45% ataków cybernetycznych to phishing. Jak się bronić?

Każdego dnia wysyłanych jest ok. 3,4 miliarda wiadomości phishingowych. Część z nich trafia do skrzynki spamowej, część kasujemy od razu, bo nauczyliśmy się je rozpoznawać. Mimo to phishing jest ulubioną i skuteczną formą ataków cybernetycznych, także w medycynie. Na co zwracać uwagę?

Na maile o spadku od bogatego wujka zza granicy mało kto już się nabiera lub są odsiewane automatycznie przez skrzynki mailowe zanim je zdążymy przeczytać. Podobnie jest z informacjami o niedostarczonej przesyłce przez kuriera, które często już na pierwszy rzut oka wyglądają podejrzanie.

I choć wydaje nam się, że nie damy się nabrać, fakty są inne: według raportu Proofpoint 2022 State of the Phish, w ubiegłym roku 83% organizacji padło ofiarą ataku phishingowego. 25% wszystkich naruszeń danych wiąże się z phishingiem.

Z kolei według badania Healthcare Cybersecurity Survey, ataki phishingowe są największym zagrożeniem dla służby zdrowia. Stanowią one 45% wszystkich cyberataków. Zaraz po nich są ataki ransomware (17%) i naruszenia danych (7%).

Wystarczy nieuważne kliknięcie na link albo otwarcie PDF-a w zainfekowanej wiadomości, a na komputerze instalowane jest złośliwe oprogramowanie będące dla hackerów bramą do danych. Statystyki nie pozostawiają złudzeń: phishing jest nadal jednym z największych zagrożeń dla cyberbezpieczeństwa. I to mimo tego, że stosowany jest od lat i zdążyliśmy się już z nim oswoić.

Nie tylko my jesteśmy czujniejsi a systemy IT szczelniejsze. Także hackerzy doskonalą wiadomości phisingowe. Te najlepsze już nie zawierają rażących błędów językowych, literówek albo dziwnych, kolorowych czcionek. Mogą do złudzenia przypominać identyfikację graficzną banku lub firmy kurierskiej.

Oto kilka najważniejszych zasad pomagających skutecznie odróżnić wiadomość phishingową od autentycznego maila:

• Wiadomość informuje, że należy natychmiast wykonać jakieś działanie, w przeciwnym razie coś ci grozi, np. utrata danych, zablokowanie konta, grzywna itd. Takich wiadomości nigdy nie wysyłają ani banki, ani urzędy. Groźby finansowe mają skłonić do szybkiego, emocjonalnego działania i wyłączenia racjonalnego myślenia (im dłużej myślimy o sprawie, tym bardziej wydaje nam się podejrzana);

• Wiadomość sugeruje, że trzeba wprowadzić poufne dane, takie jak numer konta bankowego, kod PIN do bankowości internetowej lub numer karty kredytowej albo zalogować się w serwisie, aby zweryfikować tożsamość. Dlatego niezależnie od phishingu, logować się należy zawsze na stronach, które mamy zapisane albo które możemy wyszukać w wyszukiwarce. Linki w mailach mogą prowadzić do zdublowanych, fałszywych stron;

• Wiadomości phishingowe zawierają często linki albo załączniki, których się nie spodziewamy;

• Nadal zdarza się, że tekst wiadomości jest źle napisany, a grafika niepodobna do poprzednio wysyłanych maili. Tekst zawiera różne czcionki albo nieprawidłowe znaki specjalne (np. polskie);

• Wiadomość zawiera bezosobowy wstęp, jak „drogi kliencie” lub „proszę pana/proszę pani”;

• Wiadomość nie zawiera danych kontaktowych (ale uwaga: czasami zawiera umyślnie dane do kontaktu, które są drugim etapem wprowadzania w błąd).

Tak jak zmieniają się metody hackerów, trzeba aktualizować swoje umiejętności w zakresie cyberbezpieczeństwa. Przykładowo, kilka lat temu dużo mówiło się o tym, że zaufane strony muszą zaczynać się od „https://”? Takie oznaczenie gwarantuje bezpieczne połączenie z godną zaufania witryną, czyli posiada certyfikat SSL. Niestety, coraz więcej oszustów phishingowych także stara się o certyfikat, aby zwiększyć skuteczność ataku.

Warto wyrobić sobie kilka nawyków, które pozwolą zwiększyć poziom bezpieczeństwa cybernetycznego. Po pierwsze, zasada sprawdzania linków w wiadomościach e-mail i sieciach społecznościowych przed ich kliknięciem. Ale z dużą czujnością, bo fałszywe witryny mogą mieć bardzo podobne adresy, różnić się jedynie kilkoma znakami. Każdy może kupić adres domeny, nawet jeśli jest podobny do dużej instytucji.

Po drugie, wiadomości z urzędów albo z banku można zweryfikować dzwoniąc do tych instytucji. Innym sposobem jest skopiowanie treści podejrzanego maila w Google, aby sprawdzić, czy nie ma ostrzeżeń przed tego typu wiadomościami. Po trzecie, bądź wyczulony na otwieranie załączników z nieznanych adresów e-mail. Mogą to być informacje o fakturze, wezwanie do zapłaty, ważna wiadomość z banku itd. Jeśli już koniecznie chcesz się zalogować dla świętego spokoju, otwórz stronę bezpośrednio w przeglądarce, tak jak to robisz zwyczajowo, a nie klikając na odnośnik. Po czwarte, sprawdzaj, kto jest nadawcą wiadomości, a dla pewności wyszukaj w Google, czy adres e-mail naprawdę należy do instytucji, za którą się podaje.

Co zrobić, gdy otrzymasz wiadomość phishingową?

• Nigdy nie klikaj żadnych linków ani załączników w podejrzanych wiadomościach e-mail. Jeśli otrzymasz podejrzaną wiadomość, ale nie masz pewności, czy jest prawdziwa czy fałszywa, zweryfikuj ją: logując się na oryginalnej stronie z przeglądarki, dzwoniąc do instytucji, wpisując kilka pierwszych zdań z maila do Google.
• Zgłoś wiadomość do instytucji, pod którą się podszywa.
• Kliknij w skrzynce mailowej opcję „oznacz/zgłoś jako SPAM”, dzięki której filtry doskonalą swoje umiejętności wykrywania oszustw.
• Usuń wiadomość (także z kosza).

I na koniec, eksperci zalecają przeglądanie skrzynki SPAM, bo nadal trafiają tam także prawdziwe maile, na które czekamy, a które algorytmy – z różnych przyczyn – zakwalifikowały jako fałszywe. Takie codziennie otwieranie SPAMu wyrabia nawyk czujności.

Phishing jest nadal skuteczny, bo wystarczy jedno omyłkowe kliknięcie, aby hacker przejął kontrolę nad komputerem, uzyskał dostęp do danych albo wkradł się na konto bankowe. Phishing może być też wysyłany SMS-em albo przez popularne komunikatory internetowe, wówczas najczęściej hackerzy celują w przejęcie danych logowania do konta bankowego.

Czytaj także: Pobierz bezpłatny raport na temat bezpieczeństwa cybernetycznego i obejrzyj webinar