Phishing – na czym polega i jak mu przeciwdziałać?

Oszustwo występuje pod różnymi postaciami, a często przeprowadzane jest w zaskakujący pokrzywdzonego sposób.Taki właśnie niespodziewany może się okazać phishing, jeżeli trafi na nieświadomego odbiorcę. Warto poznać tę tematykę, aby móc świadomie mu przeciwdziałać oraz być gotowym się przed nim obronić.

Czym jest phishing?

Phishing to rodzaj oszustwa internetowego, mającego na celu wyłudzenie od użytkownika jego poufnych danych, aby uzyskać dostęp do kont bankowych i internetowych lub prywatnych dokumentów. Ten rodzaj cyberprzestępstwa nie wykorzystuje jednak skomplikowanych algorytmów, a – wprost przeciwnie – działa w oparciu o najsłabsze ogniwo łańcucha zabezpieczeń, jakim jest człowiek.

Atak polega na wysłaniu do użytkownika sieci maila, w którymnadawca(tzw. phisher) podszywa się pod jakąś instytucję, np. bank lub dostawcę usług telekomunikacyjnych, a w treści nakłania odbiorcę do podjęciakonkretnegodziałania. Często jest ono rzekomo niezbędne, a jego zaniechanie okraszone różnymi konsekwencjami – utratą pieniędzy, zablokowaniem konta, czy też ujawnieniem danych osobowych. Dla uwiarygodnienia przekazu wiadomość jest odpowiednio ucharakteryzowana – zawiera logo odpowiedniej instytucji, czy też obrazki z nią związane. Kliknięcie w znajdujący się w niej linkprzekierowuje jednak nie na prawdziwą stronę instytucji, a na spreparowaną witrynę oszusta, gdzie przy próbie logowania poufne danezostają ujawnione osobie trzeciej. Drugą metodą działania przestępców jest umieszczanie w mailu załącznika, pozornie przypominającego np. dokument MS Office. W rzeczywistości zawiera on jednak złośliwe oprogramowanie infekujące komputer zaraz po ściągnięciu pliku (malware).

AdobeStock_135559157

Rodzaje phishingu.

Od lat 90., kiedy to ujawnione zostały pierwsze próby stosowania tego procederu, oszuści wypracowali kilka sposobów działania. Są to kolejno:

  1. Spear phishing – angielskie słowo „spear” znaczy „włócznia, harpun”, stąd spear phishing jest atakiem wymierzonym w określoną osobę lub grupę osób, np. pracowników jednego przedsiębiorstwa. Oszust przed wysłaniem maila zdobywa informacje na temat odbiorcy, np. sprawdza w mediach społecznościowych miejsce pracy, by potem móc ucharakteryzować maila na pochodzącego od jego firmy. W 2016r. w ten sposób nielegalnie uzyskano dostęp do konta Gmail należącego do kierownika kampanii prezydenckiej Hilary Clinton.
  2. Clone phishing – w przypadku tego zabiegu nadawca nie tworzy sam fałszywego maila, a opiera się na autentycznej wiadomości pochodzącej od wybranej instytucji. Zmienia tylko jej załączniki lub zastępuje znajdujący się w niej link, a następnie wysyła z adresu mailowego bardzo podobnego do tego prawdziwego.
  3. Whaling / whale phishing – jest to bardzo specyficzny typ phishingu, który dotyczy osób znanych, czy też zajmujących ważne stanowiska państwowe lub w biznesie. Tak stworzonymail przypomina różne inne typowo otrzymywane np. od kancelarii prawnych lub instytucji rządowych. Celem takiego działania może być szczególnie uzyskanie dostępu do prywatnych dokumentów, poprzez ściągnięcie na dysk złośliwego oprogramowania. W wyniku takiego zabiegu w 2008r., poprzez wiadomość jakoby otrzymaną od FBI, został przeprowadzony masowy atak na pracowników korporacji wyższego szczebla. Tak wysłany wirus został zainstalowany na ok. 2000 komputerów.

Wobec prawa – czy phishing jest karalny?

Oczywiście phishing stanowiprzestępstwo, spełniając przesłanki czynu zabronionego z kilku paragrafów. Jest to po pierwsze oszustwo komputerowe opisane w art. 287 §1 Kodeksu karnego, zagrożone karą pozbawienia wolności od 3 miesięcy do 5 lat.Charakter phishingu sprawia jednak, że kwalifikacja może być szersza – weedług art. 190a §2 Kodeksu karnego każdy kto podszywa się pod inną osobę, wykorzystując jej wizerunek, w celu wyrządzenia jej szkody majątkowej, podlega karze pozbawienia wolności do lat 3. Ponadto oszuści dopuszczają się także czynu określonego w art. 267 Kodeksu karnego. Stosownie do zawartej tam regulacji każdy, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonejpodłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Jak widać nie brakuje odpowiedniej podstawy prawnej, przy pomocy której potencjalnego oszusta można oskarżyć. Problem pojawia się jednak przy praktycznym zastosowaniu przepisów – jak w przypadku większości cyberprzestępstw, ściganie phisherów jest niezwykle utrudnione.

Po pierwsze, instytucje szybko wykrywają, że ktoś się pod nie podszywa. Stworzona przez hakerawitryna działa zazwyczaj średnio 5 dni. Wpływa to na ogromną dynamikę procederu, za którą trudno jest nadążyć.

Po drugie, oszuści nie korzystają z własnych kont bankowych – jeżeli dojdzie do włamania na bankowość internetową pieniądze zostają często przelane na konto tzw. słupa – jest to osoba zwerbowana w celu szybkiego wypłacenia pieniędzy i, po odjęciu prowizji, odesłania ich do przestępców. Co ciekawe, taki pośrednik zazwyczaj nie jest świadomy uczestniczenia w nielegalnej operacji – często jest znajdowany za pomocą internetowej rekrutacji i zatrudniany w fałszywym przedsiębiorstwie np. jako financial manager. W rzeczywistości jego rola kończy się po wykonaniu jednego przelewu, a zaraz potem zaczynają spore problemy, bowiem do takich „słupów” najczęściej dociera policja.

Po trzecie, sprawcy phishingu operują na całym świecie. Phisher, pochodzący z Indii z łatwością może wyszukać znajdujący się w Polsce bank, za pomocą Google Translate przetłumaczyć na polski napisaną przez siebie wiadomość i wysłać ją do losowych osób posiadających maile założone na polskich portalach.W 2019r. Chiny odpowiadały za 20,43% wysłanego na świecie spamu, z którego to spora część zawierała złośliwe oprogramowanie.

Biorąc pod uwagę te i całą resztę czynników wpływających na niską wykrywalność cyberprzestępców nie ma się co dziwić, że niewielu z nich ponosi konsekwencje swoich czynów.

Odpowiedzialność banków za niewłaściwe zabezpieczenia.

Warto jednak podkreślić, że – w przypadku phishingu, którego celem jest uzyskanie dostępu do bankowości internetowej pokrzywdzonego – klienci banków są objęci dodatkowym prawnym płaszczem ochrony, który jest w stanieczęściowo zniwelować negatywne skutki dokonanego ich kosztem oszustwa. Ten mechanizm wynika z Ustawy o usługach płatniczych, z przepisów dotyczących autoryzowania transakcji płatniczych.

Według art. 40 powyższego aktu prawnego transakcję uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie w sposób przewidziany w umowie między nim, a jego dostawcą (bankiem). Autoryzowany nie jest zatem żaden przelew, na który nie została wyrażona świadoma zgoda klienta. Zaś w przypadkunieautoryzowanej transakcji płatniczej, mocą art. 46 pkt 1., bank jest obowiązany niezwłocznie zwrócić płatnikowi jej kwotę. W art. 45 pkt 1. wprowadzono przy tym wyjątek od zasady ogólnej z art. 6 Kodeksu cywilnego, dziękiczemu to po stronie banku, nie klienta, leży ciężar udowodnienia, że transakcja była autoryzowana. Musi on wykazać albo, że transakcja była autoryzowana albo, że została wykonana nieautoryzowana umyślnie lub wskutek rażącego niedbalstwa płatnika, dotyczącego korzystania z instrumentu płatności.

Podsumowując, jeśli klient zachował wszelkie względy ostrożności przy korzystaniu z bankowości internetowej, a mimo to padł ofiarą oszustwa – uznaje się, że zawiodły zabezpieczenia banku, wskutek czego wystąpiła szkoda po stronie klienta i bank jest zobowiązany zwrócić mu utracone środki.

Znajduje to odzwierciedlenie w orzecznictwie sądów – w wyroku Sądu Okręgowego w Warszawie z dnia 12 maja 2018r. (sygn. akt: I C 566/17) na rzecz powoda, który pomimo zachowania należytej staranności w wyniku phishingu stracił niemal 80 000 zł, przyznano od pozwanego banku kwotę nieco poniżej 107 000 zł wraz z odsetkami (por. wyrok SA w Białymstoku, sygn. akt: I ACa 228/19). Z kolei w wyroku Sądu Najwyższego z dnia 18 stycznia 2018r. (sygn. akt: V CSK 141/17) stwierdzono, iż „Nie ma podstaw do przyjęcia, że powódka naruszyła obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową lub obowiązek zgłoszenia dostawcy (bankowi) utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu” kiedy do utraty środków z konta doszło„wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez bank”.

Sąd Apelacyjny w Warszawiew wyroku z dnia 30 sierpnia 2018r. podkreślił jednak, jak ważne jest zachowanie odpowiedniej ostrożności w posługiwaniu się bankowością elektroniczną. Polega ono na upewnianiu się, że wszelkie transakcje przebiegają bezpiecznie, nieudostępnianiu pod żadnym pozorem osobom trzecim swoich danych służących do logowania oraz natychmiastowemu zgłaszaniu nieautoryzowanych transakcji. Odrzucono wówczas pozew przeciwko bankowi, argumentując to następująco: „Powód umyślnie, a co najmniej wskutek rażącego niedbalstwa, nie zgłosił niezwłocznie nieuprawnionego użycia instrumentu finansowego (a dopiero wieczorem), a ponadto nie podjął należytych środków ostrożności w zakresie przechowywania instrumentu płatniczego i nieudostępniania go osobom trzecim, jak również w zakresie zabezpieczenia sprzętu, na którym dokonywano transakcji.” (sygn. akt: VI ACa 509/17).

Co mogę zrobić, aby nie dać się oszukać?

Ponieważ phishing opiera się głównie na błędach popełnianych przez użytkowników, przedsięwzięcie przez nich samychodpowiednich działań celem zabezpieczenia się, wwiększości przynosi zamierzone efekty.

Pierwszą oraz najważniejszą zasadą jest niepodawanie nikomu, zwłaszcza przez internet, swoich poufnych danych, a w szczególności haseł i loginów. Należy pamiętać, że ani bank, ani jakakolwiek inna instytucja w żadnym wypadku nie będzie prosić o ujawnianie takich informacji. Dlatego w przypadku natrafienia na skłaniające do tego komunikat lub wiadomość można mieć pewność, że jest to próba wyłudzenia danych.

Kolejny niezbędny element ochrony stanowi programu antywirusowy, który zapobiegnie nieświadomemu ściągnięciu złośliwego oprogramowania. W dzisiejszych czasachjest tylko kwestią czasu, kiedy dojdzie do ściągnięcia wirusa, jeżeli na komputerze brakujekoniecznejosłony. Możliwe jest także uzyskanie wtyczek do przeglądarki, które będą ostrzegać przed potencjalnie niebezpiecznymi witrynami.

Wiele zależy od zachowania wzmożonej ostrożności przy odbieraniu i czytaniu poczty mailowej, zwłaszcza tej dotyczącej korespondencji z urzędami lub bankami oraz wiadomości otrzymanych od portali społecznościowych, czy też firm przesyłkowych. Znając elementy składowe phishingowych wiadomości oraz witryn z łatwością można je zdemaskować.

Najczęstsze tematy takich maili to:

  • „wymagane działanie”,
  • „zmiana hasła”,
  • „masz nową wiadomość”,
  • „informacja o nieudanej próbie dostarczenia przesyłki” lub
  • „informacja o oznaczeniu w czyimś zdjęciu”.

Takie wiadomości nie są wysyłane z adresu zarejestrowanego na domenie instytucji, pod którą przestępca się podszywa, a zamiast tego nadawca używa adresu kończącego się na np. „@gmail.com” lub „@onet.pl”.Należy również zwrócić uwagę na treść samego maila. Często nie zawiera on żadnych personalnych zwrotów, jak „Panie Janie Kowalski”,występuje jedynie uniwersalne „Drogi użytkowniku” lub „Dear user”, a w dalszej części znajdują się błędy stylistyczne lub ortograficzne. Nawet kiedy nic nie wzbudza podejrzeń, przed kliknięciem w jakikolwiek link można sprawdzić, do jakiego adresu URL prowadzi, poprzez najechanie na niego kursorem myszki. Pod żadnym pozorem nie należy natomiast klikać w linki pochodzące z nieznanych lub podejrzanych źródeł, także te otrzymane drogą SMS-ową lub przez jakąkolwiek inną aplikację.

Jeżeli chodzi o strony, do których fałszywe maile mogą prowadzić,wyglądają one podobnie do tych, na które są ucharakteryzowane. Czasem jest możliwe dostrzeżenie niepokojących różnic w szacie graficznej, jeżeli zaś nie, to z pewnością może je zdradzić nieprawidłowy adres URL. Przeważająca liczbawitryn przechowujących wrażliwe dane korzysta ze specjalnych połączeń szyfrowanych. Dość łatwo to rozpoznać – taki adres rozpoczyna się od „https://” (zamiast „http://”), a obok niego widnieje charakterystyczny znak kłódki.Brak takiego połączenia w miejscu, gdzie można by się go spodziewać, powinien wzbudzić podejrzenia. Sam adres jest najczęściej formułowany na podobieństwo tego oryginalnego, przy mało zauważalnej zmianie, np. w miejscu myślnika wstawia się kropkę lub używaodmiennejdomeny, np. .com, zamiast .pl. Podsumowując, czymś skrajnie różnym będzie prawdziwy adres: „https://www.przykładowy-bank.pl” od fałszywego: „http://www.przykładowy.bank.com”, choć pozornie wyglądają niemal tak samo.

Podsumowanie

Phishing jest procederem od kilkudziesięciu już lat obserwowanym na całym świecie. Choć prognozuje się, że z czasem użytkownicy Internetu nabędą umiejętność odróżniania fałszywych i prawdziwych wiadomości, to póki co pozostaje to w strefie przewidywań. Istnieją prawne środki ścigania dopuszczających się tego przestępstwa, jednak niestety ich skuteczność utrzymuje się na niskim poziomie.Największe znaczenie ma zachowanie samych użytkowników, którzy dzięki przedsięwzięciu odpowiednich środków ostrożności są w stanie bardzo dobrze się chronić. Należy w tym celu zainstalować program antywirusowy, podchodzić z nieufnością do maili z nieznanych źródeł i dotyczących ważnych spraw, nie klikać w podejrzane linki oraz nigdy nikomu nie podawać swoich poufnych danych. Dzięki takim działaniom możliwejest skuteczneprzeciwdziałanie phishingowi.

Marcin Jankowiak

Pozostałe artykuły

Komentarze (1)

Dobry tekst. Wszystko co najważniejsze zebrane w jednym miejscu.Ostatnio spotkałam się z phishingiem na olxie, trzeba uważać…

Zostaw komentarz

Translate »