Phishing
rodzaj cyberzagrożenia polegającego na pozyskiwaniu danych osobowych lub prywatnych informacji (np. numeru PESEL, loginu, hasła dostępu, numeru karty kredytowej, numeru konta bankowego) poprzez podszywanie się pod inną osobę lub instytucję. Termin ten jest czasami tłumaczony z języka angielskiego jako „łowienie haseł” (ang. password harvesting fishing). Najczęściej spotykaną formą phishingu są wiadomości e-mail, które zaprojektowano w taki sposób, aby przypominały wiadomości od zaufanego nadawcy (np. z banku), w których nakłania się użytkownika do podania poufnych danych.
Zanim zjawisko phishingu zostało nazwane, opis techniki znalazł się w referacie przedstawionym w 1987 r. na International HP Users Group. Termin pojawił się w latach 90. XX w. i po raz pierwszy został użyty przez znanego hakera K.C. Smitha. Za pierwszy zidentyfikowany phishing uznaje się atak na firmę America Online (AOL), która w latach 90. ubiegłego wieku była wiodącym operatorem internetu. To właśnie wtedy oszuści wysyłali wiadomości do użytkowników, w których podając się za pracowników AOL, domagali się weryfikacji kont i przekazania informacji rozliczeniowych. Oszuści szybko zyskali naśladowców. W kolejnych latach działalność phishingowa przeniosła się do innych sektorów prywatnych i publicznych, a także znacznie się rozrosła – stała się przedmiotem zainteresowania przestępców, którzy niezgodną z prawem działalność ze świata fizycznego przenieśli do cyberprzestrzeni. „Istotą cyberprzestępczości jest socjotechnika – sztuka przekonania kogoś, by uczynił coś, co obiektywnie rzecz biorąc, nie leży w jego interesie” – pisał M. Glenny, dziennikarz i specjalista ds. cyberbezpieczeństwa. Socjotechnikę można podzielić na masową oraz tę, która wymierzona jest w konkretny podmiot. Pierwsza z wymienionych obejmuje ataki, których odbiorcami, w tym samym czasie, są duże grupy podmiotów. W celu odniesienia socjotechniki do ataków w cyberprzestrzeni można dokonać zawężenia terminu do „socjoinformatyki”. Jej przykładem jest właśnie phishing.
Skuteczność ataku phishingowego opiera się na inżynierii społecznej. Wiadomość phishingowa jest skonstruowana w taki sposób, aby ofiara nie była świadoma manipulacji i podała poufne dane dobrowolnie. Wiadomość ta zazwyczaj wzbudza emocje, zaciekawienie lub zmusza do natychmiastowego działania. Najczęstszą metodą zdobywania haseł i kodów jest podszywanie się pod banki oraz inne instytucje, które budzą zaufanie u użytkownika bądź wydają mu się znajome. Ofiara przesyła dane bezpośrednio w odpowiedzi zwrotnej na otrzymaną wiadomość lub podaje dane podczas procesu logowania na fałszywej stronie internetowej, do której odnośnik znajduje się w wiadomości. W szerszym znaczeniu phishing może być rozumiany także jako działanie mające na celu doprowadzenie ofiary do zachowania się w sposób oczekiwany przez sprawcę i, oprócz podania swoich danych, do zainstalowania na urządzeniu (np. komputerze) złośliwego oprogramowania, które ma możliwość wykonywania zadań zdefiniowanych przez sprawcę (np. może działać jako keylogger, rozsyłać spam, dołączyć komputer użytkownika do sieci botnet itd.). Osobę, która przeprowadza atak phishingowy, nazywa się phisherem.
Ataki phishingowe mogą być skierowane do masowego odbiorcy, grupy osób (np. klientów konkretnej instytucji, pracowników danej firmy) lub konkretnej osoby. Jedną z odmian phishingu jest spearphishing, czyli ukierunkowanie działania na konkretną osobę lub instytucję. Działanie phishingowe z wykorzystaniem spersonalizowanej wiadomości jest z reguły bardziej skuteczne, ale wymaga większego zaangażowania sprawcy (m.in. zebrania informacji o ofierze i dostosowaniu komunikatu) przy przygotowywaniu wiadomości. Działanie spearphishingowe może być także skierowane do konkretnej grupy osób, np. pracujących na stanowiskach kierowniczych, członków zarządów, dyrektorów, w których posiadaniu są szczególnie cenne dla atakującego informacje. Tę odmianę ataku nazywa się whale phishing lub whaling. Jest to również typ ataku spersonalizowanego i wymaga znacznie większego przygotowania ze strony kreatora zagrożenia. Przykładem jednej z pierwszych i skutecznych kampanii whalingowych jest atak na grupę dyrektorów w Stanach Zjednoczonych w 2008 r.
Atak phishingowy zazwyczaj przebiega w następujących etapach:
- Phisher przesyła spreparowaną wiadomość do adresata. W wiadomości zawarto prośbę o weryfikację lub podanie danych.
- Użytkownik otwiera odnośnik do spreparowanej strony logowania.
- Użytkownik podaje swoje dane i loguje się do fałszywego systemu (np. bankowego).
- Dane gromadzone są w systemie kontrolowanym przez phishera.
- Phisher loguje się na autentycznej stronie (np. banku) z wykorzystaniem danych podanych przez ofiarę i dokonuje np. transakcji bankowej.
W wiadomościach phishingowych sprawca może się podszywać m.in. pod banki i instytucje finansowe, agencje rządowe, firmy oferujące oprogramowanie antywirusowe, portale aukcyjne i sklepy internetowe, portale społecznościowe, komunikatory internetowe itd. Wiadomości takie najczęściej informują o anulowaniu transakcji, zablokowaniu konta (np. ze względu na zapełnienie skrzynki odbiorczej) lub rzekomej próbie włamania się na konto. Od ofiary oczekuje się podania danych (np. hasła i loginu) w celu zapobieżenia dalszym naruszeniom lub uniknięcia zablokowania konta.
Ogólnie rzecz ujmujac, phisher próbuje nakłonić ofiarę do wykonania jednej z następujących czynności:
- ujawnienia wrażliwych informacji,
- pobrania złośliwego oprogramowania, które znajduje się zazwyczaj w załączniku do wiadomości.
Charakterystycznymi elementami, które mogą sugerować, że otrzymana wiadomość jest wiadomością phishingową, są:
- niski poziom poprawności językowej (błędy gramatyczne, stylistyczne, ortograficzne, literowe, brak polskich znaków, połączenie kilku języków, np. część słów w języku polskim, a część w języku angielskim, nieprawidłowe tłumaczenie);
- nieprawidłowy adres strony internetowej, do której odsyła wiadomość (np. adres zawiera błąd literowy, inną domenę, np. .com zamiast .pl);
- nieznany odbiorcy nadawca lub nieznany adres mailowy znanego nadawcy;
- nacechowanie emocjonalne komunikatu (np. „Uwaga! Ostatnie ostrzeżenie!”);
- brak adresacji personalnej, występowanie ogólnych zwrotów grzecznościowych (np. „Drogi Użytkowniku”);
- wygląd logo/logotypu instytucji/firmy odbiegający od znanego wcześniej.
Im bardziej zaawansowana wiadomość phishingowa, tym mniej takich charakterystycznych elementów będzie zawierać.
Przykład wiadomości phishingowej:
Według raportu Global Phishing Survey w 2016 r. odnotowano co najmniej 255 tys. unikalnych ataków phishingowych w skali światowej, zidentyfikowano także ponad 195 tys. domen phishingowych, z których tylko ok. 95 tys. z nich zostało zarejestrowanych przez phisherów, pozostałe domeny były domenami autentycznymi, które zostały zhakowane lub przejęte przez wykorzystanie ich podatności. W roku 2017 CERT otrzymał natomiast 772 387 zgłoszeń phishingu w polskich sieciach.
Firma Vado Secure, będąca światowym liderem w dziedzinie ochrony poczty elektronicznej, w 2018 r. przedstawiła ranking marek, które są najczęściej wykorzystywane przy próbach phishingu. Są to: Microsoft, Netflix, PayPal, Bank of America, Chase, DHL, Facebook, Docusign, LinkedIn, Dropbox itd.
Phishing jest działaniem przestępczym, jednak ze względu na specyfikę trudno jest go jednoznacznie przypisać do konkretnego przepisu karnego. Phishing w Polsce może być penalizowany m.in. z art. 190a § 2 Kodeksu karnego – podszywanie się pod inną osobę z wykorzystaniem jej danych osobowych w celu wyrządzenia szkody majątkowej lub osobistej podlega karze pozbawienia wolności do lat 3. W tabeli zoobrazowano liczbę postępowań wszczętych, przestępstw stwierdzonych i wykrytych z art. 190a (łącznie dla § 1–2) Kodeksu karnego w latach 2012–2017 w Polsce.
| Artykuł 190a Kodeksu karnego | |||
| Rok | Liczba postępowań wszczętych | Liczba przestępstw stwierdzonych | Przestępstwa wykryte |
| 2017 | 8078 | 4204 | 2853 |
| 2016 | 7536 | 3990 | 2582 |
| 2015 | 6703 | 3243 | 2075 |
| 2014 | 6209 | 3202 | 2266 |
| 2013 | 5327 | 2925 | 2104 |
| 2012 | 4455 | 2690 | 2020 |
Źródło: Policja, Statystyka. Uporczywe nękanie i wykorzystanie wizerunku (art. 190a), http://statystyka.policja.pl/st/kodeks-karny/przestepstwa-przeciwko-4/76586,Uporczywe-nekanie-i-wykorzystanie-wizerunku-art-190a.html [dostęp: 30.04.2019].
Jeśli pozyskanie danych osobowych na potrzeby ataku phishingowego wynikało z przestępstwa komputerowego, to wtedy penalizacja może nastąpić z art. 287 Kodeksu karnego. Od 2000 do 2016 r. w Polsce obserwujemy wzrost liczby stwierdzonych przestępstw z art. 287 Kodeksu karnego, co przedstawiono w ujęciu tabelarycznym.
| Artykuł 287 Kodeksu karnego | ||
| Rok | Liczba postępowań wszczętych | Liczba przestępstw stwierdzonych |
| 2016 | 4103 | 4207 |
| 2015 | 4105 | 3282 |
| 2014 | 2567 | 2154 |
| 2013 | 1768 | 1573 |
| 2012 | 1285 | 1351 |
| 2011 | 1012 | 1364 |
| 2010 | 838 | 623 |
| 2009 | 673 | 978 |
| 2008 | 472 | 404 |
| 2007 | 322 | 492 |
| 2006 | 285 | 444 |
| 2005 | 326 | 568 |
| 2004 | 229 | 390 |
| 2003 | 219 | 168 |
| 2002 | 114 | 368 |
| 2001 | 59 | 171 |
| 2000 | 127 | 247 |
Źródło: Policja, Statystyka: Oszustwo komputerowe (art. 287), http://statystyka.policja.pl/st/kodeks-karny/przestepstwa-przeciwko-16/63977,Oszustwo-komputerowe-art-287.html [dostęp: 30.04.2019].
Jednym z najbardziej spektakularnych ataków typu phishingbyła operacja „Aurora”, przeprowadzona w 2009 r. na Google,a konkretnie – na konta pocztowe osób zaangażowanych w obronę praw człowieka. Amerykanie podejrzewają, że za atakiem stał rząd Chińskiej Republiki Ludowej.
Aby zminimalizować skuteczność ataku phishingowego i nie paść jego ofiarą, należy m.in.:
- nie podawać poufnych danych za pośrednictwem wiadomości e-mail, w trakcie rozmowy telefonicznej czy przez komunikatory internetowe;
- dokładnie sprawdzać adresy mailowe, z których pochodzą wiadomości;
- aktualizować przeglądarkę i program pocztowy;
- blokować fałszywe strony;
- chronić hasła, np. poprzez wykorzystanie managerów haseł, często je zmieniać i nie stosować tych samych w różnych serwisach i systemach;
- nie reagować na wiadomości z nieznajomych źródeł i nie pobierać z nich załączników;
- korzystać z programów antywirusowych zawierających filtry antyphishingowe, które wykrywają próby wyłudzenia danych.
Bez wątpienia najważniejsza są świadomość i wiedza na temat zagrożeń ze strony użytkowników. Nawet najlepsze zabezpieczenia, zapory, oprogramowania szyfrujące i certyfikaty nie pomogą, gdy człowiek nie będzie ostrożny.
Paulina Motylińska, Agnieszka Warchoł
G. Aaron, R. Rasmussen, Global Phishing Survey 2016: Trends and Domain Name Use in 2016, APWG, Lexington 2017; W. Gogołek, Komunikacja sieciowa. Uwarunkowania, kategorie i paradoksy, Oficyna Wydawnicza ASPRA-JR, Warszawa 2010; C. Hadnagy, M. Fincher, Mroczne odmęty phishingu: nie daj się złowić, Helion, Gliwice 2017; J. Hong, The state of phishing attacks, „Communication of the ACM” 2012, vol. 55, is. 1; J. Kosiński, Paradygmanty cyberprzestępczości, Difin, Warszawa 2015; D. Lubowiecki, Prawno-kryminalistyczna problematyka phishingu, ze szczególnym uwzględnieniem środowiska bankowości internetowej, „Kwartalnik Prawo-Społeczeństwo-Ekonomia” 2017, nr 1; Microsoft Takes Top Spot in Inaugural Phishers’ Favorites Top 25 List, https://www.vadesecure.com/en/phishers-favorites-q2-2018/ [dostęp: 29.04.2019]; B. Nahorney, Symantec, Internet Security Threat Report: Email Threats 2017, https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/istr-email-threats-2017-en.pdf [dostęp: 30.04.2019]; K. Rekouche, Early Phishing, https://arxiv.org/pdf/1106.4692.pdf [dostęp: 29.04.2019].