Czym jest phishing i jak się przed nim bronić?

Phishing to złośliwa praktyka stosowana przez cyberprzestępców, mająca na celu wyłudzenie poufnych informacji, takich jak dane logowania czy informacje finansowe. W dobie coraz bardziej zaawansowanych ataków, ochrona przed tym zagrożeniem staje się priorytetem dla użytkowników Internetu. W tym artykule dowiesz się, czym dokładnie jest phishing, jakie są najczęstsze metody wykorzystywane przez przestępców oraz jakie kroki możemy podjąć, aby zabezpieczyć się przed tym niebezpiecznym zjawiskiem.

Ataki socjotechniczne wykorzystują subtelne techniki psychologiczne, aby nakłonić użytkowników do określonego działania.

Napastnik wysyła wiadomość, która zachęca do sprawdzenia zawartości załącznika bądź kliknięcia w dołączony link. Jej treść wprowadza adresata w błąd – zarówno przez sugerowanie, że wiadomość pochodzi od osoby zaufanej, jak i przez akcentowanie konieczności podjęcia konkretnego działania („Pilne!”, „Ostatnia szansa!”). Atakujący chcą wykorzystać emocje, takie jak strach, stres lub euforia.

Jak się przygotować na atak socjotechniczny?

Celem ataków tego typu jest człowiek. A zatem podstawowa linia obrony powinna opierać się na odpowiednim wyszkoleniu z zakresu cyberbezpieczeństwa. Nowoczesna technologia może być pomocna w wykrywaniu anomalii, nietypowej treści wiadomości bądź niespójności danych adresowych nadawcy. Jednak żadna technologia nie wystarczy, jeżeli człowiek nie będzie gotowy na zagrożenie.

Irlandzki organ nadzorczy rusza z pomocą

Irlandzki organ nadzorczy (Komisja Ochrony Danych – Data Protection Comission) opublikował poradnik dla organizacji dotyczący phishingu oraz innych ataków socjotechnicznych, skierowany do osób, które chcą zmniejszyć zagrożenie tego typu atakami.

Zagrożenia dla danych osobowych

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Jednym z głównych obowiązków wynikających z ogólnego rozporządzenia o ochronie danych (RODO) dla organizacji (administratorów), które przetwarzają dane osobowe, jest zapewnienie odpowiedniego stopnia bezpieczeństwa danych osobowych, w tym ochrony przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem (w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ujawnieniem), za pomocą odpowiednich środków technicznych lub organizacyjnych. Jest to podstawowa zasada bezpieczeństwa przetwarzania.

Źródłami ryzyka dla bezpieczeństwa przetwarzania danych osobowych jest phishing oraz inne ataki socjotechniczne. Phishing to atak socjotechniczny, który jest powszechnie stosowany w celu oszukania użytkowników. Z phishingiem mamy do czynienia wówczas, gdy ktoś próbuje nieuczciwie nakłonić do ujawnienia informacji poufnych, takich jak nazwa użytkownika, hasło lub dane karty kredytowej, w ten sposób, że podszywa się w komunikacji elektronicznej pod zaufane źródło. Dzięki używaniu danych zaufanego źródła, znanej nazwy lub znanego logo jako przynęty napastnicy starają się wydobyć informacje poufne, w tym dane osobowe.

Przedstawiony rezultat można osiągnąć na wiele sposobów, np. przez:

  • spoofing, czyli podszywanie się pod nadawcę wiadomości (w takim przypadku używane są sklonowane lub podobnie wyglądające adresy e-mail lub nazwy kojarzone z nadawcą),
  • nakłanianie użytkowników do podania informacji poufnych na fałszywej stronie internetowej, która w dużym stopniu przypomina prawdziwą,
  • pobieranie oprogramowania, które sprawia wrażenie nieszkodliwego, ale w rzeczywistości ma złośliwy charakter i często jest ukryte w postaci załączników do wiadomości e-mail.

Wskazówki dotyczące wykrywania phishingu oraz innych ataków socjotechnicznych

Spoofing, czyli podszywanie się pod wiadomości e-mail, polega na wysyłaniu przez atakującego wiadomości ze sfałszowanym adresem nadawcy. Jest to możliwe, ponieważ podstawowe protokoły techniczne poczty e-mail nie mają mechanizmu uwierzytelniania, co atakujący często wykorzystują, aby wprowadzić odbiorcę w błąd co do tożsamości nadawcy wiadomości. Systemy do szyfrowania wiadomości e-mail, takie jak SSL/TLS, mogą pomóc w uniknięciu tego ryzyka, jednak w wielu organizacjach nie są one dostępne lub wykorzystywane do tego celu.

  • Większość dostawców poczty e-mail zapewnia środki bezpieczeństwa w celu ochrony przed tego rodzaju wiadomościami, ale ważne jest, aby dokładnie sprawdzać dane nadawców, szczególnie jeśli e-mail jest podejrzany z innych względów.
  • Upewnij się, że zarówno sam adres e-mail, jak i pozostałe dane kontaktowe zamieszczone w treści wiadomości, np. imię i nazwisko, pozostają zgodne.

Spear phishing to ukierunkowana forma phishingu, w której atakujący stara się dostosować atak do konkretnej ofiary, aby stać się bardziej wiarygodnym. Dotyczy to zwłaszcza prób ataku na wyższych rangą członków organizacji lub na personel odpowiedzialny za wrażliwy obszar. W takim przypadku atakujący „odrabia pracę domową” – posługuje się poprawnymi danymi ofiary, takimi jak imię oraz nazwisko, stanowisko, adres e-mail itd.

  • Organizacje powinny zagwarantować to, by pracownicy odpowiedzialni za wrażliwe obszary byli świadomi ryzyka ukierunkowanych ataków phishingowych i zwracali uwagę na wszelką korespondencję elektroniczną, która nie jest spodziewana.

Manipulacja linkami – phishing często opiera się na triku technicznym polegającym na tym, że link internetowy wygląda tak, jakby pochodził z zaufanego źródła. Oszuści mogą wykorzystywać błędne adresy URL lub subdomeny wyglądające na poprawne, aby nakłonić użytkowników do kliknięcia w link. Na przykład adres URL www.0do24.pl może zostać wykorzystany do wprowadzenia w błąd użytkowników, którzy myślą, że kliknęli w link www.odo24.pl. Oszuści mogą wykorzystać rozbudowaną konstrukcję linku URL, np. www.odo24.rodo.pl., w celu przekonania użytkowników, że link kieruje do bezpiecznych informacji w witrynie www.odo24.pl, podczas gdy w rzeczywistości jest to link do witryny w domenie rodo.pl, a więc do witryny internetowej, która może być fałszywą stroną utworzoną przez oszusta.

Funkcja IOD - to się dobrze przekazuje

Niekiedy wyświetlany tekst linku wygląda na prawidłowy adres URL, ale po kliknięciu prowadzi do zupełnie innej strony, np. http://www.odo24.pl faktycznie kieruje na www.ukradnetwojedane.pl. Zazwyczaj można sprawdzić, dokąd link rzeczywiście prowadzi, najeżdżając na niego kursorem, ale należy pamiętać, że nie jest to zawsze możliwe (np. w przypadku większości aplikacji mobilnych).

  • Organizacje powinny zagwarantować to, by pracownicy byli świadomi ryzyka wynikającego z klikania w linki prowadzące do zewnętrznych stron internetowych, zwłaszcza w przypadku korzystania z urządzeń mobilnych.
  • Organizacje powinny rozważyć wdrożenie technicznych środków bezpieczeństwa, które mogą pomóc w wykrywaniu prób manipulacji linkami i ochronie przed takimi próbami.

Ataki socjotechniczne mogą przybierać różne formy, ale zazwyczaj wykorzystują subtelne techniki psychologiczne mające na celu nakłonienie użytkowników do określonego działania. Użytkownicy mogą być zachęcani do otwarcia linku lub załącznika – z uwagi na względy zawodowe, techniczne lub społeczne.

Dla przykładu, może to być e-mail skierowany do firmowej skrzynki odbiorczej, oznaczony słowami „Ważne!” lub „PILNE”, z tytułem i treścią, które nakłaniają personel do niezwłocznego otwarcia załącznika lub kliknięcia w link. Inny przykład: wyskakujące fałszywe okienko bezpieczeństwa (pop-up) może zawierać treść, która ma na celu przestraszenie użytkownika i nakłonienie go do kliknięcia w link z uwagi na rzekome zainfekowanie urządzenia złośliwym oprogramowaniem bądź potrzebę zaktualizowania oprogramowania. Kolejny przykład: atrakcyjna reklama lub e-mail, który zachęca do kliknięcia w link w celu przeczytania najnowszej plotki dotyczącej miejsca pracy lub innej sensacyjnej wiadomości.

  • Organizacje powinny przypominać pracownikom o zagrożeniach związanych z komunikacją elektroniczną, nawet jeśli treść odbieranych wiadomości zawiera informacje sugerujące ich pilnych charakter.
  • W niektórych przypadkach organizacje powinny rozważyć wdrożenie środków technicznych i organizacyjnych, które określają, jakiego rodzaju linki bądź załączniki mogą być otwierane przez pracowników.

Phishing i inne ataki socjotechniczne mogą być bardzo przekonujące i stwarzać realne ryzyko dla organizacji, zwłaszcza zatrudniających wielu pracowników i/lub posiadających duże natężenie komunikacji elektronicznej. Ważne jest, aby w ramach ogólnej polityki bezpieczeństwa danych organizacje rozważyły, czy są podatne na takie ataki i jakie odpowiednie środki techniczne lub organizacyjne mogą podjąć w celu zmniejszenia tych podatności.

Sposoby ograniczania ryzyka ataków

Jest wiele kroków, które mogą zostać poczynione w celu ochrony przed zagrożeniami bezpieczeństwa danych takimi jak phishing czy inne ataki socjotechniczne. Można tu wymienić m.in. przeprowadzanie regularnych i szczegółowych analiz ryzyka, przeglądy komunikacji wewnętrznej i polityk IT, wdrażanie fizycznych i technicznych środków bezpieczeństwa oraz szkolenie personelu.

Organizacje powinny uwzględnić najnowszy stan wiedzy w zakresie środków technicznych i organizacyjnych oraz koszty i proporcjonalność ich wdrożenia. Podejmując decyzję o wdrożeniu określonych środków, należy brać pod uwagę nie tylko najlepszą i najbardziej adekwatną technologię, lecz także wielkość i rodzaj organizacji, jak również liczbę i rodzaj przechowywanych lub w inny sposób przetwarzanych danych osobowych.

Migracje, chmury, systemy.
RODO w IT.

Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
SPRAWDŹ TERMINY
Organizacje powinny pamiętać także o obowiązkach realizowanych w ich imieniu przez procesorów, które dotyczą zapewnienia bezpieczeństwa i integralności przetwarzania danych. Należy przy tym zwrócić uwagę na to, czy umowy powierzenia przetwarzania w wystarczającym stopniu określają wymagania dotyczące bezpieczeństwa i integralności przetwarzania, a także czy precyzują, co należy zrobić w przypadku stwierdzenia incydentu bezpieczeństwa bądź naruszenia ochrony danych osobowych.

Usługi, z których korzystają organizacje, takie jak poczta e-mail w chmurze, oferują wiele korzyści. Jednocześnie mogą być źródłem luk (podatności) w zabezpieczeniach technicznych, które muszą być wykryte. Brak wdrożenia odpowiednich środków monitorowania zgodności i bezpieczeństwa może zwiększyć ryzyko naruszenia ochrony danych osobowych poprzez phishing lub inne ataki socjotechniczne. Organizacje powinny wdrożyć odpowiednie środki zaradcze, które chronią przed zagrożeniami nie tylko ogólnymi, lecz także specyficznymi dla oprogramowania i usług, z których korzysta organizacja, takimi jak np. nieupoważniony dostęp do danych osobowych, przejęcie konta, kradzież tożsamości, oszustwo cybernetyczne lub włamanie.

Oparte na chmurze oprogramowanie grupowe (groupware) wspiera współpracę i organizację działania zespołu pracowników. Usługi te obejmują dostęp do poczty e-mail i innych profesjonalnych funkcji (np. Microsoft Office 365 i Google G Suite), a także umożliwiają skonfigurowanie zaawansowanych ustawień i rozwiązań, które mogą pomóc organizacjom w zabezpieczeniu i zwalczaniu zidentyfikowanych zagrożeń. Dostawcy poczty e-mail w większości przypadków zapewniają również wskazówki dotyczące najlepszych praktyk, które pomagają organizacjom w zabezpieczeniu usługi poczty e-mail.

Oprócz odpowiednich technicznych środków bezpieczeństwa jednym z najlepszych sposobów zmniejszenia podatności organizacji na phishing lub inne ataki socjotechniczne jest oczywiście szkolenie personelu. Odpowiednie szkolenie powinno zapewnić to, że personel, w tym pracownicy, którzy przetwarzają dane osobowe, będzie świadomy ryzyka oraz będzie znał sposoby jego ograniczania, np. przez rezygnację z otwarcia wiadomości e-mail od nieznanych nadawców bądź powstrzymanie się od klikania w podejrzane linki.

Wielopłaszczyznowe podejście do budowy systemu bezpieczeństwa ogranicza ryzyko wystąpienia nieskuteczności pojedynczego środka, która mogłaby skutkować wystąpieniem incydentu bezpieczeństwa.

Rekomendacje dotyczące zwiększania zabezpieczeń przed atakami

Poniższe rekomendacje mogą pomóc organizacjom w ustaleniu, jakie środki techniczne i organizacyjne należy wdrożyć, aby zapewnić bezpieczeństwo i integralność przetwarzanych danych osobowych oraz chronić się przed phishingiem i innymi atakami socjotechnicznymi. Nie wszystkie zalecenia są odpowiednie dla każdego podmiotu, dlatego należy je rozpatrywać w kontekście pracy konkretnej organizacji i rodzaju przetwarzanych danych, by następnie wdrożyć te, które są najbardziej adekwatne.

  • Dokonaj przeglądu domyślnych ustawień zabezpieczeń, w tym haseł i danych uwierzytelniających, otrzymanych od dostawców usługi poczty e-mail i oprogramowania do pracy grupowej.
  • Zastosuj uwierzytelnianie wieloskładnikowe w przypadku: kont administratorów, kont internetowych lub zdalnych użytkowników poczty e-mail, baz danych lub wewnętrznych systemów, a także konta dostępu partnera, który świadczy usługi zarządzane (managed services).
  • Wdrażaj reguły filtrowania i identyfikowania podejrzanych i/lub niepożądanych (spam) wiadomości e-mail.
  • Stwórz reguły dotyczące obsługi wiadomości i załączników na bazie takich parametrów jak typ pliku lub rozmiar wiadomości.
  • Włącz rejestrowanie inspekcji, aby upewnić się, że dostępny jest dziennik inspekcji do śledzenia działań użytkownika w systemie poczty e-mail.
  • Upewnij się, że użytkownicy mają uprawnienia serwera poczty e-mail adekwatne do stanowiska pracy – w odniesieniu do praw systemowych, zarządzania lub konfiguracji.
  • Wyłącz zdalny lub internetowy dostęp do poczty e-mail, baz danych lub innych systemów dla personelu, który pracuje głównie w biurze organizacji.
  • Zastosuj środki uniemożliwiające użytkownikom automatyczne przekazywanie wiadomości e-mail na zewnętrzne adresy e-mail.
  • Regularnie analizuj reguły przekazywania wiadomości (ang. forwarding rules) włączone w oprogramowaniu do pracy grupowej na usłudze poczty e-mail, aby upewnić się, że nie ma tam zbędnych lub niezatwierdzonych reguł.
  • Skonfiguruj zasady, aby wyświetlić ostrzeżenie (w formie wskazówki wizualnej) w przypadku wysyłania wiadomości e-mail do zewnętrznego kontaktu lub innej organizacji (zob. wskazówki dotyczące bezpieczeństwa usługi Office 365).
  • Skonfiguruj zasady, aby otrzymywać alerty o nietypowym zachowaniu podczas logowania, takim jak nieregularne informacje o geolokalizacji.

Akredytowany kurs IOd potwierdzi Twoje wysokie kompetencje

  • Skonfiguruj politykę zapobiegania utracie danych, aby automatycznie identyfikować i monitorować wszelkie poufne informacje (np. dane bankowe) wysyłane na adresy zewnętrzne.
  • Regularnie przeglądaj zasady dostępu do sieci (filtrowanie), aby uniemożliwić dostęp do złośliwych (phishing) lub nieodpowiednich witryn internetowych.
  • Zapewnij wdrożenie procesu kontroli zatwierdzania i zabezpieczania wszystkich urządzeń, które uzyskują dostęp do poczty e-mail.
  • Stwórz odpowiednie zasady dostępu do poczty e-mail dla obszarów takich jak Bring Your Own Device (BYOD).
  • Zarządzaj urządzeniami mobilnymi za pomocą odpowiedniego narzędzia (w celu zlokalizowania, zablokowania i wyczyszczenia urządzenia mobilnego w razie jego zgubienia).
  • Przechowuj i regularnie przeglądaj dokumenty z inwentaryzacji urządzeń mobilnych zatwierdzonych do dostępu do poczty e-mail i usuwaj wszystkie urządzenia, które nie są już potrzebne.
  • Opracuj plan reagowania na incydenty, aby stworzyć ramy zarządzania wszelkimi incydentami bezpieczeństwa.
  • Wymagaj, aby wiadomości e-mail były przesyłane za pośrednictwem bezpiecznego (szyfrowanego) połączenia, takiego jak TLS 1.2.
  • Dokonaj przeglądu zasad archiwizacji poczty e-mail, aby zmniejszyć liczbę informacji przechowywanych w skrzynkach pocztowych.
  • Implementuj szyfrowanie danych przechowywanych (ang. encryption at rest) dla skrzynek pocztowych.
  • Udostępnij personelowi informacje o znaczeniu zachowania czujności na zmniejszenie ryzyka prób ataków socjotechnicznych za pośrednictwem poczty elektronicznej lub innych źródeł. Uwzględnij te informacje w ramach całości procesu edukacji na temat bezpieczeństwa cybernetycznego i powiązanych zagrożeń.
  • Zapewnij możliwość kontaktu pracowników z konkretną osobą, np. kierownikiem czy wewnętrznym lub zewnętrznym ekspertem IT, w przypadku stwierdzenia zagrożeń bezpieczeństwa danych, takich jak podejrzana komunikacja, budzący wątpliwości link, załącznik lub pop-up.
  • Rozważ wdrożenie zaawansowanych metod ochrony poczty e-mail, takich jak Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain Based Message Authentication, Reporting and Conformance (DMARC).

Zgodnie z RODO organizacje są zobowiązane do zgłoszenia do organu nadzorczego każdego naruszenia ochrony danych osobowych stanowiącego zagrożenie dla praw i wolności osób, których dane dotyczą. Obowiązek ten musi być zrealizowany w terminie 72 godzin od stwierdzenia naruszenia. Jeżeli naruszenie może skutkować wysokim ryzykiem dla dotkniętych nim osób, organizacje muszą również bez zbędnej zwłoki zawiadomić te osoby.

Chcesz zwiększyć poziom zabezpieczeń przed cyberatakami w Twojej firmie? Skontaktuj się z Cezarym Lutyńskim z naszego zespołu ds. ochrony danych, który podpowie Ci, jak to zrobić mądrze i efektywnie.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Które z poniższych działań jest jednym z najlepszych sposobów zmniejszenia podatności organizacji na phishing lub inne ataki socjotechniczne?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

„Nie potrzebujemy dokumentacji IT, wiemy jak mamy działać”

Jesteś tego pewien?

Zamów
audyt IT

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>