Phishing – jak go rozpoznać i jak się bronić?

Jaki czas temu opisywaliśmy jak poradzić sobie z wirusem Weelsof. Dziś zajmiemy się naszymi skrzynkami pocztowymi i zjawiskiem znanym jako phishing  – czyli podszywaniem się pod osobę, instytucję lub firmę, którą znamy. Phishing stosowany jest z niemałym powodzeniem od lat 80 minionego wieku. Poniżej opiszemy trzy przykłady phishingu mailowego wykorzystującego logo i łudząco podobne formaty maili serwisów allegro.pl, LinkedIn oraz YouTube. Zazwyczaj takie maile zachęcają nas do weryfikacji swojego konta, odpowiedzi na jakąś inną wiadomość, zainstalowania jakiejś hiper-wszystko-robiącej aplikacji. Poniżej zapoznamy się z krokami jakie warto wykonywać gdy otrzymamy taką podejrzaną wiadomość.

Phishing – przykład pierwszy: allegro

Phishing polskich serwisów jest bardzo prosty do rozpoznania nawet na pierwszy rzut oka. Dzieje się tak, ponieważ atakujący często korzystają z translatorów do przetłumaczenia treści listu. Poniżej przykład jak taki mail wygląda na pierwszy rzut oka:

Jak widać, ktoś kto pisał tego maila nie miał zbyt wielkiego pojęcia o języku polskim. Myślicie, że jedna z bardziej rozpoznawalnych marek w polskim internecie pozwoliła by sobie na wypuszczenie w eter(net) 😉 maila napisanego tak poprawną polszczyzną? 🙂 Załóżmy jednak, że mail nie zwrócił naszej uwagi swoim tragicznym językiem polskim. Co należy sprawdzić w następnej kolejności? Sprawdźmy, gdzie prowadzą odnośniki z treści maila (ale nie poprzez kliknięcie w „nie”, tylko „podświetlenie” linku):
Jak widać link nie kieruje nas na strony allegro tylko na jakiś zewnętrzny hosting (i co to za ssl bez https? 🙂 ). Bardzo pomocne jest też zerknięcie w źródło wiadomości. Poniżej przykładowy widok z Outlook 2013:

Zajrzyjmy jeszcze więc na stronkę (nie róbcie tego w domu 😉 )

Generalnie, upewniliśmy się już, że to nie jest prawdziwy mail z allegro, więc oznaczamy go jako spam i blokujemy nadawcę, a samego maila kierujemy tam gdzie jego miejsce – do śmietnika.

Phishing  – przykład drugi: serwisy anglojęzyczne

Sytuacja gorzej się ma gdy niedobrzy ludzie przysyłają nam podróbkę firmowego maila w języku innym niż nasz ojczysty (nawet dla kogoś kto sprawnie operuje, powiedzmy, językiem angielskim, ciężko jest wychwycić czasem drobne błędy gramatyczne). Jednak co do zasad i kroków jakie należy wykonać postępowanie jest takie samo. Poniżej kilka przykładów:

Powyższy przykład wygląd dość niewinnie, ot kolejny headhunter zaczepia nas na LinkedIn. Zanim jednak klikniemy w odnośnik, podświetlmy sobie go i sprawdźmy, gdzie w rzeczywistości nas odsyła. Na obrazku poniżej jest to zaznaczone czerwoną strzałką.

Jak widać nie wygląda to najlepiej. Nadawcę blokujemy, zgłaszamy spam, a mail usuwamy 🙂

Sprawdźmy jak wygląda phishing YouTube 🙂

W powyższym przykładzie już na pierwszy rzut oka widać dość oryginalny mailowy adres zwrotny nadawcy 🙂 Sprawdzanie odnośników przynosi taki sam efekt jak w przykładzie z LinkedIn:
Twórca tejże podróbki oryginalnego maila, posłużył się atrybutem „title” HTML-owego znacznika „a”, wobec czego po najechaniu myszką na link wyświetla nam się w miarę rozsądny adres (czerwona strzałka), jednak już w pasku statusu przeglądarki widać, że jest to wielka lipa 😉 (żółta strzałka). Mail idzie więc do śmieci.

Czy coś da się zrobić?

Czy jest sposób obrony? Jest – filtry spamu, dodawanie do tzw. „blacklist” i zgłaszanie podejrzanych nadawców do operatorów. Co jednak, jeśli taki taki mail prześlizgnie się przez filtry i zabezpieczenia? Uważnie go obejrzeć, sprawdzić nadawcę i adresy w nagłówku wiadomości. Czytać i myśleć – nie postępować pochopnie. Najsłabszym ogniwem każdego systemu zabezpieczeń zawsze pozostaje człowiek i choćby dlatego podtytuł książki Kevina Mitnicka (chyba nie muszę go przedstawiać) brzmiał: „Łamałem ludzi, nie hasła”. Pamiętajmy więc o tym, że nic nie zastąpi czytania komunikatów i wiadomości na ekranie komputera, a przede wszystkim zdrowego rozsądku podczas pracy z komputerem.