Nigdy nie odwiedzaj takich adresów. Służą do oszustw inwestycyjnych
W atakach phishingowych, a zatem takich, w których napastnicy próbują oszukać ofiary, podszywając się pod kogoś innego, kluczową kwestią może być rozpoznanie adresów maili i witryn, jakimi dysponują napastnicy. Czasem wystarczy tylko zerknąć na pole nadawcy, by w porę rozpoznać atak. Jak robić to skutecznie?
Ataki maskowane i bez spoofingu
Ataki phishingowe można podzielić na dwie kategorie, które zasadniczo różnią się swoją skutecznością – te, które wykorzystują spoofing i pozostałe. Spoofing to technika maskowania adresów, która pozwala wyświetlać inne dane niż te, które faktycznie są w użyciu. Można tego dokonywać dzięki ogólnodostępnym narzędziom. W rezultacie np. gdy otrzymujemy SMS-y od firm, widzimy ich nazwę, a nie numer telefonu.
Osobną kwestię stanowi typosquatting, czyli takie używanie różnych znaków, aby te wyglądały jak inne. Dzięki temu można np. zarejestrować domeny, które wyglądają, jakby należały do zaufanego podmiotu, jednak dopiero analiza wykaże, że jedna z liter została zamieniona, np. użyto małego „l” zamiast dużego „I”.
Skandal w Gliwicach: policjanci oszukiwali metodą „na policjanta”Groźne adresy oszustw inwestycyjnych
Jak widać, phishing w połączeniu z maskowaniem adresów to znacznie skuteczniejsze narzędzie niż phishing pozbawiony spoofingu. Na szczęście zdecydowana większość ataków przeprowadzanych jest z minimalnym nakładem pracy (liczy się skala), dzięki czemu skuteczny spoofing widujemy stosunkowo rzadko. A to pozwala na rozpoznanie i wskazanie domen, które są używane przez cyberprzestępców. Właśnie dokonał tego zespół CSIRT przy Komisji Nadzoru Finansowego.
CSIRT KNF przedstawił fałszywe domeny, które są wykorzystywane w ostatnim czasie przy oszustwach i porównuje je z prawdziwymi, wykorzystywanymi m.in. przez spółki skarbu państwa. Są to:
- baltic-pipe.eu – baltic.pipe.ltd,
- orlen.pl – orlen2pg.web.app,
- pgnig.pl – pgniginwestycji.com,
- teslacom.com – teslabot.masterch.top.
Groźne witryny blokuje CERT
Co ważne, fałszywe domeny, które widać po lewej stronie są prawdziwymi adresami wykorzystywanymi przez oszustów. Choć znajdują się one już na liście CERT i dostęp do nich jest utrudniony, to na wszelki wypadek warto dodać je także do własnej listy blokowanych witryn. Warto też zapamiętać schematy i wzorce, jakimi posługują się cyberprzestępcy przy rejestracji domen.
