Co zrobić, gdy kliknąłeś link z podejrzanego maila lub SMS-a? Ekspert radzi

Phishing to rodzaj cyberataku, w którym przestępcy próbują wyłudzić wrażliwe informacje, takie jak hasła, numery kart kredytowych, dane osobowe czy dane logowania, podszywając się pod zaufane osoby lub instytucje. Najczęściej odbywa się to poprzez wiadomości e-mail, SMS-y, fałszywe strony internetowe lub komunikaty w mediach społecznościowych.

Typowy phishing wygląda jak autentyczna wiadomość od banku, dostawcy usług, firmy kurierskiej czy innej organizacji, z prośbą o kliknięcie linku lub podanie danych. Użytkownik, wprowadzając tam swoje dane, przekazuje je bezpośrednio oszustom.

Phishing to jedna z najpopularniejszych metod oszustw w Internecie. Jednak jak się przed nią bronić? Cennych rad na ten temat udziela nam ekspert z dziedziny socjotechniki - Damian Kruk z firmy Blue Energy.

Socjotechnika, inaczej zwana inżynierią społeczną, to zbiór technik, które mają na celu wywarcie wpływu na zachowanie człowieka jako jednostki lub grupy. Jest ona często stosowana m.in. w reklamie i polityce, ale wykorzystują ją także cyberprzestępcy m.in. w atakach phishingowych. Co ciekawe, kontrolowane odtwarzanie takich ataków w celu uświadomienia użytkowników jest ważną gałęzią cyberbezpieczeństwa. Przejdźmy jednak do praktycznych porad, które zdradził nam ekspert.

Filip Koziarek, Interia Geekweek: Czy istnieją jakieś przydatne metody, które pomogłyby przeciętnemu użytkownikowi lepiej chronić się przed phishingiem? 

Damian Kruk, Blue Energy: Moim zdaniem, kluczowe jest tu przede wszystkim wyrobienie odpowiednich nawyków i zachowanie ostrożności - zwłaszcza gdy otrzymujemy nieoczekiwane wiadomości.

Jednym z pierwszych kroków, jakie powinniśmy podjąć, jest sprawdzenie nagłówków wiadomości. Warto zwrócić uwagę na pole nadawcy, adresata oraz sposób, w jaki wiadomość została dostarczona. Często złośliwe wiadomości, choć na pierwszy rzut oka mogą wyglądać na autentyczne, zawierają małe błędy np. literówki, niepoprawne maile nadawcy.

Drugą istotną kwestią jest analiza domen. Zamiast skupiać się wyłącznie na tzw. "zielonej kłódce", warto zweryfikować, czy nazwa domeny jest zgodna z tą, jakiej spodziewamy się po prawdziwej stronie. Samo posiadanie certyfikatu SSL i wspomniana "zielona kłódka" nie świadczą o wiarygodności strony - przestępcy bez problemu mogą wygenerować certyfikat dla swoich stron phishingowych.

Coś, co wydaje się najbardziej oczywiste, choć nie jest zawsze łatwe, to sprawdzenie kontekstu danej wiadomości. Czy faktycznie mamy za chwilę otrzymać paczkę? Czy na pewno SMS, który nakłania nas do weryfikacji poprawności płatności za przesyłkę, powinien w ogóle do nas trafić? Zamawiałem cokolwiek przez ostatni tydzień? Jeśli mamy wątpliwości, warto sprawdzić innym kanałem czy cokolwiek kupowaliśmy na jakiejkolwiek platformie - oczywiście nie klikając w przesłany link.

A istnieją jakieś pomocne w tym narzędzia?

Jeśli chodzi o rozwiązania techniczne, na poziomie przeciętnego użytkownika warto zainwestować w pocztę e-mail, która posiada dobrą reputację oraz skuteczne zabezpieczenia antyspamowe. Dla 99 proc. użytkowników wystarczającym rozwiązaniem będzie Gmail, choć nie będziemy na tym etapie wchodzić w kwestie prywatności. Wybór odpowiedniego dostawcy poczty może znacząco zmniejszyć liczbę podejrzanych wiadomości, które trafiają do naszej skrzynki.

Jednak najważniejsze jest to, aby pamiętać, że żadne oprogramowanie nie zagwarantuje nam pełnego bezpieczeństwa. Odpowiedzialność za nasze bezpieczeństwo w sieci leży przede wszystkim po naszej stronie. Narzędzia mogą wspierać nasze działania, ale to my musimy zachować zdrowy rozsądek i czujność, by nie dać się złapać na phishingowe pułapki.

W takim razie, czy istnieją sygnały ostrzegawcze, które w szczególności powinny zwrócić naszą uwagę, gdy otwieramy e-maile lub otrzymujemy wiadomości SMS?

Tak, najczęstszymi sygnałami ostrzegawczymi są błędne domeny. Fałszywe wiadomości często pochodzą z adresów, które są podobne, lecz różnią się drobnymi szczegółami, jak literówki czy zmienione znaki np. zamiast nazwa@grupablue.pl możemy zobaczyć nazwa@qrupablue.pl. To subtelne różnice, które łatwo przeoczyć.

Innym sygnałem, który powinien wzbudzić naszą czujność, są wiadomości wzywające do natychmiastowego działania. E-maile, które próbują wywołać panikę, zwykle zawierają komunikaty sugerujące pilną sytuację, co ma skłonić odbiorcę do szybkiego podjęcia decyzji bez dokładnej weryfikacji treści.

Bardzo proste w zauważeniu i charakterystyczne dla phishingu są też błędy w treści, czyli przede wszystkim nietypowe formatowanie oraz błędy językowe.

Każdy z tych sygnałów powinien wzbudzić ostrożność i skłonić do dokładniejszej analizy otrzymanej wiadomości. Musimy pamiętać, że większość ataków to phishing wysyłany masowo, do dużej ilości osób, więc jakość tych wiadomości będzie niska. 

A czy zdarzają się bardziej dopracowane ataki?

Tak, aczkolwiek rzadko trafiamy prywatnie na tzw. ataki spearphishingowe, które kierowane są do konkretnej osoby i są mocno spersonalizowane. Jakość tego typu wiadomości jest o wiele lepsza i przede wszystkim, scenariusz będzie o wiele bardziej skomplikowany. Atakujący może wtedy wykorzystać deep fake, żeby atak był jeszcze bardziej przekonujący np. podłożenie głosu naszych bliskich albo wizerunku przełożonego, co ma nakłonić nas do wykonania przelewu.

Jakie są najnowsze trendy w phishingu? Czy są jakieś nowe metody oszustów, na które trzeba teraz szczególnie uważać?

Oprócz klasycznych metod phishingowych warto zwrócić uwagę na rosnące zagrożenie związane z phishingiem opartym na fałszywych CAPTCHA. W tej technice strona phishingowa zawiera pozornie prawdziwy mechanizm CAPTCHA, który prosi użytkownika o wykonanie szeregu skrótów klawiszowych, takich jak Win+R, które otwiera okno dialogowe "Uruchom", Ctrl+V wklejające złośliwe polecenie PowerShell, a następnie Enter, co uruchamia to polecenie. Gdy użytkownik postąpi zgodnie z instrukcjami, cyberprzestępcy uzyskują zdalny dostęp do jego komputera.

Dodatkowym, rozwijającym się zagrożeniem jest wykorzystywanie sztucznej inteligencji do przeprowadzania zaawansowanych ataków phishingowych. W tego typu scenariuszach atakujący mogą podszywać się pod szefa, przesyłając np. wiadomość głosową, która brzmi wiarygodnie, i nakłania pracownika do podjęcia określonych działań. 

Tego typu techniki mogą być szczególnie trudne do wykrycia, zwłaszcza gdy jesteśmy skupieni na pracy. Współczesne narzędzia pozwalają na wygenerowanie głosu o bardzo zbliżonej barwie i tonie, na podstawie nagrania trwającego 5 sekund.

Możemy coś zrobić, aby oszuści nie byli w stanie wygenerować takiej wiadomości głosowej?

Tak, jest to np. kwestia odbierania telefonu od nieznanego numeru. Nie witajmy się pełnym zdaniem, tylko poczekajmy na osobę po drugiej stronie. Jeśli rozmowa trwa zbyt długo albo rozmówca zaczyna zadawać dziwne pytania, warto się po prostu rozłączyć.

Co zrobić, jeśli przypadkowo kliknąłem link w podejrzanym e-mailu lub SMS-ie? Czy za pomocą jednego linku można przejąć kontrolę nad urządzeniami lub kontami bankowymi?

Jeśli użytkownik nie wprowadził swoich danych ani nie wykonał innych działań poza kliknięciem link, ryzyko sukcesu ataku jest minimalne, choć zawsze istnieje możliwość wykorzystania nieznanej luki w oprogramowaniu, czyli tzw. podatności 0-day. 

Nie oznacza to jednak, że powinniśmy bez obaw klikać w takie linki. Samo kliknięcie pozwala cyberprzestępcom na potwierdzenie, że adres e-mail, na który wysłano wiadomość, jest aktywny, co może skutkować dalszymi próbami ataków na ten adres w przyszłości. 

Najważniejsze jest, żeby nie wykonywać dalszych kroków po kliknięciu linku, czyli np. wykonanie przelewu albo wpisanie danych logowania. 

Na zakończenie - jakie są przykłady ataków, gdzie jeden link może sprawić nam spore kłopoty?

Przykładowo częstym atakiem na użytkowników popularnego w Polsce serwisu ogłoszeniowego jest wysyłanie wiadomości przez atakujących z prośbą o wykonanie przelewu na podejrzanej platformie. 

Natomiast jeśli w trakcie logowania do bankowości elektronicznej musimy podać wszystkie znaki w haśle, to ktoś ewidentnie próbuje w ten sposób wyłudzić nasze dane, gdyż w bankowości elektronicznej hasła w trakcie wpisywania w większości są maskowane - podajemy tylko jego część, a nie całość.

I na koniec chciałbym dodać coś podobnego do słów, które podkreślałem już wcześniej - odpowiedzialność za nasze bezpieczeństwo w sieci zależy przede wszystkim od nas samych. Powinniśmy zawsze zachowywać czujność i zdrowy rozsądek.