Phishing, scamming, spoofing, SMiShing, vishing, pharming. Jak oszukuje się w internecie? Wszystkie metody oszustów. Poradnik praktyczny

Pod tą nazwą kryje się cała paleta działań, które łączy to, że prowadzący je oszuści podszywają się pod budzące nasze zaufanie i często niezbędne nam w codziennym życiu instytucje, w celu wyłudzenia naszych haseł autoryzacyjnych i ewentualnie skłonienia nas do wykonania określonych działań - choćby zainstalowania określonego programowania, które zamieni część zasobów naszego komputera na przykład w element rozproszonej farmy botów albo kopalni kryptowalut.

Sam termin powstał już w latach 90., gdy amerykańscy hakerzy skutecznie zabawili się w wykradanie tą metodą haseł do kont sieciowych na jednym z najbardziej popularnych wówczas w Stanach Zjednoczonych serwerów pocztowych. W bezpośrednim tłumaczeniu phishing to lekko niegramatyczny skrótowiec od „Password harvesting fishing”, czyli „rąbanie i łowienie haseł”. Phishing najczęściej opiera się na masowym rozsyłaniu wiadomości e-mail lub za pośrednictwem mediów społecznościowych, zawierających linki do stron służących właściwemu wyłudzeniu. W takich wiadomościach bardzo często znajdują się wezwania do „zmiany” określonych haseł, ewentualnie „potwierdzania” takiej lub innej aktywności w sieci.

Skala zjawiska jest ogromna. Tylko w pierwszej połowie 2021 roku liczba ataków phishingowych w globalnej sieci wzrosła aż o 22 procent - wynika z danych zebranych przez firmę PhishLabs. W dodatku już 80 procent tych ataków ma wykorzystywać protokół HTTPS - powszechnie uważany za bezpieczny.

To internetowa - i tak stara jak sam internet - wersja rozmaitych oszustw „na wnuczka”. Oszuści stosujący scamming zaczynają zwykle od rozesłania możliwie szerokim lemieszem (na przykład na masowe listy wysyłkowe e-mail) przygotowane z pomocą dostępnych w nielegalnym handlu baz wykradzionych z różnych miejsc danych, możliwie sugestywnych wiadomości. Takie wiadomości są wstępem do dłuższej konwersacji, w ramach której oszust coraz mocniej zmanipulowuje ofiarę, aż w końcu ona sama godzi się na zaproponowane rozwiązania, co ostatecznie kończy się marnie dla zawartości jej portfela. Oszust celowo doprowadza ofiarę do stanu coraz większego podenerwowania, sugerując, że trzeba działać szybko i zdecydowanie i koniecznie stosować się do podanej procedury. Dlatego właśnie porównanie z „analogowymi” oszustwami „na wnuczka” jest całkowicie zasadne i nieprzypadkowe, chodzi o osiągnięcie bardzo podobnego stanu ofiary i w konsekwencji założonego celu w postaci skutecznego wyłudzenia.

Scamming występuje też w wielu różnych odmianach w mediach społecznościowych, na forach internetowych i w komunikatorach używanych przez graczy komputerowych (niekiedy nawet tych wbudowanych w gry, zwłaszcza te z kategorii MMO). W takich wypadkach zarówno treść wiadomości, jak i przedmiot wyłudzania mają na ogół ścisły związek czy to z mechaniką gry, czy tematyką istotną w danej internetowej społeczności.

Gracz MMO może więc dostać na przykład propozycję zakupu ze sporą zniżką przedmiotów przydatnych mu w grze, czy rozmaitych pakietów „złotych monet” i innych „diamentowych punktów” liczących się w grze. Skuszony, przeleje środki oszustom i oczywiście nigdy żadnych złotych monet nie zobaczy.

To jest naprawdę bardzo niebezpieczny pakiet oszukańczych technik, bo dobrze przeprowadzony pharming nie daje zwykłemu użytkownikowi internetu niemal żadnych szans na obronę. W pharmingu chodzi przede wszystkim o to, by przechwycić ruch z legalnej i zaufanej strony internetowej (na przykład tej banku, znanego sklepu czy operatora telekomunikacyjnego) i skierować go na przygotowaną przez złodziei możliwie wierną imitację tej strony. Tam nieświadoma niczego i całkowicie przekonana, że właśnie zalogowała się do systemu swojego banku czy też wybrała na internetowe zakupy ofiara ma dokonać zakupów, czy też transakcji bankowych - albo płacąc czy przelewając pieniądze bezpośrednio na konto oszustów, albo też nieświadomie dzieląc się z nimi hasłami autoryzacyjnymi czy numerami kart kredytowych.

Całe okrucieństwo tego pomysłu zawiera się w tym, że odpowiednio przygotowany pharming zadziała po wpisaniu (czy kliknięciu z linka) dokładnego, tego prawdziwego adresu, na który wybierał się internauta. Jakim cudem zatem jest to w ogóle możliwe? Ogólnie istnieją na to dwa możliwe typy sposobów.

Pierwszym z nich jest instalacja na urządzeniu ofiary (często przez nią sama) oprogramowania, które skrycie podmieni realny i prawidłowy link czy adres internetowy na ten przygotowany przez oszustów. Druga metoda jest bardziej zaawansowana i pozwala działać na większą skalę. W tym wypadku oszuści włamują się do serwera DNS danej strony (lub go infekują) i w ten sposób całkowicie w białych rękawiczkach przekierowują ruch na swoją fałszywkę. Z perspektywy zwykłego użytkownika sieci bardzo trudno się przed tym bronić, zresztą nabrać się może dosłownie każdy - bo przecież nawet informatycy i zawodowi hakerzy nie sprawdzają atrybutów każdej odwiedzanej w internecie strony.

Ta dziwna pisownia nazwy tego rodzaju oszustwa bierze się stąd, że zawsze zaczyna się ono od wysłania do ofiary tradycyjnego SMS-a. Korzystanie właśnie z tej formy komunikacji to w roku 2021 bardzo sprytna socjotechnika.

Po pierwsze, telefon uważamy za dość prywatne i jednocześnie relatywnie bezpieczne narzędzie komunikacji. Wydaje nam się, że jeżeli już jakaś osoba lub instytucja ma nasz numer telefonu, to znaczy że mamy z nią odpowiednie powiązania, by nawiązać kontakt. Oba te przeświadczenia są oczywiście błędne - smartfon z oprogramowaniem szpiegującym zamienia się w supermaszynę do inwigilacji, zaś bazy numerów telefonów można dziś kupować na czarnym rynku równie łatwo i niedrogo, jak te dotyczące adresów e-mail czy danych z mediów społecznościowych. Ale jest jeszcze coś innego, co daje SMS-om realną wyższość nad innymi formami komunikacji elektronicznej. Otóż SMS-y niemal zawsze czytamy - do tego często na nie odpowiadamy - zupełnie inaczej niż robimy z innymi niż służbowe e-mailami. Z badań przeprowadzonych przez firmę Gartner wynika, że odczytywanych jest aż 98 procent wszystkich wiadomości tekstowych wysłanych za pośrednictwem sieci GSM. Do tego aż 45 z nich doczekuje się odpowiedzi ze strony odbiorcy.

Rozpoczęcie przez oszustów podchodów za pośrednictwem właśnie SMS to zatem całkiem efektywny sposób na poprowadzenie dalszej konwersacji w zakładanym kierunku. W tym znaczeniu SMiShing jest zresztą specyficzną, telefoniczno-SMS-ową odmianą phishingu.

To rzecz paradoksalnie bardzo popularna w ostatnich czasach - mowa o technikach podobnych do phishingu, ale opartych na rozmowie telefonicznej. W jej trakcie rozmówca - który ma na ogół całkiem niezłe pojęcie o podstawach psychologii i metodach manipulacyjnych - próbuje wyłudzić od ofiary mniej więcej to samo, co w wypadku phishingu - czyli albo hasła autoryzacyjne, albo też określone zachowanie w postaci np. instalacji na komputerze wskazanego oprogramowania.

Klasyka gatunku to „pilny telefon z banku”. Dzwoniący przedstawia się na przykład jako pracownik centrum kart kredytowych, który dzwoni zaniepokojony siedmioma próbami wypłaty z bankomatów w innych krajach. Zdenerwowana ofiara może stać się łatwym celem - opowieść jest bardzo przekonująca, oszust opowiada na przykład o tymczasowej blokadzie wypłat, którą jednakże należy szybko potwierdzić, w tym celu należy podać nr Klienta i np. pierwsze sześć znaków hasła do autoryzacji przelewów. Jeśli ofiara nie zachowa należytej ostrożności, za kilka chwil może być już za późno. Takie oszustwa są z reguły nieźle przygotowane - przestępcy wiedzą, że dzwonią do klienta danego banku, często mają też dostęp do jego telefonu za pomocą zainstalowanego wcześniej oprogramowania. Vishing jest więc bliskim krewnym zarówno phishingu, jak i scammingu - w tym ostatnim wypadku może być zresztą nawet skuteczniejszy od tego prowadzonego samymi środkami komunikacji cyfrowej - dobry oszust przez telefon będzie po prostu bardziej sugestywny.

To jeszcze jeden z tych najbardziej niebezpiecznych i wymagających zastosowania dość zaawansowanej technologii rodzajów internetowych oszustw. W tym wypadku wyłudzający sięga po technologię, by podszyć się pod konkretną instytucję w najbardziej przekonujący sposób - czyli stosując sfałszowany identyfikator nazwy dzwoniącego albo również sfałszowany adres e-mail. W efekcie osoba, do której dzwoni oszust podający się za pracownika banku, może być święcie przekonana, że naprawdę tak jest - bo przecież na ekranie połączenia wyświetla się dokładna nazwa banku, w którym ofiara ma konto albo na przykład urzędu, w którym ma sprawy do załatwienia. Dokładnie to samo może dotyczyć adresu mailowego - za pomocą najlepszych technik spoofingowych można podmienić adres tak skutecznie, że na pierwszy rzut oka będzie to całkowicie nie do rozpoznania. Zwłaszcza jeśli oszuści przekonująco podrobią również całą oprawę graficzną maila, tak by stała się łudząco podobna do tej prawdziwej, czy wręcz z nią identyczna.

Jak to się robi? „Podmienić” adres mailowy można na kilka sposobów - od tych całkiem hakerskich po nieco bardziej prymitywne oparte na wykorzystaniu niuansów zawartych w samym protokole SMTP służącym do wysyłania i dostarczania adresów mailowych. Jeśli chodzi o podmianę identyfikatorów dzwoniącego w sieciach GSM możliwe są z grubsza dwa typy sposobów. W pierwszym wykorzystuje się dość zaawansowany sprzęt, za pomocą którego można włamać się do sieci w określony sposób i w określonym miejscu - chodzi o urządzenia wykorzystywane na przykład przez służby. Wymaga to sporych nakładów, za to zdecydowanie zwiększa BHP z punktu widzenia oszustów - łatwiej im pozostać nieuchwytnymi, jeśli będą takich włamań dokonywać fizycznie w różnych miejscach. W drugim typie sposobów na telefoniczny spoofing wykorzystywane są protokoły VOiP, które bardzo często pozwalają „oszukać” sieć telekomunikacją w bardzo łatwy sposób.

Jak dość łatwo zauważyć, spoofing adresów mailowych lub identyfikatorów dzwoniącego jest przede wszystkim bardzo dobrą techniką uzupełniającą bardziej klasyczne formy phishingu. Za pomocą spoofingu oszust może się dodatkowo „uwiarygodnić” - jeszcze bardziej wzmacniając swoją siłę przekonywania ofiary.