Powrót do bloga

Polecane artykuły 

ZAPRASZAM DO SKLEPU

znajdziesz w nim

WZORY 

DOKUMENTY NA ZAMÓWIENIE 

NEWSLETTER

Ewelina Fuławka

Prawnik dla firm

Zajmuję się kompleksową obsługą prawną 

przedsiębiorców,

w tym spółek,

e-biznesu oraz twórców.

Stawiam na holistyczne podejście, profesjonalizm i długofalowe relacje.

Z ostatniego artykułu dot. Europejskiego Miesiąca Cyberbezpieczeństwa (ECSM) wiesz, że phishing to metoda oszustwa, w której cyberprzestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji.

Dzisiaj poznasz najczęściej spotykane rodzaje phishingu.

#phishing #cybersecurity #RODOdlaFIRM #prawnik #prawnikfirm  #prawnikewelinafuławka #prawnikonline #prawnikWrocław #ochrondadanych #centrumprawneonline #bezpiecznawsieci  #biznesonline #wdrożenieRODO #politykabezpieczeństwa

Spis treść

1. Email phishing.
2. Spear phishing.
3. CEO fraud.
4. Clone phishing.
5. Voice phishing lub vishing.
6. SMS phishing lub smishing.
7. Page hijacking.
8. Calendar phishing.
9. Quishing.
10. Gdzie i w jaki sposób zgłosić atak phishingowy?
11. Polityka bezpieczeństwa.

Email phishing

Większość wiadomości phishingowych jest dostarczana przez spam e-mailowy i nie jest spersonalizowana ani skierowana do konkretnej osoby lub firmy – jest to określane mianem „masowego” phishingu.

Treść masowej wiadomości phishingowej różni się znacznie w zależności od celu atakującego.

Atakujący podszywają się w wiadomościach najczęściej pod:

• banki,
• usługi finansowe,
• dostawców usług poczty e-mail,
• chmury,
• usługi przesyłania strumieniowego.

Wiadomość jest sformułowana w taki sposób, aby zachęcić odbiorcę do natychmiastowej reakcji, np. kliknięcia w link.

Atakujący mogą wykorzystać uzyskane dane uwierzytelniające do bezpośredniej kradzieży pieniędzy od ofiary.

Atakującym często zależy na pozyskaniu zastrzeżonych informacji lub instalacji złośliwego oprogramowania na urządzeniu ofiary.

Zaatakowane konta usług przesyłania strumieniowego są zwykle sprzedawane bezpośrednio konsumentom na rynkach darknet.

Spear phishing

Spear phishing polega na tym, że atakujący bezpośrednio atakuje konkretną organizację lub osobę za pomocą dostosowanej komunikacji phishingowej.

Zasadniczo jest to tworzenie i wysyłanie wiadomości e-mail do konkretnej osoby, aby ta osoba myślała, że wiadomość e-mail jest wiarygodna.

Spear phishing zazwyczaj jest wymierzony w kadrę kierowniczą lub osoby pracujące w działach finansowych, które mają dostęp do poufnych danych finansowych i usług organizacji. 

CEO fraud

CEO fraud obejmuje tworzenie fałszywych wiadomości e-mail rzekomo od kadry kierowniczej wyższego szczebla z zamiarem nakłonienia innych pracowników organizacji do wykonania określonej czynności, zwykle przelewu pieniędzy na konto zagraniczne.

Clone phishing

Clone phishing to rodzaj ataku phishingowego, w którym legalna i wcześniej dostarczona wiadomość e-mail zawierająca załącznik lub łącze została przejęta i wykorzystana do utworzenia niemal identycznej lub sklonowanej wiadomości e-mai.

Załącznik lub łącza w wiadomości e-mail są zastępowane złośliwą wersją, a następnie wysyłane z adresu e-mail sfałszowanego tak, by wyglądały na pochodzące od oryginalnego nadawcy.

Voice phishing

Phishing głosowy lub vishing to wykorzystanie telefonii (często telefonii Voice over IP) do przeprowadzania ataków phishingowych.

Atakujący wybierają dużą liczbę numerów telefonów i odtwarzają zautomatyzowane nagrania – często dokonywane za pomocą syntezatorów mowy – które zawierają fałszywe twierdzenia o nieuczciwej działalności na kontach bankowych lub kartach kredytowych ofiary.

Numer telefonu zostaje sfałszowany, aby pokazać prawdziwy numer banku lub instytucji, pod którą ktoś się podszywa.

Ofiara jest następnie kierowana do rozmowy na numer kontrolowany przez napastników, który albo automatycznie poprosi ją o wprowadzenie poufnych informacji w celu „rozwiązania” rzekomego oszustwa, albo połączy ją z żywą osobą, która będzie próbowała użyć socjotechniki w celu uzyskania informacje.

Phishing głosowy opiera się na mniejszej świadomości ogółu społeczeństwa na temat technik, takich jak fałszowanie identyfikatora rozmówcy i automatyczne wybieranie numeru, w porównaniu z odpowiednikami phishingu e-mailowego, a tym samym nieodłącznym zaufaniem, jakie wiele osób ma do telefonii głosowej.

SMS phishing lub smishing

Phishing SMS lub smishing jest koncepcyjnie podobny do phishingu e-mailowego, z wyjątkiem tego, że atakujący używają wiadomości tekstowych z telefonu komórkowego, aby dostarczyć „przynętę”.

Ataki typu Smishing zazwyczaj zachęcają użytkownika do kliknięcia łącza, zadzwonienia pod numer telefonu lub skontaktowania się z adresem e-mail podanym przez atakującego za pośrednictwem wiadomości SMS.

Ofiara jest następnie proszona o podanie swoich prywatnych danych; często poświadczenia do innych witryn lub usług.

Ponadto, ze względu na charakter przeglądarek mobilnych, adresy URL mogą nie być w pełni wyświetlane; może to utrudnić zidentyfikowanie nielegalnej strony logowania.

Ponieważ rynek telefonii komórkowej jest obecnie nasycony smartfonami, z których wszystkie mają szybkie połączenie z Internetem, złośliwe łącze wysłane SMS-em może przynieść taki sam skutek, jak wysłane za pośrednictwem poczty e-mail.

Wiadomości Smishing mogą pochodzić z numerów telefonów, które mają dziwny lub nieoczekiwany format.

Page hijacking

Porwanie strony polega na przejęciu legalnych stron internetowych w celu przekierowania użytkowników do złośliwej witryny lub zestawu exploitów za pomocą skryptów między witrynami.

Haker może włamać się na stronę internetową i wstawić zestaw exploitów, taki jak MPack, w celu złamania zabezpieczeń legalnych użytkowników, którzy odwiedzają obecnie zainfekowany serwer sieciowy.

Jedna z najprostszych form przechwytywania stron polega na modyfikowaniu strony internetowej tak, aby zawierała złośliwą ramkę, która może umożliwić załadowanie zestawu exploitów.

Calendar phishing

Phishing kalendarza ma miejsce, gdy linki do phishingu są dostarczane za pośrednictwem zaproszeń z kalendarza.

Wysyłane są zaproszenia, które domyślnie są automatycznie dodawane do wielu kalendarzy.

Zaproszenia te często przybierają formę RSVP i innych typowych próśb o wydarzenia.

Quishing

Rodzaj phishingu opierający się na QR (ang. Quick Response – szybka odpowiedź).

Quishing to oszustwo, w którym przestępca tworzy spreparowany kod QR.

Skanujący myśli, że kod poprowadzi go do bezpiecznej strony, tymczasem zeskanowanie skutkuje pobieraniem na urządzenie wirusa lub robaka, lub przekierowaniem do fałszywej witryny (np. operatora płatności elektronicznej).

Gdzie zgłosić atak phishingowy?

W następnym artykule na temat cyberbezpieczeństwa udzielę odpowiedzi na pytanie: Gdzie i w jaki sposób zgłosić atak phishingowy?

Z moich publikacji dowiesz się nie tylko jak zabezpieczyć interes prawny umową lub regulaminem, ale także jak chronić dane osobowe i dane informatyczne.

Polityka bezpieczeństwa

Jeśli przetwarzasz dane w formie elektronicznej, to pamiętaj o wdrożeniu polityki bezpieczeństwa informatycznego oraz polityki ochrony danych osobowych (dalej nazywanej łącznie „polityką bezpieczeństwa”).

Skuteczna polityka bezpieczeństwa to dokument obejmujący wszystkie aspekty związane z przechowywaniem i przetwarzaniem informacji w  formie elektronicznej.

Polityka bezpieczeństwa stoi na straży integralności i poufności danych, oraz pomaga spełnić zasadę rozliczalności – dzięki niej administrator wykaże, że przestrzega RODO i zasad cyberbezpieczeństwa.

Potrzebujesz profesjonalnej polityki bezpieczeństwa?

#phishing #cybersecurity #RODOdlaFIRM #prawnik #prawnikfirm  #prawnikewelinafuławka #prawnikonline #prawnikWrocław #ochrondadanych #centrumprawneonline #bezpiecznawsieci  #biznesonline #wdrożenieRODO #politykabezpieczeństwa

Zapraszam do skorzystania z usługi „Wdrożenie RODO”, w ramach której przygotuję dla Twojej firmy zasady ochrony danych osobowych oraz zasady bezpieczeństwa informatycznego – na podstawie wyników analizy występujących ryzyk.

Do napisania lub usłyszenia!

Prawnik dla Firm

Ewelina Fuławka

Chcesz dowiedzieć się więcej? Zapisz się na newsletter Prawnika dla Firm.

#phishing #cybersecurity #RODOdlaFIRM #prawnik #prawnikfirm  #prawnikewelinafuławka #prawnikonline #prawnikWrocław #ochrondadanych #centrumprawneonline #bezpiecznawsieci  #biznesonline #wdrożenieRODO #politykabezpieczeństwa

NOTA PRAWNO–INFORMACYJNA

Wiadomości zawarte w niniejszym artykule nie stanowią porady prawnej, lecz mają charakter informacyjny. Artykuł zawiera tłumaczenie definicji phishingu ze strony https: //en.wikipedia.org/wiki/Phishing#Email_phishing  na zasadach Creative Commons Attribution-ShareAlike License 3.0. Artykuł uwzględnia stan wiedzy obowiązujący w dniu jego sporządzenia tj. w dniu 21.10.2022 r.

Przydatne informacje i porady.

Twoja firma zgodna z prawem.

Blog prawny dla firm

Prawnik Ewelina Fuławka

© 2020-2024 Centrum Prawne Online Prawnik Ewelina Fuławka

Jesteśmy tutaj

od pon. do czw. od 09:00 do 17:00

w pt. nieczynne