Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Ataki „na człowieka”, czyli phishing i ransomware w praktyce

21-05-2019 Autor: Jan Anisimowicz
Fałszywa strona do...

W 2019 r. na całym świecie dziennie wysyłanych będzie (wartość średnia) prawie 300 mld e-maili. Na podstawie zbieranych statystyk spam e-mailowy stanowi około 54% podanej liczby. Techniki fałszowania e-maili stale się rozwijają i dostawcy filtrów antyspamowych nie nadążają z filtrowaniem niechcianych wiadomości. Jak je rozpoznać, aby móc się przed nimi ustrzec?

 

Fałszywe e-maile, SMS-y czy też strony bankowe stają się obecnie coraz większym problemem. Bardzo często spreparowane treści są przygotowane przez hakerów w sposób wręcz perfekcyjny. Fałszywe informacje trudno odróżnić od stron i informacji prawdziwych. Ich celem jest zmylenie naszej czujności i skłonienie nas do nieświadomego zainfekowania swojego komputera czy smartfona. Dzięki temu cyberprzestępcy mogą otrzymać dostęp do naszych kont bankowych, kart kredytowych, przejąć kontrolę nad komputerem lub zmusić do zapłacenia okupu wymuszonego zaszyfrowaniem danych na naszym komputerze (patrz: przykład).

Ataki socjotechniczne

Przestępca musi trafić na podatnego na jego działanie człowieka. Aktualnie najczęściej wykorzystywane źródła to kampanie e-mailowe, media społecznościowe oraz komunikatory internetowe. Dodatkowo przestępcy w celu uwiarygodnienia ataku często wykorzystują powszechnie znane opinii publicznej wydarzenia. Spójrzmy na przykłady z minionego roku, które zostały wykorzystane przez przestępców:

  • moment rozpoczęcia stosowania przepisów rodo (25 maja 2018 r.) – na całym świecie ten wątek komunikacji był szczególnie często eksploatowany przez przestępców korzystających z natłoku informacyjnego w tym obszarze, co ułatwiało ukrycie przestępczych komunikatów;
  • kampania informacyjna jednego z banków dotycząca aktualizacji regulaminu;
  • wysyłanie fałszywych faktur zawierających informację o konieczności dopłaty za energię elektryczną.

Fałszywa komunikacja jest bardzo dobrze przygotowana i z pozoru wygląda na autentyczną. Przestępcy zdają sobie sprawę, że pomimo takich zabiegów większość wysłanych e-maili zostanie albo automatycznie zablokowana przez narzędzia antyspamowe, albo użytkownicy zorientują się, iż coś jest nie tak. W takim procederze liczby mają jednak znaczenie.

Z 300 mld dziennie wysyłanych e-maili aż 54%, czyli ok. 160 mld to spam. W tej kategorii zdecydowana większość to niechciana przez nas komunikacja marketingowa, która jest niegroźna (pomińmy wątek realizacji zakupów, których nie planowaliśmy). Jednakże przyjmując jedynie poziom 5% e-maili jako zawierających szkodliwe dla nas informacje, oznacza to w skali globalnej w przybliżeniu 15 mld e-maili. Skuteczność ataków wyrażona procentowo także jest na szczęście niska. Według różnych źródeł szacowanie efektywności ataku to jeden skuteczny atak na kilkanaście milionów wysłanych e-maili z fałszywą komunikacją. Przyjmijmy zatem, że skuteczność takich ataków to 1 do 13 mln (czyli szansa porównywalna z wygraną w totolotka). Patrząc na to z perspektywy danej osoby, jeżeli nigdy nie wygrała w totolotka (pomimo wielokrotnych prób), to być może nie ma się czego obawiać. Jednak średnio dziennie ok. 1100 osób zostaje w jakiś sposób oszukanych (czyli umownie wygrywa w fałszywego totolotka).

Trzeba w tym miejscu zaznaczyć, że w podanym przykładzie była mowa o kategorii ataków, które nie są spersonalizowane lub przygotowane dla grupy osób szczególnie podatnych na określoną zawartość informacyjną. Skuteczność ataku dramatycznie rośnie w przypadku działań bardziej spersonalizowanych (np. dotyczących klientów określonego banku, danego operatora telefonicznego czy też korzystających z usług danej sieci kablowej). W takich wypadkach prawdopodobieństwo sukcesu dla hakera rośnie o kilka rzędów wielkości.

Kevin Mitnick, jeden z najbardziej znanych komputerowych włamywaczy i hakerów, wielokrotnie w swoich wypowiedziach dowodził, że najsłabszym elementem zabezpieczeń systemu komputerowego jest zawsze człowiek. W swojej książce pt. „Sztuka podstępu” (tytuł oryginału: The Art of Deception: Controling the Human Element of Security), którą wydał po wyjściu z więzienia, wielokrotnie udowadniał następujące stwierdzenie: łamałem ludzi, nie hasła. Aktualnie cyberprzestępcy intensyfikują działania właśnie w tym kierunku – starają się korzystać z dostępnych w dark webie baz danych najpopularniejszych haseł, skłaniając przy okazji potencjalne ofiary do niewłaściwego działania. Spójrzmy, jak wygląda lista najpopularniejszych haseł w Polsce za 2018 r. (patrz: schemat).

 

[...]

 

Autor jest ekspertem GRC w C&F Sp. z o.o., prelegentem na polskich i zagranicznych konferencjach z obszaru GRC, BI, big data, rodo. Propagatorem podejścia RegTech i FinTech.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.