W dzisiejszym krajobrazie cyfrowym, gdzie firmy nieustannie poszukują nowych metod obrony przed cyberzagrożeniami i podnoszenia świadomości w tej dziedzinie, cyberprzestępcy również nie próżnują. Stale udoskonalają swoje taktyki, aby ukrywać swoją tożsamość i manipulować niczego niepodejrzewającymi użytkownikami oraz pracownikami, skłaniając ich do popełniania błędów.
Wśród rozmaitych cyberataków, phishing wyróżnia się jako jeden z najpowszechniejszych i stanowiący istotną przyczynę naruszeń danych, infekcji oprogramowaniem ransomware oraz kradzieży poświadczeń. Statystyki pokazują, że ataki phishingowe oraz techniki socjotechniczne odpowiadają za blisko połowę wszystkich incydentów naruszenia danych na całym świecie.
Z tego względu, bez względu na wielkość przedsiębiorstwa – od dużych korporacji po małe i średnie firmy – phishing jest jednym z najpoważniejszych zagrożeń. Często wynika on z ludzkich zaniedbań oraz niedostatecznej świadomości, co w konsekwencji zagraża operacyjności, reputacji i finansowej kondycji firmy.
Choć istnieje wiele rodzajów ataków phishingowych, w tym spear phishing, vishing czy wielorybnictwo, to phishing klonowany wyróżnia się jako jeden z najbardziej zaawansowanych i skutecznych.
W tym opracowaniu przyjrzymy się bliżej temu cyberatakowi, zrozumiemy jego mechanizm działania, omówimy środki prewencyjne i wyjaśnimy, czym różni się od innych form phishingu.
Czym jest phishing?
Zanim zagłębimy się w specyfikę phishingu klonowanego, warto przypomnieć sobie podstawowe założenia phishingu.
Phishing to forma cyberataku, w której napastnik rozsyła fałszywe e-maile, wykonuje rozmowy telefoniczne, wysyła linki do spreparowanych stron internetowych i wiadomości tekstowe, próbując nakłonić ofiarę do ujawnienia danych uwierzytelniających, poufnych informacji, pobrania złośliwego oprogramowania lub podjęcia innych działań, które mogą prowadzić do wycieku danych osobowych i firmowych do rąk cyberprzestępców.
⚠️ Reasumując, phishing jest formą manipulacji socjotechnicznej, która prowadzi do kradzieży tożsamości, naruszeń bezpieczeństwa danych, ataków ransomware, oszustw związanych z kartami płatniczymi oraz innych strat finansowych i utraty danych.
Phishing klonowany, jak sama nazwa wskazuje, bazuje na wysyłaniu fałszywych wiadomości e-mail. Przyjrzyjmy się mu bliżej i przeanalizujmy zagrożenia, jakie za sobą niesie.
Co to jest phishing klonowany?
Phishing klonowany to zaawansowany atak cybernetyczny, w którym cyberprzestępcy tworzą replikę, czyli klon, wcześniejszej, prawdziwej wiadomości e-mail, a następnie wysyłają go do potencjalnej ofiary.
Sklonowane e-maile są tak skonstruowane, aby niemal idealnie naśladować oryginał. Zawierają te same wiarygodne elementy i nazwy, przez co są trudne do odróżnienia od prawdziwych wiadomości.
Pomimo wizualnego podobieństwa, hakerzy modyfikują linki i załączniki w sklonowanych wiadomościach, podmieniając je na złośliwe, co umożliwia im dostęp do poufnych danych firmowych lub instalowanie szkodliwego oprogramowania na urządzeniu ofiary.
Zasadniczo, phishing klonowany polega na podszywaniu się pod legalne wiadomości, podobnie jak w przypadku spear phishingu. Jednak w tym przypadku fałszywe e-maile zawierają podmienione odnośniki i załączniki, co sprawia, że są postrzegane jako wiarygodne.
Jak działa klonowanie phishingu?
Phishing klonowany stanowi bardziej wyrafinowaną formę phishingu, która podnosi poprzeczkę dla wykrywania oszustw ze względu na swoją precyzję.
Cyberprzestępcy starannie odwzorowują każdy detal wiadomości e-mail – od tekstu, przez logo, po układ i strukturę. Posługują się technikami fałszowania, aby e-mail wyglądał na autentyczny i pochodzący od zaufanego źródła.
Oto schemat typowego ataku phishingowego opartego na klonowaniu:
- Atakujący przechwytują autentyczne e-maile lub wiadomości wysyłane do użytkownika z wiarygodnych źródeł, takich jak bank, pracodawca czy dział obsługi klienta. Wykorzystują do tego techniki, takie jak przejęcie DNS. W sytuacji, gdy atakujący przejmie prawdziwą wiadomość, wykrycie sklonowanego e-maila staje się jeszcze trudniejsze.
- Po przechwyceniu, atakujący tworzy dokładną replikę wiadomości, imitując każdy element, włącznie z adresem nadawcy. Nierzadko hakerzy tworzą też fałszywe strony internetowe i profile w mediach społecznościowych, aby budować zaufanie użytkowników, co zwiększa wiarygodność wysyłanych wiadomości.
- Następnie atakujący wysyła sklonowaną wiadomość do ofiary, zachęcając ją do podjęcia określonych działań, takich jak zmiana hasła lub zalogowanie się do konta bankowego czy innego wrażliwego konta. Sklonowany e-mail może też nakłaniać do kliknięcia złośliwych linków, które przekierowują na fałszywe strony.
- Niczego niepodejrzewająca ofiara, uważając wiadomość za autentyczną, otwiera ją i wykonuje zalecane czynności – klika w podejrzany link lub otwiera zainfekowany załącznik, co prowadzi do instalacji złośliwego oprogramowania lub ujawnienia poufnych danych. Jeśli ofiara kliknie na złośliwe linki, które przekierowują ją na fałszywe strony, może nieświadomie wprowadzić swoje dane logowania, umożliwiając cyberprzestępcom kradzież cennych informacji.
Po uzyskaniu dostępu do poufnych informacji, cyberprzestępcy mogą łatwo logować się na konta użytkowników, posługując się wykradzionymi danymi, uzyskując tym samym dostęp do wrażliwych danych i innych krytycznych informacji.
Przeczytaj również: Najlepsze narzędzia antyphishingowe dla firm.
Dlaczego klonowanie phishingu stanowi zagrożenie dla cyberbezpieczeństwa?
Ponad 75% ukierunkowanych ataków cybernetycznych zaczyna się od e-maila, co generuje dla organizacji straty finansowe idące w miliony, a nawet miliardy dolarów.
Oto kilka destrukcyjnych skutków phishingu klonowanego, które stanowią poważne zagrożenie dla cyberbezpieczeństwa organizacji:
- Utrata danych: skuteczny atak klonowania phishingu umożliwia hakerom dostęp do poufnych danych firmowych lub prywatnych danych użytkowników, takich jak hasła, dane kart kredytowych i informacje o kontach bankowych. Może to prowadzić do poważnych przestępstw, takich jak kradzież tożsamości, wyciek poufnych danych i oszustwa.
- Straty finansowe: firmy doświadczają dotkliwych strat finansowych w wyniku oszustw i kradzieży tożsamości, co prowadzi do nielegalnego przejmowania środków i nieuczciwych transakcji. Organizacje mogą być również zmuszone do ponoszenia dodatkowych kosztów prawnych i opłat związanych z cyberatakami, jak ataki oprogramowania ransomware.
- Utrata reputacji: organizacje dotkliwie odczuwają negatywne skutki ataku klonowania phishingu w postaci utraty reputacji, ujawnienia swoich słabości i utraty zaufania klientów.
Ataki typu „clone phishing” nie tylko generują straty prawne i finansowe, ale także niszczą reputację firm w sieci i ich wizerunek marki, co utrudnia odbudowanie zaufania i lojalności klientów.
Sygnały ostrzegawcze phishingu klonowanego
Ze względu na efektywność i potencjalne szkody, jakie może wywołać phishing klonowany, kluczowe jest wdrożenie środków zapobiegawczych, zanim dojdzie do poważnych konsekwencji.
Poniżej prezentujemy kilka typowych oznak, które mogą pomóc Ci w identyfikacji przypadków klonowania phishingu w Twojej skrzynce e-mail, zarówno prywatnej, jak i służbowej.
#1. Poczucie pilności w e-mailu
Głównym celem ataku klonowania phishingu jest nakłonienie użytkowników do natychmiastowego podjęcia działań. Z tego powodu, niemal wszystkie ataki tego typu wykorzystują elementy pilności lub groźby, nakłaniając użytkowników do szybkiego działania, zanim będzie za późno.
W sytuacji, gdy wiadomości z elementem pilności lub groźbami wydają Ci się nieznane lub podejrzane, powinieneś powstrzymać się od klikania linków i otwierania załączników. Dokładnie przeczytaj wiadomość i sprawdź, czy pochodzi ona z legalnego źródła.
#2. Błędy gramatyczne
Błędy gramatyczne i ortograficzne stanowią jeden z najbardziej oczywistych sygnałów ostrzegawczych ataku phishingowego opartego na klonowaniu. Jeśli treść wiadomości jest pełna błędów gramatycznych, a jej ton jest nieadekwatny, zachowaj szczególną ostrożność podczas odpowiadania lub podejmowania jakichkolwiek działań.
Profesjonalne e-maile biznesowe zazwyczaj są wolne od błędów gramatycznych i ortograficznych, ponieważ firmy dbają o swój wizerunek i inwestują w narzędzia do edycji treści. Z kolei hakerzy często nie mają do nich dostępu, a nierzadko nie są biegli w języku angielskim, co stanowi czytelny sygnał ostrzegawczy.
#3. Długie i nietypowe adresy e-mail
Choć większość atakujących stara się, aby adresy e-mail używane do wysyłania sklonowanych wiadomości były zbliżone do oryginalnych, niekiedy posługują się długimi, losowymi ciągami liter i cyfr. Jest to szczególnie widoczne, gdy nie mają dostępu do oryginalnego adresu nadawcy.
Z tego powodu, niezwykle istotne jest sprawdzanie adresów nadawców wiadomości. Długie, losowe i nieznane adresy e-mail to sygnał spamu i należy podchodzić do nich z dużą ostrożnością.
#4. Odmienne rozszerzenia domen
Świadomość i ostrożność w zakresie rozszerzeń domen używanych w nazwach marek wymienionych w wiadomości e-mail ma kluczowe znaczenie w rozpoznawaniu oszustw i ataków typu „klonuj phishing”.
Jeśli firma, od której rzekomo pochodzi e-mail, używa rozszerzenia .com, a Ty otrzymasz wiadomość z innego rozszerzenia, na przykład .org, .io czy .co, prawdopodobnie masz do czynienia z oszustwem.
#5. Prośba o podanie danych osobowych i informacji
Wiadomość e-mail, która nakłania Cię do pilnego zalogowania lub zweryfikowania danych osobowych, najprawdopodobniej jest oszustwem. Zaufane firmy, prosząc o dane osobowe, nie będą wywoływać poczucia zagrożenia, ale przekażą wszelkie niezbędne informacje wraz z datą, do kiedy należy wykonać określone czynności.
Dodatkowo, zaufane firmy przekierują Cię na bezpieczną stronę, gdzie możesz zalogować się na swoje konto, korzystając z prefiksu HTTPS w adresie URL. Brak tych elementów na stronie jest sygnałem ostrzegawczym.
#6. Nieskuteczne menedżery haseł
Jeśli do logowania na konta danej marki używasz menedżera haseł, który automatycznie uzupełnia dane, prawdopodobnie znajdujesz się na zaufanej stronie.
Z kolei, gdy klikniesz na złośliwy link w sklonowanej wiadomości e-mail, zostaniesz przekierowany na fałszywą stronę, na której menedżer haseł nie uzupełni automatycznie danych logowania.
#7. Pikselowane obrazy
Pomimo tego, że sklonowane wiadomości e-mail zawierają obrazy łudząco podobne do oryginalnych, jak loga, podpisy czy nagłówki, często są one niskiej jakości lub zawierają piksele, ponieważ atakujący nie dysponują narzędziami do zachowania ich oryginalnej jakości.
#8. Ogólne lub nietypowe pozdrowienia
Autentyczne e-maile wysyłane przez współpracowników, pracowników lub organizację często rozpoczynają się od imienia i nazwiska odbiorcy.
Atakujący nie zawsze mają dostęp do tych danych, dlatego często e-mail rozpoczyna się od ogólnego zwrotu, na przykład „Szanowny Panie/Pani”. Jeśli wydaje Ci się to podejrzane, może to być oznaką sklonowanej wiadomości, zwłaszcza gdy jej treść jest znajoma, ale pozdrowienie wydaje się nieadekwatne.
Przykłady phishingu klonowanego
Cyberprzestępcy wykorzystują różne szablony klonowania phishingu, aby wzbudzić zaufanie użytkowników, naśladując styl zaufanych marek.
Oto kilka typowych przykładów i schematów klonowania phishingu wykorzystywanych przez oszustów:
- Fałszywe ostrzeżenia o wirusach: atakujący przesyłają fałszywe wiadomości e-mail z ostrzeżeniami o wirusach, podszywając się pod zaufane marki. Wzbudzają tym samym obawy, że urządzenie odbiorcy jest zagrożone, nakłaniając go do pobrania złośliwego oprogramowania lub oprogramowania antywirusowego w celu zneutralizowania zagrożenia.
- Oszustwo związane z obsługą klienta: atakujący przejmują konta użytkowników w mediach społecznościowych, wysyłając sklonowane e-maile z prośbą o zalogowanie się na konto w celu sprawdzenia aktywności z uwagi na rzekome zagrożenie. Ma to nakłonić odbiorców do szybkiego działania, aby uniknąć szkód.
- Oszustwo związane ze zwrotem pieniędzy: oszuści atakują zarejestrowanych użytkowników znanych sklepów cyfrowych i rynków, wysyłając sklonowane e-maile z informacją o możliwości otrzymania bezpłatnego prezentu lub zwrotu pieniędzy za zamówienie. W tym celu proszą o podanie danych bankowych.
Praktyczne przykłady klonowania phishingu
Phishing klonowany jest powszechnym zagrożeniem w cyberprzestrzeni. Poniżej przedstawiamy realne przykłady ataków typu phishing klonowany:
- Niedawno haker skopiował treść poprzedniego e-maila, podszywając się pod Gilesa Garcię, dyrektora generalnego firmy. Atakujący kontynuował wątek e-mailowy z poprzedniej korespondencji, udając prawdziwego dyrektora.
- W styczniu 2022 r., atakujący naśladowali Departament Pracy USA (DoL), podszywając się pod ich adresy e-mail poprzez rejestrację podobnych domen. Wysyłali e-maile z profesjonalną oprawą graficzną i linkami do fałszywych stron, których celem było wykradzenie danych logowania do Microsoft Office 365.
Inne rodzaje ataków phishingowych
Często mylone są różne typy ataków phishingowych. Poniżej omawiamy inne rodzaje phishingu i wyjaśniamy, czym różnią się one od phishingu klonowanego:
- Spear phishing: w tym ataku, atakujący wybierają na cel osoby na wysokich stanowiskach, jak menedżerowie HR, kierownicy lub administratorzy sieci, ponieważ mają oni dostęp do dużych ilości poufnych danych. Spear phishing wymaga bardziej zaawansowanego researchu i jest bardziej spersonalizowany niż inne ataki.
- Wielorybnictwo: podobnie jak spear phishing, wielorybnictwo również jest wymierzone w wysokiej rangi pracowników. Celem ataków jest naruszenie poufnych obszarów sieci, plików i innych newralgicznych elementów firmy.
- Phishing typu „wędka”: atakujący wykorzystują fałszywe posty w mediach społecznościowych, aby nakłonić ofiary do ujawnienia danych logowania i instalacji złośliwego oprogramowania.
Jak chronić się przed atakami phishingu klonowanego?
Chociaż ataki klonowania phishingu mogą być trudne do wykrycia, można podjąć szereg działań prewencyjnych, które pomogą w ochronie przed nimi.
Oto kilka skutecznych kroków, które można podjąć w celu zapobiegania atakom typu „clone phishing”:
#1. Zweryfikuj adres e-mail nadawcy
Jak wspomnieliśmy wcześniej, atakujący często posługują się adresami e-mail, które są długie lub podobne do oryginalnych. W celu stworzenia subtelnych różnic, często dodają litery, znaki i symbole do oryginalnych adresów e-mail.
Weryfikacja legalności adresu jest kluczowa, aby uniknąć padnięcia ofiarą phishingu klonowanego.
#2. Unikaj pochopnego klikania linków
Sklonowane wiadomości e-mail zawierają złośliwe linki, które prowadzą do pobrania złośliwego oprogramowania i przekierowania na fałszywe strony internetowe.
Dlatego tak istotne jest unikanie klikania linków, dopóki nie upewnisz się, że są one bezpieczne i legalne.
#3. Używaj filtrów antyspamowych
Jeśli często korzystasz z poczty elektronicznej, filtry antyspamowe mogą okazać się bardzo pomocne w analizowaniu wiadomości i wykrywaniu niechcianych, złośliwych i niebezpiecznych e-maili.
Chociaż filtry te nie pomagają bezpośrednio w wykrywaniu sklonowanych e-maili, mogą znacznie zmniejszyć ryzyko ich pojawienia się w skrzynce odbiorczej.
#4. Korzystaj z menedżerów haseł
Menedżery haseł to skuteczne narzędzia zapobiegawcze, które ułatwiają wykrywanie zduplikowanych i fałszywych stron internetowych.
Jeśli menedżer haseł nie uzupełni automatycznie danych logowania, najprawdopodobniej wprowadzasz je na fałszywej stronie.
#5. Używaj ochrony przed zagrożeniami, która skanuje załączniki
Oprogramowanie chroniące przed zagrożeniami zapobiega pobraniu złośliwych wirusów lub oprogramowania na komputer. Skanują dokumenty i pliki pobierane na urządzenie, a w przypadku wykrycia złośliwego oprogramowania – usuwają je, zanim zdążą wyrządzić szkody.
Ponadto niektóre rozwiązania chroniące przed zagrożeniami uniemożliwiają dostęp do fałszywych stron. Na przykład, nawet po kliknięciu w podejrzany link, ochrona przed zagrożeniami zablokuje dostęp i wyświetli ostrzeżenie na ekranie.
#6. Dokładnie sprawdzaj adresy URL
Nawet jeśli przypadkowo klikniesz link do fałszywej strony, dokładnie sprawdź i zweryfikuj adres URL, upewniając się, że jest zgodny z oryginalną domeną firmy.
Sprawdź pełną nazwę strony, w tym znaki i litery, oraz rozszerzenia domen. Unikniesz w ten sposób interakcji z potencjalnie szkodliwymi stronami.
#7. Sprawdzaj obecność HTTPS
Oprócz weryfikacji domeny i rozszerzeń, sprawdź, czy strona korzysta z protokołu HTTPS. HTTPS zapewnia bezpieczeństwo i wiarygodność, sygnalizując bezpieczne połączenie ze stroną internetową.
Brak protokołu HTTPS lub użycie HTTP jest oznaką fałszywej strony, ponieważ legalne firmy dbają o bezpieczeństwo i reputację w sieci.
#8. W razie wątpliwości skontaktuj się z zaufanym źródłem
Jeśli otrzymany sklonowany e-mail budzi Twoje obawy i otrzymujesz takie wiadomości wielokrotnie, niezwłocznie skontaktuj się ze specjalistą ds. bezpieczeństwa, aby rozwiązać problem.
Dodatkowo, w przypadku otrzymania podejrzanych wiadomości od renomowanych firm, skontaktuj się z ich zespołem pomocy technicznej w celu weryfikacji e-maila.
Podsumowanie
Phishing jest poważnym zagrożeniem dla cyberbezpieczeństwa firm. Phishing klonowany to bardziej zaawansowana forma ataku, w której wykorzystywane są zaawansowane techniki, aby ofiary nieświadomie ujawniły poufne dane.
Z tego względu, monitorowanie ataków cybernetycznych, śledzenie aktualnych trendów w cyberbezpieczeństwie i wdrażanie działań mających na celu wykrywanie i zapobieganie phishingowi klonowanemu jest kluczowe, aby uniknąć strat finansowych, prawnych i reputacyjnych.
Mamy nadzieję, że ten artykuł pomoże Ci w zabezpieczeniu poczty e-mail oraz cennych informacji prywatnych i firmowych, chroniąc Twoją sieć przed ryzykiem związanym z phishingiem klonowanym.
Następny temat: najlepsze oprogramowanie do symulacji phishingu.