22 lipca, 2020

Prezydent na linii, czyli phishing może dotknąć każdego

Kilka dni temu do Internetu trafiło nagranie rozmowy telefonicznej Andrzeja Dudy z rosyjskim youtuberem — Vladimirem Kuznetsovem, podczas której Kuznetsov podszywając się pod sekretarza generalnego OZN, António Guterres’a, pogratulował prezydentowi wygranych wyborów oraz spróbował skierować rozmowę na kontrowersyjne tematy, takie jak LGBT i sytuacja panująca na Ukrainie.

Zaskoczeni internauci zastanawiali się, czy nagranie jest autentyczne, czy spreparowane. W grę wchodziły pojęcia takie jak fake news (fałszywa informacja) lub nieco mniej znany deep fake, czyli technika obróbki głosu lub obrazu, pozwalająca uzyskać efekt wiernie odwzorowujący oryginał. Ostatecznie dyrektor biura prasowego Kancelarii Prezydenta, Marcin Kędryna, potwierdził prawdziwość nagrania.

Nie tylko w Polsce

Najlepsze określenie dla sytuacji, która miała miejsce to phishing, czyli ukierunkowana na konkretną osobę próba podszycia się pod inną osobę lub instytucję, celem wyłudzenia poufnych informacji. To zagrożenie, któremu czoła musiał stawić nie tylko polski prezydent. W ostatnich czterech latach natknął się na nie m.in. prezydent Francji Emmanuel Macron, prezydent Turcji Recep Tayyip Erdogan i były prezydent Ukrainy Petro Poroszenko.

Ofiarą tego typu ataku padł książę Harry, który przekonany, że rozmawia z Gretą Thunberg i jej ojcem, skrytykował postępowanie Donalda Trumpa w kontekście zmian klimatycznych i opisał swoją decyzję o opuszczeniu rodziny królewskiej jako — niełatwą.

Phishing zbiera żniwa też w show biznesie. Fałszywym rozmówcom zwierzali się już między innymi piosenkarz Elton John, piosenkarka Billie Eilish i aktor Joaquin Phoenix.

Oczywiście ofiarami phishingu padają nie tylko znane na światową skalę osobistości. Na ataki phishingowe narażeni są wszyscy będący w posiadaniu wrażliwych informacji, a więc w szczególności prezesi i dyrektorzy przedsiębiorstw. Formą phishingu jest whaling, czyli atak ukierunkowany na osobę piastującą wysokie stanowisko w organizacji. Warto pamiętać, że phishing to nie tylko podejrzane telefony. Do osób ze świata biznesu oszuści dużo częściej docierają za pomocą skrzynek mailowych.

Jak bronić się przed phishingiem?

Pozostaje najważniejsze pytanie — jak bronić się przed tego typu atakami? Eksperci radzą, aby przede wszystkim zachować czujność w codziennej pracy. To głównie rutyna lub zbytnia pewność siebie sprawia, że ludzie padają ofiarami ataków phishingowych. Warto wykształcić w sobie nawyk sprawdzania adresu URL, do którego prowadzi dany link przed jego kliknięciem. Dobrze jest też sprawdzać czy adres e-mail, z którego otrzymaliśmy wiadomość, jest taki sam jak ten, którym zwykle posługiwał się dany odbiorca — cyberprzestępcy często celowo korzystają z adresów łudząco podobnych do oryginalnych.

— Jako firma od wielu lat doradzamy, by zawsze zachowywać czujność. Szczególnie ważne jest to w przypadku osób na najwyższych stanowiskach. Ich bezpieczeństwo powinno być priorytetem każdego biznesu — podkreśla Tomasz Szpikowski z wrocławskiej firmy TestArmy CyberForces.

Pomocne okażą się też szkolenia z socjotechnik, którymi lubią posługiwać się hakerzy. Mowa o metodach manipulacji człowiekiem, mających na celu nakłonienie go do podjęcia określonych czynności, np. właśnie przekazania poufnych informacji.

Podsumowując, to co spotkało polskiego prezydenta to niejedyny taki przypadek. Potencjalnie zagrożenie może natrafić na każdego z nas, zwłaszcza jeśli jesteśmy w posiadaniu cennych dla hakera informacji. Recepta? Czujność, czujność i jeszcze raz czujność — tej nigdy za dużo.

Opracowanie: TestArmy CyberForces