Jak rozpoznać phishing? Praktyczne porady cyberbezpieczeństwa

Postanowiłem stworzyć serię poradników z dziedziny cyberbezpieczeństwa, podręcznych i łatwych do wykorzystania dla każdego. Mają zapewniać możliwość praktycznego zastosowania w często spotykanych sytuacjach związanych z bezpieczeństwem w Internecie. Na początku zacznijmy od sprawdzonych metod jak można zidentyfikować złośliwy e-mail i zapobiec próbie phishingu.

Nieważne czy jesteś administratorem IT, programistą, bezpiecznikiem czy po prostu chcesz samodzielnie sprawdzać podejrzane wiadomości. Wykonanie tych kilku prostych technik i weryfikacji oraz skorzystanie ze sprawdzonych źródel nie jest skomplikowane. Wystarczy kilka kroków aby rozwiać nasze wątpliwości. Przedstawić Ci kilka z nich w tym artykule natomiast w kolejnych częściach tej serii przedstawię będę przedstawiał inne, bardziej zaawansowane metody.

  1. Jak działa phishing w praktyce?
  2. Kilka przykładów phishingu
  3. Jak weryfikować fałszywe wiadomości e-mail?
    • Jak sprawdzić czy załącznik w e-mailu nie jest złośliwym oprogramowaniem?
    • Jak sprawdzić czy w wiadomości znajduje się złośliwy odnośnik/link?
  4. Platformy pomocne przy identyfikacji phishingu
  5. Jak chronić się przed phishingiem?
    • Gdzie zgłaszać phishing?

Jak działa phishing w praktyce?

Jestem przekonany, że praktycznie każdy z Was spotkał się z próbą wyłudzenia informacji. Niezależnie czy będzie to e-mail, SMS czy wiadomość wysłana na komunikatorze takim jak WhatsApp czy Messenger. Najczęściej model działania atakujących polega na zachęceniu Cię do konkretnej interakcji, która będzie prowadzić do przejścia na fałszywą stronę. Mogą one imitować formularze logowania do banków, platform społecznościowych czy nawet rządowych. Adwersarze będą chcieli zmusić Was do „zalogowania się” co w rzeczywistości pozwoli przechwycić im Wasze dane logowania i wykorzystać je do niecnych celów. W innych przypadkach atakujący mogą próbować zachęcić ofiary do pobrania pliku, który okaże się złośliwym oprogramowaniem.

Czemu phishing jest skuteczny?

Ataki phishingowe polecają na manipulacji, a im lepiej wiadomości są dopracowane w detalach tym większa skuteczność przeprowadzenia ataku. Sporo z takich prób można łatwo zdemaskować i wyeliminować. Niestety czasem ofiary dają się wykorzystywać przez grę na ich emocjach. Wystarczy „odpowiednia chwila i moment”, żeby ofiara straciła zupełną czujność na korzyść atakującego. Często stosowane manipulacje wykorzystują kontekst taki jak:

  • Oferowanie intrantych korzyści majątkowych
  • Szantaż pod pozorem publikowania niewygodnych dla ofiary nagrań/zdjęć (zob. przykład szantażu publikacji intymnych nagrań)
  • Wywołanie strachu pod pozorem utraty środków finansowych na koncie bankowym
  • Informacja o zablokowaniu lub wygaszaniu konta w usłudze internetowej (np. poczcie e-mail) i konieczności „resetu” hasła
  • Fałszywa, atrakcyjna oferta reklamowa lub biznesowa lub zapytanie ofertowe
  • Niezapłacona faktura lub rachunek z przekroczonym terminem płatności

To tylko część z niekończącej się listy możliwych scenariuszy. Przejdźmy do przykładów, które miały miejsce w rzeczywistości.

Kilka przykładów phishingu

Poniżej zamieściłem kilka przykładów ataków phishingowych z mojego „archiwum”. Kolekcjonuję takie próby na potrzeby analizy trendów i technik jakie atakujący stosują względem ofiar. Przy każdym z przykładów postaram się pokrótce opisać jak pokrótce weryfikuję słabe punkty tego ataku.

Na początku zaprezentuję jeden z lepiej wykonanych ataków phishingowych jakie ostatnio widziałem i… niestety prawie skutecznych. Niewiele brakło aby doszło do infekcji złośliwym oprogramowaniem ponieważ zagrała wspomniana wcześniej „odpowiednia chwila i moment”. Potencjalna ofiara oczekiwała podobnej wiadomości, niekoniecznie z tej firmy, ale z tego samego (pobliskiego!) miasta. Postanowiłem znacznie zanonimizować tę wiadomość więc musicie mi uwierzyć na słowo, że dane tam przedstawione były wiarygodnie zaprezentowane.

Bystre oko od razu zauważy, że:

  • E-mail nadawcy nie pokrywa się z imieniem i nazwiskiem oraz nazwą firmy (również w treści wiadomości)
  • Adresat wskazuje na inną firmę niż osoba, która otrzymała tę wiadomość (byłem zmuszony zamazać)
  • Rozszerzenie .IMG to nie jest format typowy dla dokumentów 😉

Poza powyższymi anomaliami dosłownie nie ma się do niczego przyczepić. Wiadomość wygląda jak standardowe zapytanie o ofertę wysłane z prawdziwej firmy. Do analizy tej wiadomości wrócimy w dalszej części artykułu.

Inny przykład wiadomości phishingowej (a w tym przypadku bardziej smishingowej) prezentuje poniższy przykład.

Otrzymałem ją za pośrednictwem usługi iMessage. Tutaj relatywnie proste do zweryfikowania mimo „atrakcyjnej” okazji finansowej. Nie nazywam się Jan, a także nie posiadam „konta finansowego” w usłudze znajdującej się pod wskazanym adresem jak również nie znam adresata.

Kolejny przykład to wiadomość e-mail, która tym razem zachęca do kliknięcia w złośliwy adres URL (tzw. „link”).

Uwagę zwraca fakt nie tylko niepasujących adresów e-mail w kontekście nadawcy, ale także niedopracowana treść wiadomości. Znajdziemy tu także odnośnik w następującej postaci (celowo utrudniłem bezpośrednie skorzystanie z adresu). Jak widać zupełnie nie jest ona powiązana z domeną Poczty Polskiej.

hxxps://email.notify.thinkific.com/c/eJwcyrFuxhOhlfr3lbI-vT2xVGB-Mct-C3nvu8cayKA9zqn1b51Nj2-tKquc7653m2knzn40F4M2tebtd_8m-A_AAD___s1Nx0

Co może kryć się za takimi adresami? Najczęściej będą to formularze lub np. strony, wymuszające potencjalną ofiarę do pobrania oprogramowania w celu jej wyświetlenia. Pod pozorem wymaganego pluginu nieświadoma ofiara może w ten sposób zostać zainfekowana złośliwym oprogramowaniem. W przypadku bankowości internetowej fomularze mogą łudząco przypominać te prawdziwe, widać to na przykładach opublikowanych przez mBank oraz ING.

Jak weryfikować fałszywe wiadomości e-mail?

Za pośrednictwem powyższych przykładów ataków phishingowych, zastosujemy proste techniki ich dodatkowej weryfikacji. Skorzystamy z gotowych i darmowych platform, celowo pomijając choćby analizę nagłówków wiadomości itd. (o tym w kolejnym artykule), które mogą być utrudnieniem dla mniej doświadczonych użytkowników.

Uwaga: Przy korzystaniu z poniższych metod zachowuj dużą czujność, nie uruchamiaj podejrzanych plików bądź adresów URL. Jeśli masz wątpliwości, po prostu skorzystaj z pomocy bardziej doświadczonej osoby.

Jak sprawdzić czy załącznik w e-mailu nie jest złośliwym oprogramowaniem?

Wróćmy do naszego pierwszego przykładu wiadomości phishingowej gdzie mieliśmy do czynienia z załącznikiem o rozszerzeniu .IMG. W moim przypadku już przy próbie pobrania pliku przeglądarka zapala żółtą lampkę, że plik może być potencjalnie niebezpieczny. Niewykluczone, że Wasze przeglądarki lub programy antywirusowe zablokują możliwość pobrania takiego pliku.

Na potrzeby analizy pobieram załącznik i pod żadnym pozorem nie uruchamiam go w moim systemie. W pierwszej kolejności wgram ten plik na VirusTotal.com. Jest to znana, popularna i zaufana platforma gdzie możemy poddać nasz plik analizie bezpieczeństwa. W rezultacie uzyskamy zestawienie programów antywirusowych z informacją czy rozpoznają nasz plik jako złośliwe oprogramowanie.

W VirusTotal.com można skorzystać także z sumy kontrolnej pliku i wkleić ją w wyszukiwarce platformy. Takie podejście rekomendowałbym w przypadku gdy istnieje podejrzenie, że plik może zawierać poufne informacje (np. chcemy upewnić się, że potencjalny dokument z danymi prywatnymi lub firmowymi nie jest wirusem). Wówczas suma kontrolna pozwoli pominąć udostępnienie zawartości pliku w platformie.

Więcej o sumach kontrolnych znajdziecie na blogu Informatyka Zakładowego. Można także skorzystać z gotowych komend systemowych:

  • Windows: # certutil -hashfile nazwa_pliku.txt SHA256
  • MacOS: # shasum -a 256 nazwa_pliku.txt
  • Linux: # sha256sum nazwa_pliku.txt

Niezależniej od formy, w przypadku udostępnionego przeze mnie pliku VirusTotal.com wskazał wykrycie złośliwego oprogramowania w 29 na 61 dostępnych programów antywirusowych. Jest to zupełnie wystarczający wynik aby potwierdzić nasze obawy.

Możemy także skorzystać z innej platformy w postaci hybrid-analysis.com. Działa ona w podobny sposób jak VirusTotal.com, ale daje kilka dodatkowych możliwości konfiguracji dla analizy pliku. W moim przypadku wybrałem domyślne ustawienia dla systemu Windows 11 64-Bit.

W przypadku hybrid-analysis.com wyniki okazały się zdecydowanie inne, ale sam plik został sklasyfikowany jako złośliwe oprogramowanie. Choć zakwalifikowały go jedynie 3 programy antywirusowe (na 23 dostępne).

Jak sprawdzić czy w wiadomości znajduje się złośliwy odnośnik/link?

Przejdźmy teraz do przykładów gdzie atakujący próbuje skłonić ofiarę do kliknięcia w złośliwy odnośnik (tzw. link). W tym celu skorzystamy z trzech platform i porównamy wyniki dla domen z zaprezentowanych wcześniej przykładów wiadomości. Będą to:

Raporty dla domeny „spzia.com” wskazują ją jako złośliwą, ale choćby w VirusTotal.com wynik nie jest rewelacyjny.

Dla domeny „email.notify.thinkific.com” dopiero wklejenie całego adresu URL polepszyło rezultat w VirusTotal.com, a w przypadku urlscan.io domena nie została jeszcze sklasyfikowana.

W przypadku złośliwych domen zebranych przez CERT Polska w zestawieniu tekstowym, żadna z domen w dniu publikacji artykułu nie znajdowała się na liście.

Jak chronić się przed phishingiem?

Patrząc na rezultaty sprawdzenia domen w platformach można mieć mieszane uczucia. Wskazały one cząstkowo na złośliwy charakter domen i złudnie mogą wskazywać, że weryfikacja nie ma sensu lub będzie obarczona ryzykiem błędu. I słusznie!

  • Ponieważ platformy to nie wyrocznie, a ich wyniki nie powinny osłabić czujności i zdrowego rozsądku
  • Wskazane domeny pochodzą ze świeżo zebranych wiadomości phishingowych – mimo zgłoszenia ich do dostawców mogły one jeszcze nie zostać rozpropagowane szerzej
  • Swoje weryfikacje opieraj na bazowych sprawdzeniach:
    • Porównaj nadawcę wiadomości wraz z jej tytułem i adresem e-mail
    • Oceń jakość treści wiadomości – błędy gramatyczne, kontekst i oczekiwania nadawcy
    • Porównaj adresy URL (linki) w wiadomości i użyte w niej domeny z treścią wiadomości i adresem e-mail nadawcy
    • Podejrzane załączniki powinny zawsze wzbudzać podejrzenia
  • Nigdy nie podejmuj interakcji pod wpływem emocji lub pośpiechu. Nawet przy najmniejszej wątpliwości lepiej sprawdzić zawartość lub poprosić bardziej doświadczoną osobę o pomoc niż uruchomić zainfekowany załącznik lub dać się okraść przestępcom.

Z technicznych rekomendacji możesz rozważyć zastosowanie następujących, wybranych praktyk.

  • Stosuj metodę podwójnego uwierzytelnienia (wszędzie!) przy logowaniu do usług/platform/portali
    • w zależności od tego jak bardzo chcesz chronić Twoje dane, możesz rozważyć klucze Yubikey lub stosowanie mechanizmu Passkeys jako tańszy i skuteczny odpowiedni kluczy U2F i równie skutecznie chroniący przed phishingiem (podlinkowałem tutaj do materiałów Kacpra Szurka, który świetnie podsumował ich możliwości wykorzystania)
  • Istnieją serwery DNS, które możesz ustawić w Twoich ustawieniach sieciowych na komputerze i telefonie
  • Rozważ instalację pakietu antywirusowego z modułem ochrony przed phishingiem
    • Istnieje niemała szansa, że może ono ochronić Cię przed przejściem na złośliwą strone lub zablokować pobranie i uruchomienie złośliwego oprogramowania.
    • Stosowanie pakietów antywirusowych to temat na osobny artykuł, ale w praktyce już kilkukrotnie oddychałem z ulgą widząc, że zadziałały w praktyce i oszczędziły mi długie godziny analizy oraz odwracania skutków infekcji 🙂
  • Korzystaj z list ze znanymi, złośliwymi domenami (np. w formie pluginu do przeglądarki typu uBlock). Przykładowe listy, których użycie możesz rozważyć w zależności od Twoich potrzeb i preferencji:

Gdzie zgłaszać phishing?

Wzorową praktyką jest zgłaszanie podejrzanych lub złośliwych domen, a także przekazywanie takich wiadomości e-mail lub SMS. Istnieją ku temu dedykowane formularze na stronie CERT Polska, które nie wymagają dużego zaangażowania po stronie zgłaszającego:

Zgłoszone przez Was informacje mogą uratować innych przed kradzieżą danych lub infekcją złośliwym oprogramowaniem!

Powiązane artykuły

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *