Jak rozpoznać phishing i nie dać żadnej szansy hakerom?


Phishing to metoda oszustwa polegająca na podszywaniu się hakera pod znaną instytucję lub osobę celem wyłudzenia danych
Phishing to metoda oszustwa polegająca na podszywaniu się hakera pod znaną instytucję lub osobę celem wyłudzenia danych

W maju hakerzy dokonali próby ataku phishingowego na placówki zdrowia, podszywając się pod znanego dostawcę oprogramowania. Dzięki szybciej reakcji, udało się go udaremnić. Przedstawiamy kulisy tego cyberataku, aby uczulić na podobne działania hakerów.

Phishing, czyli socjo-techniczna manipulacja

To już nie tylko informacja o przesyłce kurierskiej albo spadku – hakerzy przygotowują wyrafinowane ataki budując wierną kopię strony internetowej, aby zwabić na nią potencjalne ofiary. Jeśli im się to uda, zyskują dostęp do komputera.

Taka metoda działania cyberprzestępców oparta na socjotechnice nazywana jest pharmingiem, a jej celem jest kradzież danych. Najczęściej była stosowana w sektorze finansowym, ale odkąd banki zaczęły stosować bardzo silne zabezpieczenia, hakerzy na cel wzięli słabiej chronione placówki medyczne. Nie zawsze chodzi im o dane medyczne, ale także np. hasła do bankowości elektronicznej. Jak wyglądał jeden z takich ataków?

W maju br. placówki medyczne zaczęły otrzymywać wiadomości SMS z informacją o konieczności pobrania aktualizacji systemu informatycznego KAMSOFT. Kliknięcie linku powodowało przekierowanie na stronę internetową przypominającą do złudzenia stronę firmy. Hakerzy nawet posłużyli się podobnym adresem www, różniącym się jedynie przedrostkiem e-.

Fałszywa strona zachęcała do pobrania aktualizacji. Tak naprawdę, po kliknięciu na przycisk Pobierz, pobierane było złośliwe oprogramowanie. Po jego uruchomieniu, hakerzy mogli zyskać dostęp do danych na komputerze.

Fałszywa kopia strony internetowej KAMSOFT przygotowana przez hakerów, która tłem i kolorami odpowiada stronie oryginalnej. Także adres www jest podobny
Fałszywa kopia strony internetowej KAMSOFT przygotowana przez hakerów, która tłem i kolorami odpowiada stronie oryginalnej. Także adres www jest podobny

Jak uniknąć ataku phishingowego?

Atak szybko udaremniono, bo został zdemaskowany przez m.in. CERT oraz klientów firmy, którzy poinformowali o podejrzanych SMS-ach. Dzięki temu fałszywy portal został zablokowany, a firma szybko ostrzegła o próbie ataku.

Ale nie zawsze udaje się zdemaskować cyberataki na czas, dlatego najlepszą ochroną jest wiedza użytkowników na temat metod działania przestępców internetowych. Co powinno wzbudzić podejrzenie i jak się zachować?

  • Ufaj tylko tym kanałom komunikacji z dostawcą IT, z których korzystałeś dotychczas. W przypadku opisanego ataku, cyberprzestępcy wysłali SMS-a z informacją o aktualizacji systemu. KAMSOFT nigdy nie informuje o upgrade’ach w ten sposób wiedząc, że mogliby to wykorzystać hakerzy;
  • Weryfikuj wiarygodność niespodziewanych wiadomości. Jeśli informacja przychodzi z nowego adresu albo za pomocą nowego kanału komunikacji, potwierdź jej autentyczność kontaktując się z nadawcą. Sprawdź, czy adres nadawcy zgadza się z tym, od którego dotychczas dochodziły wiadomości;
  • Samodzielnie wpisuj adres www w wyszukiwarkę internetową jeśli chcesz wejść na dany portal. Podobnie jak w przypadku bankowości elektronicznej, zawsze korzystaj z adresu, który wpisujesz sam lub masz zapamiętany w wyszukiwarce. W przypadku opisanej sprawy, pojawiłaby się oryginalna strona www, na której nie było żadnego komunikatu o aktualizacji;
  • Regularnie aktualizuj oprogramowanie antywirusowe i firewall. Dobre i aktualne systemy były w stanie stosunkowo szybko wykryć, że strona jest zafałszowana, ostrzegając przed wejściem na nią;
  • Pobieraj aktualizacje ze sprawdzonych źródeł, za pomocą oprogramowania gabinetowego, tak jak robiłeś to dotychczas. Nie klikaj na żadne linki przesłane mailem albo SMS-em jeśli nie masz pewności, że pochodzą z zaufanego źródła.

W przypadku otwarcia wiadomości i pobrania złośliwego oprogramowania, zaleca się wyłączenie komputera, kontakt z opiekunem IT lub serwisem, który sprawdzi komputer. Warto też zmienić wszystkie hasła, w pierwszej kolejności do bankowości elektronicznej i oprogramowania gabinetowego. Do tego atak należy zgłosić do CERT Polska (CSIRT NASK), aby instytucje odpowiedzialne za cyberbezpieczeństwo mogły szybko podjąć odpowiednie działania.

Ataki hakerów będą się nasilały

Phishing jest główną przyczyną naruszeń danych w służbie zdrowia. Podczas pandemii COVID-19, ich liczba się podwoiła. Według raportu Verizon Data Breach Investigations (DBIR) z 2022 r., średnio 2,9% wiadomości phishingowych jest klikanych.

Atak SMS-owy jest kilkukrotnie rzadziej przeprowadzany niż e-mailowy (stosunek 10:1), bo wymaga zdobycia numerów telefonów komórkowych placówek zdrowia. Ale jest skuteczniejszy, bo w przypadku cyberataku liczy się skłonienie ofiary do emocjonalnego, szybkiego działania. Do tego większość skrzynek e-mailowych posiada filtry antyspamowe podczas gdy SMS-y nie są weryfikowane.

Nie istnieje jedna, uniwersalna metoda obrony przed atakami phishingowymi. Zabezpieczenia techniczne są tak samo ważne jak regularne szkolenia. Świadomi metod działania hakerów użytkownicy systemów IT – a tymi dzisiaj jest każdy pracownik ochrony zdrowia – mogą udaremnić nawet najlepiej zaplanowany cyberatak. Każdy phishing da się rozpoznać zachowując czujność i kierując się zasadami cyberhigieny.