienia i strona miała za zadanie kradzież kodów, służących do potwierdzania logowania!
Rada Norton Labs: nie ufaj mailom czy innym wiadomościom z linkami do usług w internecie. Przejdź bezpośrednio do strony logowania, wpisując jej adres w przeglądarce.
Banki wciąż w modzie
Fałszywe strony banków to zmora specjalistów od bezpieczeństwa na całym świecie. Są one coraz lepszymi kopiami prawdziwych stron i mają oczywiście na celu wykradzenie danych logowania.
Kiedyś dość skuteczną bronią (poza oczywiście aktualnym, dobrym programem antywirusowym) było zwrócenie uwagi na pasek adresu przeglądarki – sławna kłódka oraz oryginalny (prawdziwy) adres. Od pewnego czasu i to może zawieść. Eksperci Norton Labs wykryli niedawno stronę, na którą przestępcy kierowali klientów Citibanku, która nie dość, że jest nie do odróżnienia graficznie od tej prawdziwej, to jeszcze w pasku adresu widnieje… adres prawdziwej strony. To znaczy – prawie. Oszuści zarejestrowali domenę przy użyciu tak zwanego kodu punycode pod adresem "xn—ct-njab.com", co przeglądarki wyświetlają w pasku adresu jako: cítí.com. Prawda, że niemal nie do odróżnienia?
Domeny phishingowe punycode nie są nowym zjawiskiem, ale przestępcy wciąż znajdują kombinacje nazw łudząco podobne do oryginalnych, w tym przede wszystkim – bankowych.
Co radzi w tym przypadku Norton Labs? Bank nigdy nie wysyła wiadomości z linkiem do stron logowania. Zawsze ręcznie wpisuj adres banku w przeglądarce i korzystaj z danych kontaktowych, które są zapisane np. na twojej karcie bankowej, bo jednym ze sposobów działania oszustów jest również skłonienie cię do zadzwonienia na fałszywą infolinię.
Uwaga na karty podarunkowe
Okres przedświąteczny to czas, w którym wiele firm daje swoim pracownikom karty podarunkowe, które można wykorzystać w dowolny sposób. Są one zwykle znacznie gorzej zabezpieczone niż produkty bankowe. Strony internetowe, na których użytkownicy się logują, by sprawdzić pozostałe saldo, są często wykorzystywane przez przestępców.
Jak odkryli specjaliści z Nortona – jedna z firm dostarczająca takie karty wykorzystywała 19-cyfrowy numer karty i 4-cyfrowy PIN. Udostępniała stronę, na której można było sprawdzić saldo. Atakujący używali tej witryny do odgadywania numeru karty i PIN-u, wpisywali tak długo różne kombinacje, aż znaleźli pasujące. Mieli dodatkowo ułatwione zadanie, bo numery kart miały określoną, nieprzypadkową strukturę.
Rady od Norton Labs w przypadku kart podarunkowych mówią, żeby zawsze sprawdzać, czy karty nie były aktywowane oraz jakie naprawdę mają saldo. Jeśli to możliwe – należy wykorzystywać dłuższy niż 4-cyfrowy kod PIN oraz nie kupować kart pochodzących z nieznanych źródeł.
Idą święta… dla oszustów
Okres przedświąteczny to żniwa dla handlowców, ale i dla oszustów. W tym czasie częściej korzystamy z logowania się do banku, płacąc za zakupy, łatwiej ulegamy pokusie kliknięcia w link, który daje "kody zniżkowe", a także śpieszymy się, bo święta tuż-tuż, a tu jeszcze trzeba tyle kupić…
Eksperci Norton Labs oczekują, że w nadchodzącym okresie przedświątecznym ataki oparte na podszywanie się pod pomoc techniczną znanych marek wzmogą się, podobnie jak przestępstwa wykorzystujące większą niż w innych porach roku skłonność do wspierania różnych akcji charytatywnych.
Dlatego warto przyswoić sobie rady, jakie płyną od wszystkich firm zajmujących się bezpieczeństwem w sieci i uważać na to, gdzie się wchodzi i w co klika. Warto być na bieżąco z "nowinkami", które pojawiają się na tym polu, bo przestępcy – niezależnie od pory roku i nasilenia pandemii – pracują nieustannie nad tym, by przechytrzyć nie tylko zabezpieczenia techniczne, ale przede wszystkim umysły ludzi, którzy siedzą przed ekranami.