Phishing – ekspert Perceptus w audycji Cyberprzezorny w Radio Zachód

Zapis rozmowy:

Piotr Kuśnierz: Zaczynamy naszą audycję Cyberprzezorny. Przed mikrofonem Piotr Kuśnierz, a razem ze mną w studiu Radia Zachód Łukasz Zajdel – Dyrektor Sprzedaży w firmie Perceptus. Dzień dobry.

Łukasz Zajdel: Dzień dobry.

P.K.: Dzień dobry państwu. Łukaszu, dziś porozmawiamy o tym, czym jest phishing i jak się przed nim bronić. Na początek powinniśmy powiedzieć, skąd wzięła się w ogóle ta nazwa phishing i jak ją można przetłumaczyć na nasz język polski.

Ł.Z.: Phishing tak naprawdę wziął się od nazwy fishing tak czyli łowienie, tylko że troszeczkę jest to takie słowotwórstwo z drugim słowem, czyli phreaking. To jest taki telefoniczny atak, który był kiedyś stosowany jeszcze jak te telefonie były stosowane codziennie tak naprawdę.

P.K.: No właśnie, to mamy już wytłumaczenie słowa – od wędkowania. Można powiedzieć, że ludzie, którzy dają się oszukać są jak takie ryby, które dają się złapać. A na czym polegają takie ataki typu phishing?

Ł.Z.: Tak właśnie. Te ataki polegają na wyłudzeniu danych i tak naprawdę jeżeli pytałeś wcześniej jak to na polski tak naprawdę można przetłumaczyć, no to właśnie to będzie wyłudzenie danych. Jak one są wyłudzane? Są różne sposoby i kanały, którymi możemy takiego phishingu dokonać.

P.K.: No właśnie, bo możemy na przykład paść ofiarą takiej sytuacji, że ktoś się podszywa pod instytucje, osoby prywatne, wysyła fałszywe informacje na przykład za pomocą maili, ale też sms-ów, prawda? Tam się mogą znajdować linki, które odsyłają nas na stronę internetową, która de facto jest fałszywa, a powiedzmy jeszcze o ataku typu spear-phishing. Czym charakteryzuje się konkretnie ten typ ataku ?

Ł.Z.: Ten typ ataku też służy do wyłudzenia danych, tylko że za tym za tym atakiem idzie coś dalej, to znaczy – ktoś wyłudza informacje po to, żeby pozyskać pierwszy wektor, którego może użyć w innym ataku. Dam taki przykład, że właśnie ofiarą takiego ataku może paść księgowa i dany atakujący chce od danej księgowej wyciągnąć informacje – na przykład kiedy ona akceptuje faktury, jak akceptuje faktury lub z kim bezpośrednio gdzieś współpracuje, żeby potem mając tą informację użyć jej w kolejnym ataku na przykład już na prezesa, bo na przykład będzie wiedział, że dana księgowa za dwa tygodnie leci na urlop i wtedy można takiego ataku dokonać, bo księgowej ze swojego maila potwierdzi prezes, zatwierdzi, pieniędzy nie ma. Można powiedzieć – po nitce do kłębka. Pół żartem, pół serio.

P.K.: A jak rozpoznać taki fałszywy email SMS, czy wiadomość w komunikatorze? Bo taką też możemy dostać, czy podrobioną stronę internetową. Co powinno zwracać naszą szczególną uwagę?

Ł.Z.: Przede wszystkim adresat, czyli patrzymy, czy jesteśmy na danej stronie, czy to jest faktycznie strona, na której chcieliśmy być – na przykład Bankowa, czy dane nadawcy wiadomości są poprawne – czy to będzie na portalu społecznościowym czy po prostu za pomocą sms-a lub połączenia telefonicznego. Patrzymy czy na pewno to jest ta osoba, z którą rozmawiam. To jest taki  pierwszy wektor, który sprawdzamy. Kolejny – kto jest tutaj adresatem. Można to połączyć – treść wiadomości i tutaj musimy patrzeć na kilka aspektów. Nie tylko na to, co dana wiadomość zawiera, tylko jak została napisana i czy dana strona nie budzi podejrzeń. Na przykład – wszyscy wiemy, że już w dobie internetu wszystkie firmy dbają o to, żeby te strony były ładne, poukładane, żeby wszystko się ładowało. Więc jeżeli widzimy, że na przykład jakiś obrazek się nie załadował, to czy mamy jakieś dziwne tłumaczenie – na przykład login to nie jest login, tylko już jest jakieś hasło czy cokolwiek, jakieś dane uwierzytelniające. To powinno zwrócić naszą uwagę, że chyba coś jest nie tak

P.K.: I też – z tego co pamiętam – powinniśmy zwracać uwagę na adres w pasku internetowym, bo często używając jakiejś kropki on przypomina oryginalny, ale całkowicie zmienia się wtedy ten adres. Jeśli gdzieś między słowami jest dana kropka, jakiś wykrzyknik to też powinien zwrócić naszą szczególną uwagę.

Ł.Z.: Oczywiście że tak. To jest właśnie to, żeby cały czas być uważnym tam, gdzie wchodzą w grę jakiekolwiek dane logowania, czy jakiekolwiek dane poświadczające imię i nazwisko. Jak ktoś od nas oczekuje, że coś mu podamy, no to trzeba sprawdzić, czy na pewno jestem w dobrym miejscu, czy tutaj chciałem wylądować i odsyłacze są też ważne (linki). Musimy się zastanowić, nawet nie klikać myszką, tylko najechać myszką i zobaczyć, czy na dole po rozwinięciu pokaże nam się właśnie ten adres, czy on jest taki sam jak ten wpisany w linku.

P.K.: Ostatnio dużo mówi się o oszustwach na BLIK. Zresztą to jest też kolejny sposób, który sobie, można powiedzieć, wzięli do serca, ludzie odpowiedzialni za tego typu ataki – dlatego, że działają one na emocje. Często wydaje nam się że, ktoś ze znajomych mógł do nas napisać – „Ej możesz mi przesłać tam powiedzmy tyle pieniędzy, wiesz jestem w trudnej sytuacji”, a to wcale nie musi być nasz znajomy. Co powinniśmy zrobić w pierwszej kolejności, jeśli dostajemy taką prośbę?

Ł.Z.: Przede wszystkim – skontaktować się z tą osobą i to nie za pomocą tego samego komunikatora,  za pomocą którego ktoś poprosił nas o dany kod, tylko faktycznie zadzwonić, czy skomunikować się poprzez inny kanał, którego używamy na co dzień. Znowu ta czujność – zobaczyć, czy czasem nie przyszło to z innego komunikatora niż zawsze rozmawiamy. Dodatkowo – stylistyka danej wiadomości. Wiadomo, tu nie chodzi o to, żeby było poprawną polszczyzną napisane, tylko o to, czy tak na co dzień się komunikujemy, czy coś tutaj nie poszło nie tak. Jednak przede wszystkim – skontaktować się z tą osobą i potwierdzić, że to ona. No bo wiadomo – tu do takiego ataku już może dojść na różnych płaszczyznach – na przykład mógł się komuś rozładować telefon lub mógł utracić dostęp do danego medium społecznościowego. Taka sytuacja oczywiście w normalnym świecie się wydarzy, że ktoś napisze kub zadzwoni z innego numeru, ale właśnie to sprawdzenie – jeżeli ktoś nawet dzwoni – rozłączenie się i zadzwonienie jeszcze raz do danej osoby, i potwierdzenie „ czy to na pewno Ty”.

P.K.: Możemy jeszcze dodać hasło bezpieczeństwa, czyli na przykład „Słuchaj, a kto był moim przyjacielem z dzieciństwa” albo „Jak nazywał się nasz piesek, którego mieliśmy”.

Ł.Z.: „Gdzie widzieliśmy się wczoraj”

P.K.: „Gdzie widzieliśmy się wczoraj” – to jest też bardzo fajny sposób weryfikujący daną osobę. No dobra – jest sytuacja, że staliśmy się ofiarą takiego ataku. I co nam grozi? Co możemy stracić?

Ł.Z.: Przede wszystkim – utrata tożsamości. Teraz pytanie – co rozumiemy przez tożsamość. Oczywiście jeżeli to jest jakiś mniej zaawansowany atak, to jak wspomniałem w przypadku z księgową – zdradzamy swoje zwyczaje w kontekście codziennego funkcjonowania. Patrząc dalej – jeżeli straciliśmy dostęp do swojej skrzynki pocztowej – ktoś dalej z tą skrzynką pocztową może coś zrobić – coś zautoryzować dalej. Jeśli wyciekły dane naszej karty kredytowej lub debetowej, to tutaj już mamy to ryzyko, że faktycznie możemy utracić na tym realne pieniądze. No i sama tożsamość, czyli kiedy ja – Łukasz Zajdel – straciłem dostęp do danego konta i ktoś w moim imieniu potwierdził coś. Tutaj to jest bardzo duże ryzyko.

P.K.: Ja ze swojej strony mogę powiedzieć o czymś takim, jak zastrzeżenie numeru PESEL – to jest oczywiście kwestia indywidualna. Aplikacja mObywatel – jest taka możliwość zastrzeżenia, przy czym – zastrzegam ja, że jeśli już to zrobimy, to jeśli będziemy chcieli wziąć kredyt jakiś większy, to będziemy musieli po prostu odwiesić to 24 godziny wcześniej.

Ł.Z.: Ja od siebie dodam, że polecam tę metodę, ponieważ raczej wszyscy świadomie wiemy, kiedy ten PESEL będzie używany, kiedy będziemy zaciągać jakieś zobowiązania i właśnie ten czas 24-godzinny – wiemy, że na przykład jutro gdzieś pójdziemy, czy zaplanowaliśmy coś. Wszystkie banki i inne instytucje są świadome tego, że czas wycofania zastrzeżenia może potrwać 24 godziny i nie jest to żaden problem, a zawsze może nas ochronić bardzo mocno.

P.K.: Pytanie teraz konkretnie o firmę, bo jesteś przedstawicielem szanowanej dużej firmy w Zielonej Górze, firmy Perceptus. Jakie procedury można wdrożyć w firmie, aby właśnie uchronić pracowników przed takimi sytuacjami, przed próbą oszustwa za pomocą ataku typu phishing?

Ł.Z.: Przede wszystkim budowanie świadomości wśród pracowników to jest taka pierwsza rzecz, którą każda firma tak naprawdę może wdrożyć. Na to nie potrzeba jakichś wielkich pieniędzy, wielkich środków, które trzeba zainwestować. Może to zrobić osoba, która się zna, czy oczywiście też może zgłosić się do takich firm jak nasza, która jest w stanie w tym pomóc, żeby pracownicy byli wyedukowani w zakresie na przykład tematu, którym dzisiaj rozmawiamy – jak ten atak phishing – na czym on polega, podać jakieś przykłady oraz codzienne procedury, na co należy zwracać uwagę. To jest bardzo ważne przy firmach, ponieważ one mają dostęp do różnych systemów wewnętrznych. Idąc dalej – oczywiście zabezpieczenia techniczne. Tak samo, jak tutaj rozmawiamy o firmach – mamy szereg różnych rozwiązań, które wspomagają firmy w ramach cyberbezpieczeństwa, ale patrząc nawet na takich użytkowników codziennych, zwykłych ludzi – nie wiem dlaczego, ale na rynku widzę -czy to wśród znajomych, czy wśród ludzi, którymi się otaczam, że troszeczkę te rozwiązania antywirusowe odeszły do lamusa. Już tak wszyscy stwierdzają – „ja w sumie to wiem, ja nie potrzebuję”, a właśnie wszystkie te rozwiązania Next Generation, czyli powiedzmy te bardziej bardziej już zaawansowane, teraz posiadają wszelkiego rodzaju filtry – czy to anty-phishingowe, czy anty-spamowe, które właśnie są w stanie nas ostrzec, że „Uwaga – my już tą stronę znamy, ona jest zablokowana, nie wchodź na nią”.

P.K.: Pod wpływem tego co nam teraz opowiadałeś, przypomniał mi się mój dostawca usług telefonicznych – też umożliwił mi skorzystanie z tak zwanego pakietu „bezpieczny internet”, co też jest interesujące, bo jeśli ja dostanę jakąkolwiek informację, to już tam w treści będzie informacja „Uważaj to może być niebezpieczna wiadomość”. Na koniec zapytam jeszcze – gdzie należy zgłaszać takie ataki phishingowe? Jakie mamy możliwości?

Ł.Z.: Same ataki jak najbardziej możemy zgłaszać do CERTu. CERT Polska to jest taka instytucja, która właśnie zbiera wszelkiego rodzaju informacje o aktualnych atakach, które odbywają się w Polsce – czyli to nie jest coś historycznego, oni po prostu są w stanie potem ostrzec, czy tak jak powiedziałem zablokować daną stronę, gdzieś rozesłać taką informację po różnych miejscach. Jeżeli to jest na przykład atak SMSowy, to zawsze możemy taki takiego SMS-a przekazać na numer 8080, który jest też sprawdzany przez specjalistów. Jeżeli doszłoby do takiej sytuacji, że faktycznie wiemy, że padliśmy ofiarą ataku phishing, utraciliśmy jakieś dane, tudzież swoją, na przykład, kartę kredytową -wszelkie jej dane, no to po pierwsze do banku, po drugie na policję. Aktualnie większość policji, takiej lokalnej wśród miasta, posiada swoją cyberbezpieczną część, która jest też w stanie pomóc. Nie tylko na zasadzie, że „Tak, przyjąłem, dziękujemy, zajmiemy się sprawą”, tylko faktycznie jest w stanie pomóc i pchnąć temat dalej, żeby jak najszybciej zareagować, żeby ktoś nie mógł wykorzystać tych danych, które straciliśmy.

P.K.: Tak więc polecamy na pewno stronę incydent.cert.pl. Nie dajmy się złowić w sieci, bo od tego rozpoczęliśmy nasz program – od fishingu. A dziś na ten temat miałem przyjemność rozmawiać z Łukaszem Zajdlem – Dyrektorem Sprzedaży w firmie Perceptus. Dziękuję ci Łukaszu.

Ł.Z.: Dziękuję serdecznie

P.K.: Rozmowę przeprowadził Piotr Kuśmierz. Bądźmy cyberbezpieczni, cyberprzezorni na co dzień.