Avast radzi

Nie daj się nabrać na phishing, czyli jakie wnioski można wyciągnąć z niedawnego ataku na Google.

Natasha Pearce, 4 sierpnia 2017 14:57:18 CEST

Oszustwa związane z pocztą e-mail są dziś niezwykle zaawansowane, ale Avast ma metody, które pozwalają ustrzec się przekrętów stosowanych przez hakerów.

„Szanowny użytkowniku, Twój znajomy jankowalski@jankowalski.com wysłał do Ciebie wiadomość e-mail z zaproszeniem do edycji poniższego dokumentu, który Ci udostępnił.”

Brzmi znajomo (z tą różnicą, że w wierszu Od figuruje nazwisko Twojego faktycznego znajomego)? Otrzymywane pocztą e-mail powiadomienia o udostępnieniu plików przez kogoś z listy kontaktów są obecnie powszechne. Tym bardziej, że wysyłanie załączników odchodzi do lamusa. Nowa praktyka stała się tak popularna, że hakerzy zaczęli ją wykorzystywać do wyłudzania danych kontaktowych i haseł oraz wykradania tożsamości online.

Nowsze ataki phishingowe korzystają z bardziej wyrafinowanej przynęty

W maju doszło do masowego ataku phishingowego na konta Gmail. Zaledwie w ciągu godziny (od momentu ataku do wyłączenia przez Google zainfekowanych kont i zlikwidowania luki w zabezpieczeniach) jego ofiarą padł ponad milion użytkowników. Wprawdzie w tym przypadku wiersz tematu nie był taki sam jak w oryginalnej wiadomości e-mail od Google informującej o udostępnieniu dokumentu, ale przycisk Wyświetl w Dokumentach wyglądał autentycznie. Zmyliło to wielu nieświadomych zagrożenia odbiorców. Po kliknięciu linku następowało przejście na stronę logowania Google i wyświetlenie monitu o podanie poświadczeń w celu zapewnienia usłudze „Dokumenty Google” dostępu do kont.

Ta szczególnie wyrafinowana metoda ataku bazuje na tym, że większość osób spogląda tylko na nagłówek wiadomości e-mail i instynktownie otwiera wiadomości pochodzące ze znanego adresu. W tym przypadku — mimo tego, że wiadomość pochodziła od kogoś z listy kontaktów — podejrzenia powinna była wzbudzić zawartość pola Do. Wszystkie wiadomości były kierowane na adres hhhhhhhhhhhhhhhh@mailinator.com. Właściwi odbiorcy (tacy jak Ty) znajdowali się w polu UDW.

Każda osoba, która kliknęła złośliwy link, zapewniła hakerom dostęp do całego swojego konta Gmail: kontaktów, haseł i danych uwierzytelniających do innych kont. Dlatego właśnie atak szerzył się tak błyskawicznie. Ten typ ataku generuje tzw. token uwierzytelniania OAuth, a jego ofiarami już w roku 2014 padły firmy Microsoft, Google, Facebook i Twitter. Atak ten wykorzystuje praktykowany przez wielu użytkowników zwyczaj, aby nie wylogowywać się z kont pocztowych i społecznościowych na różnych urządzeniach.

Nie chodzi już tylko o pocztę e-mail

Znasz już zapewne poniższe wskazówki umożliwiające ochronę przed złośliwymi wiadomościami e-mail. Warto je przypominać, ponieważ przestrzeganie tych zasad zapewnia ochronę przed większością dzisiejszych zagrożeń:

  1. Naucz się rozpoznawać fałszywe e-maile. Literówki w nagłówku (w polach Do, Od, DW), w adresie e-mail nadawcy lub odbiorcy, dziwne znaki — to wszystko powinno wzbudzić Twoje podejrzenia. Twój adres w polu UDW to również znak ostrzegawczy. W takiej sytuacji sprawdź wiarygodność wiadomości, wysyłając do nadawcy e-maila z innego konta pocztowego. Jeśli dotyczy to konta firmowego, skontaktuj się z działem IT firmy.

  2. Korzystaj z uwierzytelniania dwuskładnikowegoPotraktuj to jako drugą warstwę ochrony (oprócz korzystania z silnego hasła). Jeśli ktoś spróbuje włamać się na Twoje konto, konieczna będzie identyfikacja przy użyciu zarówno poczty e-mail, jak i telefonu.

Jednak w przypadku majowego ataku „OAuth” uwierzytelnianie dwuskładnikowe również nie zapewniło ochrony.

Dlatego podczas korzystania z poczty internetowej lub jakiejkolwiek platformy online należy wypracować pewien nawyk: WYLOGOWYWAĆ SIĘ.

Dlaczego wylogowanie się to najbezpieczniejsze rozwiązanie

Aby uniknąć ataku OAuth, wystarczy wylogować się z serwisów Facebook, Twitter, LinkedIn, Gmail, Instagram i każdego innego, który wymaga logowania. Należy to robić za każdym razem. Cytując słowa z witryny Tom’s Guide: „Trzeba logować się za każdym razem, co oczywiście nie jest najwygodniejsze, ale przynajmniej gwarantuje, że nikt nie wykradnie Twojego tokenu i nie zaloguje się bez Twojej zgody”.

Jest jeszcze jedna kwestia, którą warto uwzględnić, aby zapewnić sobie lepszą ochronę przed phishingiem: pobranie skutecznego i niezawodnego oprogramowania chroniącego przed wyłudzeniem danychAvast Internet Security wykrywa oszustwa na poczcie e-mail, szczegółowo monitorując urządzenie, i blokuje zagrożenia, zanim wyrządzą jakiekolwiek szkody.

Majowy atak na Gmail to zapewne nie koniec, więc warto zrewidować swoje nawyki dotyczące korzystania z poczty e-mail i platform online. Cyberprzestępcy będą nadal opracowywać nowe sposoby na kradzież danych, ale wcale nie musisz paść ich ofiarą.