Próby oszustw w e-mailach oraz metody zapobieganie im
Typy oszustw
Phishing to jeden z najpopularniejszych ataków opartych o wiadomości e-mail, ale także coraz częściej
o wiadomości na portalach społecznościowych. Przestępcy internetowi próbują Cię oszukać i
spowodować, abyś podjął działanie zgodnie z ich zamierzeniami. Atakujący bardzo skrupulatnie
przygotowują treść takich wiadomości. Mogą udać, że mail pochodzi od kogoś kogo znasz, jak na
przykład od kolegi lub firmy, której ufasz. Potrafią nawet podrobić logo banku lub wysłać wiadomość z
podobnego adresu. Cyberprzestępcy wysyłają takie wiadomości do tysięcy, a nawet milionów
odbiorców na całym świecie. Doskonale wiedzą, że im więcej takich wiadomości roześlą, tym więcej
osób będą mogli oszukać. Ten sposób jest podobny do sposobu znanego z łowienia ryb: im większą
masz sieć, tym więcej złowisz ryb. Ataki typu phishing mają najczęściej następujące cel:
Wyłudzanie informacji: Celem atakującego jest zmanipulowanie Cię tak, abyś kliknął na link, który
zabierze Cię na stronę pytającą o login i hasło, Twój ulubiony kolor czy nazwisko panieńskie matki.
Takie strony bliźniaczo przypominają na przykład znane strony banku, jednak są zaprojektowane tylko
po to, żeby wykraść dane potrzebne .do uzyskania dostępu do Twojego konta bankowego czy numer
karty kredytowej.
Przejęcie kontroli nad komputerem poprzez złośliwy link: Tym razem celem atakującego jest
zainfekowanie Twojego komputera. Aby to osiągnąć wysyłają do Ciebie wiadomość z linkiem. Po
kliknięciu na taki link zostajesz przekierowany na stronę która w tle przeprowadza atak na Twoją
przeglądarkę internetową i kiedy atak ten się powiedzie, przestępca uzyskuje kontrolę na Twoim
komputerem.
Przejęcie kontroli nad komputerem poprzez złośliwe załączniki: Złośliwe wiadomości mogą zawierać
zainfekowane załączniki, takie jak pliki PDF lub dokumenty ,Microsoft Office. Jeśli otworzysz taki
załącznik atakuje on Twój komputer i jeśli atak się powiedzie .przestępca uzyskuje nad nim kontrolę.
Scam: Niektóre maile to po prostu próby oszustwa i kradzieży. Klasycznym przykładem są wiadomości
informujące o wygranej w loterii, albo że jakaś ważna osobistość potrzebuje przelać miliony dolarów
do Twojego kraju i chciałaby Ci zapłacić za pomoc w tym transferze. Następnie zostajesz
poinformowany, że musisz zapłacić .opłatę manipulacyjną zanim otrzymasz pieniądze. Kiedy zapłacisz,
już nigdy się nie odezwie.
Jak się chronić?
Zazwyczaj otwieranie wiadomości e-mail jest bezpieczne. W większości przypadków, aby atak się
powiódł, to Ty musisz zrobić coś po przeczytaniu takiego e-maila. Poniżej znajduje się kilka wskazówek,
jak rozpoznać, że otrzymana wiadomość to atak:
· Bądź podejrzliwy jeśli jakikolwiek e-mail wymaga natychmiastowego działania lub powoduje
wrażenie pilności. To znany trik, aby zmusić ludzi do szybkiego działania.
· Zachowaj ostrożność jeśli wiadomość zawiera załącznik, szczególnie jeśli nie spodziewałeś się
takiej wiadomości. Przykładami są: lista płac, nieplanowane zwolnienia albo mail od urzędu
skarbowego.
· Bądź podejrzliwy w stosunku do e-maili adresowanych podobnie jak „Dear Customer” / ”Drogi
Kliencie” lub w inny bardzo ogólny sposób.
· E-mail wymaga podania szczególnie ważnych informacji jak numeru karty kredytowej czy
haseł.
· Nadawca twierdzi, że jest z dużej organizacji, ale mail zawiera dużo błędów i jest wysłany z
adresu @gmail.com, @yahoo.com, lub @hotmail.com
· Jeśli link wydaje Ci się podejrzany, najedź na niego myszką (nie klikając). Wówczas ukaże się
prawdziwy adres, pod który zaprowadziłby Cię ten odnośnik jeśli byś na niego kliknął. Link,
który widzisz w wiadomości może być .zupełnie inny niż miejsce, do którego rzeczywiście
prowadzi.
· Dostajesz wiadomość od znajomego, ale jej ton lub zastosowane zwroty po prostu nie pasują
do tej osoby. Jeśli masz podejrzenia, spytaj nadawcy czy się z Tobą kontaktował.
Cyberprzestępcy mogą bardzo łatwo podrobić .e-mail od znajomego bądź kolegi z pracy.
Aby bezpiecznie korzystać z poczty elektronicznej, należy po prostu użyć zdrowego rozsądku. Jeśli coś
wydaje się .podejrzane lub zbyt obiecujące, to zapewne jest to atak. Dla zachowania bezpieczeństwa
skasuj taką wiadomość.
Informacja jest częścią artykułu „Phishing i oszustwa w e-mailach” firmy CERT.PL
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201512_po.pdf
