Furtul de identitate este o infracțiune cât se poate de reală. De multe ori, investigațiile acestui tip de înșelăciune necesită colaborare la nivel internațional între Poliție și bănci.
Când vorbim despre modurile în care te poți proteja, a beneficia de un sistem sofisticat de monitorizare este doar o parte din soluție. Pentru a evita escrocheriile de tip phishing mai este nevoie și de o atitudine proactivă vizavi de riscuri, iar aici includem și educația ca un prim pas.
De aceea am scris acest scurt ghid. Împreună putem să prevenim aceste atacuri, care sunt un risc pentru reputația noastră și pentru banii tăi.
După ce îl vei citi vei avea niște idei în plus despre pașii pe care îi poți face pentru a te proteja.
Ce este phishing?
Numele acestui tip de înșelăciune este similar cu verbul “a pescui“ din engleză (fishing) pentru că similar acestui sport, phishing-ul implică o “momeală“ care are scopul de a păcăli “peștele“ (victima, în cazul phishing-ului). Scopul principal al phishing-ului este de a convinge utilizatorii să dezvăluie informații care pot fi apoi folosite pentru câștiguri monetare ilicite. Practic, cei care pun la cale tentativa de phishing vor să obțină informații care le permit să aibă acces la identitatea sau banii tăi. În cele mai multe cazuri prezentate mai jos, aceste atacuri au ca țintă datele cardurilor de credit, CNP-ul, parola pentru online banking, etc.
Pentru că in engleză cuvintele phishing și fishing (pescuit) sunt omofone (sună identic, dar au sensuri diferite), multe din tipurile de phishing sunt denumite dupa sau pot fi explicate cu trimiteri la… pescuit, după cum vom vedea mai jos.
Tacticile din spatele atacurilor phishing
Atacurile cu victimă cunoscută
Primul pas este de obicei făcut pentru a stabili o relație de încredere, și poate fi un mesaj text sau email. Mesajul va părea scris de cineva cunoscut – de exemplu, banca ta, compania de telefonie sau șeful tău. Ai mare grijă dacă primești vreun mesaj care se oferă să rezolve o problemă în schimbul unor informații confidențiale.
Atacurile în masă
Este nevoie de o anumita precizie și în aceste cazuri, pentru că deși atacul nu este menit pentru o persoană anume, el țintește un grup de oameni cu aceleași interese. Această tactică implică deseori clonarea unui site des folosit, ca de exemplu Gmail, PayPal, Amazon, sau un site al unei bănci. Trimiterea link-ului de accesare al site-ului clonat se poate face în mai multe feluri, inclusiv manipulând rezultatele căutărilor online.
Tipuri de phishing
Aceste atacuri sunt de diferite tipuri, în funcție de metodă, țintă și canalul de comunicare folosit. Să le explorăm pe rând:
Phishing prin email
Acesta este cel mai întâlnit tip de phishing pentru ca este simplu și ieftin de executat la scară largă. Ca de obicei, scopul său este de a-ți câștiga încrederea pentru ca tu să dezvălui suficiente informații încât cel din spatele atacului să poată sa facă cumpărături cu cardul tău, să obțină împrumuturi în numele tău sau să transfere bani din contul tău. Cum? Email-ul poate să fie trimis de pe o adresă falsificată (spoofed) care pare să aparțină unei persoane sau instituții recunoscute. Acest e-mail poate fi scris în așa fel încât citindu-l, să crezi ca e urgent să acționezi conform lui. Des se întâmplă ca mesaje de acest tip să conțină o avertizare falsă legată de o presupusă tranzacție efectuată de tine și un link unde poți verifica respectiva tranzacție. Problema este ca acel link te va duce pe un site fals, unde odată ce ți-ai introdus datele de logare, ele intră în posesia atacatorului.
Vishing (Phishing prin VoIP)
În afară de email, phishing-ul se poate întâmpla și printr-un apel telefonic. Este foarte ușor ca cineva să falsifice un număr de telefon și să pretindă că te sună din partea băncii sau a operatorului de telefonie mobilă. În general, scopul este să te facă să divulgi informații cum ar fi un număr de cont, o parolă, sau să te întrebe despre ultimele tranzacții cu cardul – orice le-ar permite să îți acceseze banii.
Smishing = SMS+Phishing
La fel ca și Vishing-ul, smishing este un atac care are loc prin intermediul telefonului. Are ca țintă obținerea de informații confidențiale dar nu recurge la o conversație pentru asta, ci la link-uri false. Un mesaj de acest gen are întotdeauna un ton urgent, pentru a te îndemna să acționezi conform instrucțiunilor. Asta înseamnă să dai click pe link, lucru care va rezulta în potențiala infectare a telefonului cu malware. Dacă ai dubii legate de link, încearcă să apelezi numărul de pe care a fost trimis mesajul – astfel poți verifica dacă a fost într-adevăr trimis de bancă sau de compania de telefonie mobilă.
Spear phishing (“pescuit“ cu harponul)
După cum o sugerează și numele, acesta este un atac de precizie. Înainte de atacul propriu zis, hacker-ul va fi adunat informații despre victimă: numele complet, detalii despre job, poate chiar numele partenerilor de afaceri sau ai prietenilor. Scopul acestui tip de atac poate varia, dar în general include infectarea computerului cu malware, obținerea accesului la rețeaua companiei, etc. Atacatorul trimite un email care se folosește de informațiile deja colectate pentru a părea trimis de o sursă de încredere. Email-ul va conține cel mai probabil link-uri false sau atașamente virusate.
Falsificarea unui site web (Domain spoofing)
Acesta este un tip de phishing foarte des întâlnit – atacatorul trimite victimele pe un site care are un nume foarte similar cu cel pe care îl copiază, de exemplu mybusiness.com și mybussiness.com. Vezi diferența? Această tactică este utilizată pentru a păcăli utilizatorii sau clienții site-ului copiat să divulge informațiile confidențiale (parole, date card, etc.)
Whale phishing (“pescuit“ de balene)
Acestea sunt atacuri care țintesc persoane care dețin funcții înalte în cadrul companiilor – directori, vice președinți, CFO, COO și alte funcții de conducere. Este similar cu spear phishing-ul, pentru ca este un atac de precizie, doar că ținta atacului este de un nivel diferit. Atacatorii petrec uneori luni întregi pentru a afla informații despre persoanele vizate – cunoscuți, program zilnic, hobby-uri – orice i-ar putea ajuta să focalizeze cât mai bine atacul, care, dacă are succes, poate fi devastator pentru o companie.
Phishing prin motoarele de căutare
Aceasta este o metodă relativ nouă de phishing care încearcă să îți câștige încrederea prin falsificarea rezultatelor unui motor de căutare (search engine). Astfel, poți ajunge pe site-ul unei companii care are oferte fantastice, dar care îți cere informații financiare. Sau pe un site cu locuri de muncă atrăgătoare, dar care îți cere multe informații personale, inclusiv CNP-ul. Un alt scenariu posibil este un site care imită foarte bine site-ul unei bănci și care are oferte irezistibile, la care ai acces doar dacă oferi informații de natură personală și confidențială.
Motoarele de căutare au în general soluții pentru acest gen de atacuri, dar trebuie să fii atent, pentru ca uneori chiar și pe Google poți găsi un anunț plătit care te trimite pe un site care clonează perfect pagina de logare a serviciului tău de online banking.
Watering hole phishing (“pescuit“ la locul de adăpare)
La fel cum leii atacă antilopele care vin să sa adape dintr-un lac, hackerii vor folosi site-uri web des vizitate de victime pentru a pune la cale atacul. Unul dintre aceste site-uri – de preferință unul mai slab securizat – va fi atacat și infectat cu malware. Atacatorul trebuie după aceea doar să aștepte până victima intră pe site pentru a demara atacul asupra computerului sau telefonul acesteia pentru a obține informațiile căutate.
Phishing-ul are ca rezultat breșe de date
Iată niște statistici legate de phishing și email-uri frauduloase din 2019 (sursa: retruster)
• Phishing-ul este responsabil de 90% din breșele de date
• În medie, pierderile financiare în urma unei breșe de date se ridică la $3.86 milioane (IBM)
• 15% din utilizatorii care au fost victimele phishing-ului vor fi supuși unor noi tentative în același an
• Atacurile efectuate prin compromiterea email-urilor de business au rezultat în pierderi financiare de peste $12 miliarde (FBI)
• Numărul atacurilor de tip phishing a crescut cu 65% în ultimul an
• Aproximativ 1.5 milioane de site-uri folosite pentru phishing sunt create în fiecare lună (Webroot)
• 76% din companii spun că au fost ținta unui asemenea atac în ultimul an
• 30% din mesajele de tip phishing sunt deschise de utilizatori (Verizon)
Cum te poți proteja de phishing?
Deoarece aceste atacuri au un caracter oarecum tehnic, mulți oameni cred că hackerii din spatele lor sunt niște genii și e imposibil să te protejezi. Acest lucru nu este adevărat – mai jos am listat câteva lucruri simple pe care le poate face oricine pentru a se feri de un asemenea atac:
• Verifică foarte atent toate link-urile din email-uri și mesaje înainte de a da click pe ele
• Nu deschide email-uri care arată suspicios, sau link-uri scurte care nu au destinația clar vizibilă
• Schimbă-ți parolele des
• Rămâi la curent cu acest subiect, iar dacă ai o companie, educă-ți angajații
• Verifică dacă site-ul pe care te afli este securizat – poți vedea simbolul “lacăt“ de pe site-urile care dispun de criptare HTTPS. Reține însă ca acesta nu este un factor care garantează 100% ca site-ul este ceea ce pare.
• Asigură-te ca programul de antivirus și sistemele de operare (Windows, Android, etc.) sunt actualizate la ultimele versiuni
• Niciodată nu instala software din surse necunoscute
• Folosește autentificarea în doi pași de fiecare dată când e posibil
• Raportează eventualele tentative de phishing către autorități și către persoanele sau companiile afectate
Cum îți poți proteja banii
După cum știi, protecția banilor tăi este prioritatea numărul 1 la iCard. De aceea, am pregătit un alt articol pe o temă similară, și anume clonarea cardurilor SIM. Este unul dintre pașii următori pentru hackeri, în cazul în care ai devenit fără să știi victima unui atac de tip phishing.
Există multe moduri de a te proteja online. Fii proactiv și rămâi la curent cu acest subiect, pentru a te feri de pierderi financiare și timp pierdut pentru a rezolva posibile probleme care pot apărea în urma unui atac.
Un ultim sfat: blochează-ți temporar (freeze) cardurile de debit de la iCard atunci când nu le folosești!
