Quiz Phishing od Google + Jak atak działa od kuchni

Phishing Quiz

Wujek Google jak zwykle pomocny. Tym razem postara się nam pomóc w zabezpieczeniu naszych danych przed phishingiem. Do tego celu został stworzony specjalny quiz, dzięki któremu będzie można ocenić, czy jesteśmy na tyle ostrożni, aby nie dać się złapać na haczyk. Zacznijmy od początku, czyli czym jest phishing? Jest to metoda oparta na socjotechnice, która polega na podszycie się pod osobę, instytucję, serwis społecznościowy, serwis z grami itp celem wyłudzenia np danych do logowania, lub nakłonienie do określonego zachowania.  Jest wiele rodzajów phishingu.

Phishing spersonalizowany (spear phishing) – wymierzony pod konkretną osobę, bądź firmę. Atakujący najpierw zbiera informacje na temat ofiary, które pomogą uwiarygodnić treść wiadomości. Niestety przez brak świadomości zagrożenia pracowników większości firm, oraz osób prywatnych ta metoda jest bardzo skuteczna.

Clone Phishing – Atakujący posługuje się oryginalną stroną, szablonem mailowym itp, aby była identyczna jak oryginalna. Zazwyczaj na takiej witrynie są załączniki ze złośliwym oprogramowaniem, bądź pola do logowania. Nieświadoma ofiara wpisuje swoje dane, które jak na tacy ma atakujący. 

Przygotowałem materiał wideo, w jaki sposób działa oszust, od strony technicznej. 
Tutaj mógłby być taki scenariusz:

Poprosiłem znajomego, aby mi pomógł w prowadzeniu strony. Nadałem mu uprawnienia administratora, aby mógł również modyfikować wygląd strony. 
Pewnego dnia otrzymał wiadomość email, wyglądającą jakby była ode mnie:
„Słuchaj zmieniłem link do logowania, teraz to : jakastamstrona.sytes.net. Sprawdź czy działa i daj mi znać. 

Jeżeli email jest na tyle przekonywujący, że znajomy uwierzyłby w jego autentyczność, wszystko wyglądałoby tak:

  Teraz trochę info jak nie dać się nabrać oszustowi.

  • W większości przypadków serwisy z grami, serwisy społecznościowe, banki itp nie proszą o odwiedzenie konkretnej strony, z prośbą o zalogowanie, lub podanie danych do konta. Administrator ma do tego dostęp bez konieczności logowania się na konto użytkownika. Jeżeli mamy jakiekolwiek wątpliwości co do autentyczności wiadomości, należy skontaktować się z administracją.
  • Nie podawać w wiadomościach żadnych wrażliwych danych, takich jak nazwa użytkownika, hasło, numer klienta itp. 
  • Regularnie uaktualniać przeglądarkę, oraz klienta email.
  • Jeżeli mamy wątpliwości co do nadawcy, nie należy otwierać załączników np PDF, mogą one zawierać złośliwe oprogramowanie. 
  • Stosować dwuskładnikowe uwierzytelnienie,  dzięki temu w razie wpadki będzie można odzyskać konto.

To tylko podstawowe sposoby, aby uniknąć tego rodzaju przekrętu. Oszuści co chwilę wymyślają nowe, jednak te najprostsze działają najlepiej. Dowodem na to może być ostatnia fala skradzionych kont na Steam.  Metoda bardzo prosta.
Wysłana wiadomość z linkiem, oraz z informacją, że jeżeli się na niego wejdzie i zaloguje wpisując odpowiedni kod otrzyma się 1 darmową skrzynkę. 
Po wejściu na witrynę, aby odebrać skrzynkę należy zalogować się swoim kontem Steam. Oczywiście strona jest podstawiona, żadnej skrzynki nikt nie dostanie, a jedynie straci konto warte nie raz kilkaset złotych. Później spam idzie dalej, do znajomych osoby, która straciła konto.
Steam Phishing

Powyższy zrzut ekranu dostałem od kolegi, który okazał się na tyle przytomny, aby nie uwierzyć w to oszustwo. Jednak jego znajomi na Steam dali złapać się na haczyk.

Sprawdźcie sami, czy jesteście na tyle uważni, aby nie dać się złowić, rozwiązując QUIZ od Google. https://phishingquiz.withgoogle.com

 

Udostępnij:

1 Reply to “Quiz Phishing od Google + Jak atak działa od kuchni”

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *