Najbardziej skuteczna broń cyberprzestępców i jej nowa odmiana

Najbardziej skuteczna broń cyberprzestępców i jej nowa odmiana23.07.2013 16:00
Źródło zdjęć: © Thinkstockphotos

W ciągu ostatnich dwunastu miesięcy 37,3 mln użytkowników internetu na całym świecie zetknęło się z atakiem phishingu.

To o 8. proc. więcej niż w tym samym okresie rok wcześniej. Wciąż najpopularniejszym celem ataków oszustów internetowych są klienci banków i instytucji finansowych, ale coraz częściej są na nie narażone także osoby korzystające z serwisów aukcyjnych czy portali społecznościowych. Zdaniem ekspertów firmy doradczej Deloitte najsłabszym ogniwem pozwalającym na dokonywanie tego rodzaju przestępstw są sami użytkownicy oraz ich złe przyzwyczajenia i słabości.
Phishing jest rodzajem oszustwa, polegającego na kradzieży tożsamości lub innych danych (np. finansowych) z wykorzystaniem kopii strony internetowej (poczty internetowej, bankowości on-line, portalu społecznościowego) zaufanej instytucji. Niczego niepodejrzewający użytkownik wpisuje na tak spreparowanej stronie swój login i hasło lub dane z karty kredytowej, a informacje te trafiają w ręce przestępców.

Według badań Kaspersky Lab, w ciągu ostatnich dwunastu miesięcy oszuści atakowali dziennie średnio 10. tys. osób, dwa razy więcej niż w analogicznym okresie rok wcześniej. Prób oszustwa najczęściej dokonywano w Rosji, USA, Indiach, Wietnamie oraz Wielkiej Brytanii, a największa liczba zaatakowanych użytkowników to mieszkańcy Wietnamu, Stanów Zjednoczonych, Indii oraz Niemiec. Większość serwerów, na których znajdowały się strony phishingowe została zarejestrowana w USA, Wielkiej Brytanii, Niemczech, Rosji oraz Indiach.

W ostatnich latach coraz popularniejszy staje się phishing targetowany (spear-phishing), mający charakter spersonalizowanego ataku. Choć najpopularniejszym celem oszustów nadal pozostają klienci instytucji finansowych (2. proc. ogólnej liczby przestępstw phishingowych), to narażeni na nie są także użytkownicy serwisów transakcyjnych (np. aukcyjnych) oraz takich, w których gromadzone są cenne dane osobowe, zawodowe, dotyczące zdrowia i szczególnych zainteresowań. Świadczy o tym mnogość ataków wycelowanych w użytkowników takich serwisów, jak PayPal, Facebook, LinkedIn czy Twitter.

Niestety firmy i ich klienci zbyt często są niesłusznie przekonani o skuteczności stosowanych zabezpieczeń. Dwuskładnikowe uwierzytelnianie, kody SMS, karty zdrapki i szyfrowane połączenie są to (w ocenie użytkowników) sposoby wystarczające, by uchronić się przed udanym atakiem. - _ Jednak rzeczywistość pokazuje, że wcale tak nie jest. Szkodliwe oprogramowanie tworzone jest pod konkretne potrzeby, co świadczy o tym, że jego skuteczność jest wysoka, a przestępcom opłaca się angażować wykwalifikowanych programistów w jego tworzenie _ - uważa Piotr Szeptyński z Deloitte.

Tym, co często zdradza próbę wyłudzenia danych jest niska jakość treści wiadomości i fałszywych stron. Pomimo widocznej poprawy wyglądu imitacji serwisów transakcyjnych, treść wiadomości nadal przypomina efekt automatycznego i nieudolnego tłumaczenia z języka rosyjskiego - poprzez angielski - na polski. Okazuje się jednak, że nie jest to przeszkodą w realizacji ataków. Odbiorcom często wystarcza prosta informacja (np. nazwa jego stanowiska, imię i nazwisko znajomego, nazwa miasta zamieszkania), by dać się przekonać o „autentyczności”. wiadomości. Dane te użytkownicy zamieszczają w portalach społecznościowych takich jak Facebook czy LinkedIn, a niewłaściwe ustawienia dotyczące ochrony prywatności sprawiają, że cyberprzestępcy w szybki sposób docierają do potrzebnych im informacji i wykorzystują je następnie przeciwko swoim ofiarom.

Zwykło się też uważać, że o autentyczności strony świadczy to, co widać w pasku adresu oraz słynna „żółta kłódka”. Przypadki udanych ataków pokazują, że także te założenia bywają błędne. Problemy z mechanizmami leżącymi u podstaw modelu zaufania w internecie (m.in. słabość funkcji skrótu MD5 oraz nieuprawniony dostęp do kluczy prywatnych centrów certyfikacji) spowodowały, że widząc symbol żółtej kłódki użytkownik nie może już mieć pewności, że loguje się do autentycznego i należycie zabezpieczonego serwisu transakcyjnego.

Jednak głównym powodem tego, że ataki phishingowe są wciąż skuteczne i opłacalne dla przestępców nie są wady oprogramowania lecz błędy użytkowników i ich zbytnia skłonność do postępowania według przyzwyczajeń. Dlatego ochrona przed phishingiem powinna skupić się na budowaniu świadomości oraz zmiany schematów. Powinny do nich należeć:
- ostrożne dzielenie się osobistymi informacjami,
- stosowanie różnych haseł w zależności od serwisu,
- aktualizacja systemu i oprogramowania (zwłaszcza antywirusowego),
- rozsądne otwieranie załączników do wiadomości i klikanie w linki,
- łączenie się z serwisami internetowymi pod znanymi adresami (np. z zakładek).

Polecamy w wydaniu internetowym chip.pl: "Dziś premiera telefonu Ubuntu Edge! Mamy zdjęcia"

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA