Jakie są rodzaje phishingu celującego w firmę?

Phishing to najczęściej stosowana przez hakerów metoda kradzieży danych firmowych. Jest stosunkowo łatwa i tania w wykonaniu, a w dodatku charakteryzuje się wysoką skutecznością. Zgodnie z danymi CERT Polska phishing stanowił aż 77% incydentów zaobserwowanych w 2021 roku. Cyberprzestępcy lubią przekształcać i udoskonalać stosowane metody, żeby jeszcze skuteczniej omamić odbiorcę. Dlatego nie działają w jeden sposób, ale stosują różne rodzaje phishingu. Na czym one właściwie polegają i dlaczego stanowią zagrożenie dla firmy? Sprawdź.

Phishing e-mail

To najpopularniejszy i najstarszy rodzaj phishingu. Cyberprzestępca sprytnie preparuje wiadomość e-mail, podszywając się pod godne zaufania źródło, na przykład bank czy firmę kurierską. Następnie śle tę wiadomość do setek odbiorców. Wystarczy tylko jeden pracownik, który po otworzeniu maila kliknie w podejrzany link albo pobierze załącznik ze złośliwym oprogramowaniem, by doszło do wycieku danych całej firmy. A to początek wielu problemów, które w drastycznych wypadkach skutkują nawet bankructwem.

Taki phishing możemy porównać do wędkowania. Haker zarzuca wędkę w postaci wiadomości e-mail i czeka w nadziei, że coś złowi. Czasem nie wyciągnie z wody nic, czasem są to drobne rybki, a czasem – naprawdę dorodne okazy w postaci dużych firm i korporacji.

Spear phishing

Jak sama nazwa wskazuje, w tym przypadku cyberprzestępca nie zarzuca wędki, próbując upolować cokolwiek. Zamiast tego posługuje się włócznią, celując w konkretną ofiarę.

Wybiera osobę, organizację lub grupę z danej organizacji (na przykład administratorów IT firmy) i to na niej skupia swoje działania. Robi staranny research, dowiadując się przydatnych rzeczy o życiu (w tym zawodowym) wybranej ofiary. Na tej podstawie jest w stanie spreparować spersonalizowaną, a tym samym dużo bardziej wiarygodną wiadomość, niż ma to miejsce w przypadku phishing e-mail. Odbiorcy często wydaje się ona autentyczna, więc łatwo daje się nabrać, dzieląc się poufnymi danymi.

Whaling phishing

Stosując whaling phishing, haker ignoruje mniejsze lub większe rybki, decydując się zapolować na wieloryba, czyli na osobę decyzyjną wyższego szczebla – na przykład dyrektora danej firmy. To skomplikowany i trudny do przeprowadzenia atak, ale przynosi atakującemu niebagatelne korzyści. Wszak osoba stojąca na czele organizacji zazwyczaj ma dostęp do wszystkich danych, jakimi ta organizacja operuje; także poufnych informacji, których nie zna prawie nikt.

Stosując whaling phishing, przestępca lubi się podszywać pod pracownika firmy, którą atakuje. Na przykład udaje menedżera i prosi o podanie danych uwierzytelniających lub przelew środków. Umiejętnie kopiuje stopkę maila firmowego, żeby zmylić członka wyższej kadry kierowniczej.

Clone phishing

W tej metodzie oszustwa przestępca przechwytuje wędrującą do adresata prawdziwą wiadomość e-mail, zawierającą link lub załącznik. Następnie, stosując zdobytego maila jako wzór, tworzy fałszywą wiadomość. Do spreparowanych treści dodaje załącznik lub link ze złośliwym oprogramowaniem, po czym wysyła to z adresu do złudzenia przypominającego oryginał. Odbiorca ma niewiele powodów do podejrzeń, gdyż forma i treść maila są takie, jakie być powinny.

Malvertising (malvertisement)

W tej formie phishingu cyberprzestępcy płacą prawdziwym reklamodawcom za tworzenie reklam online. Jeżeli taka reklama zainteresuje odbiorcę, klika on w dołączony do niej link. W ten sposób trafia na złośliwą stronę.

Skutkuje to zainfekowaniem komputera za pomocą złośliwego oprogramowania, na przykład trojana bankowego czy oprogramowania wymuszającego okup. Jeśli pracownik kliknie w reklamę, korzystając z laptopa służbowego, hakerzy zyskują łatwy dostęp do danych firmy.

Voice phishing (vishing)

Vishing w celu wyłudzenia wartościowych danych firmowych wykorzystuje połączenia telefoniczne. Oszust dzwoni do ofiary, podszywając się pod godną zaufania instytucję, bardzo często pracownika banku. Informuje, że nastąpiła próba włamania na konto firmowe, a więc konieczna jest natychmiastowa weryfikacja zabezpieczeń; albo że bank musi wykonać audyt jakości usług, co wymaga szybkiego wykonania przelewu testowego.

Dzwoniący wzbudza zaufanie swoją uprzejmością i kompetencją. Odbiorca, znajdując się pod presją czasu i czując lęk z powodu zagrożenia, często nie analizuje sytuacji i nie weryfikuje prawdziwości rozmowy. Zamiast tego posłusznie podaje dane dostępowe, o które prosi “pracownik banku”.

Smishing

Ten typ ataku bardzo przypomina phishing e-mail – z tą różnicą, że odbywa się za pośrednictwem SMS-ów. Haker, podszywając się pod sprawdzonego odbiorcę, rozsyła do ofiar wiadomości z informacją zachęcającą do kliknięcia w link lub pobrania załącznika. Może na przykład udawać firmę kurierską informującą o konieczności dopłaty kilku złotych do paczki albo bank proszący o weryfikację konta.

Phishing wyszukiwarkowy (zatrucie SEO)

Stosując ten typ phishingu, cyberprzestępcy tworzą kopię oryginalnej strony internetowej,  najczęściej banku. Następnie dążą do zdobycia wysokiej pozycji w wynikach wyszukiwarki internetowej. Ofiara wyszukuje stronę swojego banku, po czym klika w wynik widoczny na górze i loguje się na konto. Niestety nie jest to oryginalna witryna, tylko ta podsunięta przez hakerów. W taki dosyć łatwy sposób zdobywają oni dane dostępowe.

Jak upewnić się, czy firma jest bezpieczna w cyberprzestrzeni? Przeprowadź bezpłatny audyt cyberbezpieczeństwa, który odkryje luki w zabezpieczeniach. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

Do usłyszenia!

Zespół Sagenso