Szybko, tanio i niebezpiecznie: narzędzia wykorzystywane przez cyberoszustów do tworzenia tysięcy stron phishingowych
W 2021 roku badacze z firmy Kaspersky zablokowali 1,2 miliona stron phishingowych wygenerowanych z użyciem 469 zestawów narzędzi – gotowych szablonów fałszywych witryn, dzięki którym cyberprzestępcy mogą łatwo przeprowadzać cyberataki. Strony phishingowe są coraz szybciej blokowane, dlatego oszustom zależy na ich błyskawicznym i masowym generowaniu. Z pomocą zestawów narzędzi phishingowych nawet osoba nieposiadająca doświadczenia może w krótkim czasie stworzyć setki stron służących do oszukiwania i wyciągania informacji od użytkowników.
Jedna z najpowszechniejszych technik phishingowych polega na przygotowaniu fałszywej strony dobrze znanej i szanowanej marki, na której użytkownicy są zachęcani do podania swoich danych osobowych lub innych informacji. Ręczne tworzenie takich stron jest czasochłonne i nie wszyscy cyberprzestępcy posiadają ku temu niezbędne umiejętności. Z kolei korzystanie z zestawów narzędzi phishingowych wymaga niewielkiego wysiłku – do przeprowadzenia ataku wystarczy krótka instrukcja dołączona do sprzedawanego szablonu.
Poza takimi szablonami niektóre narzędzia phishingowe zawierają zautomatyzowane mechanizmy wysyłania sfałszowanych wiadomości za pośrednictwem popularnych komunikatorów internetowych lub poczty e-mail. Narzędzia tego typu umożliwiają błyskawiczne wysyłanie setek tysięcy e-maili phishingowych jako przynęty pozwalającej schwytać potencjalne ofiary.
Twórcy zestawów narzędzi phishingowych nie poprzestają na podstawowych szablonach i nieustannie wymyślają nowe, zaawansowane dodatki, takie jak narzędzia zapobiegające wykryciu. Dodając do generowanych stron zamaskowany bądź śmieciowy kod, twórcy utrudniają ich wykrywanie i blokowanie przez rozwiązania bezpieczeństwa. Taki kod to często mnóstwo bezładnego tekstu, dlatego nabywcy zestawów narzędzi phishingowych, zwłaszcza początkujący użytkownicy, nie przyglądają mu się uważnie. Wykorzystują to niektórzy nieuczciwi twórcy, dodając taki kod nie tylko do generowanych stron, ale również do modułów przesyłających wykradzione informacje. W ten sposób mogą ukraść dane, które zebrał nabywca ich produktu, i użyć ich do własnych celów.
Zestawy narzędzi phishingowych są aktywnie sprzedawane w darknecie oraz w zamkniętych kanałach komunikatora Telegram. Ceny różnią się w zależności od złożoności danego szablonu i wynoszą od około 200 do nawet 4 000 zł. Najprostsze zastawy bywają oferowane bezpłatnie w domenie publicznej.
Wielu twórców oferuje w darknecie całe pakiety, swego rodzaju “phishing jako usługa”, które zawierają zestawy narzędzi pozwalających na generowanie witryn podszywających się pod różne marki. Pakiety te umożliwiają także prowadzenie całych kampanii kradzieży danych obejmujących badanie celu, wysyłanie wiadomości phishingowych, jak również szyfrowanie i wysyłanie skradzionych danych do klienta.
Posiadając kod źródłowy zestawu narzędzi phishngowych, można zablokować wszystkie fałszywe strony wygenerowane z jego użyciem. W ubiegłym roku badacze z firmy Kaspersky wykryli 469 zestawów narzędzi phishingowych, co pozwoliło im zablokować 1,2 miliona różnych stron oszukujących użytkowników.
Chociaż czas życia stron phishingowych coraz częściej nie przekracza zaledwie kilku godzin, w wielu przypadkach atakującym udaje się osiągnąć cel i ukraść dane użytkowników. Aby rozszerzyć zakres takich ataków, oszuści muszą tworzyć tysiące fałszywych stron dziennie – ułatwiają im to zestawy specjalnych narzędzi. Czasy, w których skuteczny atak phishingowy mogli przeprowadzić jedynie doświadczeni cyberprzestępcy, minęły bezpowrotnie – teraz może tego dokonać nawet amator wyposażony w odpowiednie narzędzie – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.
Szczegóły techniczne dotyczące narzędzi służących do przeprowadzania ataków phishingowych są dostępne na stronie https://r.kaspersky.pl/QUlFU.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky rekomendują następujące działania w celu zabezpieczenia się przed atakami phishingowymi:
- Zanim klikniesz link, sprawdź go. Najedź na niego kursorem myszy, aby podejrzeć prawdziwy adres URL. Zwracaj uwagę na literówki oraz inne nieścisłości.
- Jeżeli musisz pozostawić jakiekolwiek dane na stronie internetowej, sprawdź, czy stosuje ona bezpieczne połączenie. Zwróć uwagę na przedrostek HTTPS przed adresem URL strony, który oznacza, że połączenie jest szyfrowane. Nie poprzestawaj jednak na tym – sprawdź, czy certyfikat bezpiecznego połączenia został faktycznie wydany na dostawcę usługi, z której korzystasz. Cyberprzestępcy mogą stosować własne lub skradzione certyfikaty, by ich strony wygadały na bezpieczne.
- Niektóre wiadomości e-mail oraz strony internetowe do złudzenia przypominają ich wersje oryginalne – wszystko zależy od wysiłku włożonego przez przestępców. Strony wykazujące podobieństwo do oryginału są znacznie bardziej niebezpieczne.
- Dobrą praktyką jest całkowita rezygnacja z klikania odnośników w e-mailach. Zamiast tego bezpieczniej jest wprowadzać adresy ręcznie lub korzystać z utworzonych przez siebie zakładek.
- Unikaj logowania się do serwisów bankowości online lub podobnych za pośrednictwem publicznych sieci Wi-Fi. Mimo wygody, jaką oferują hotspoty, lepiej korzystać z bezpiecznej sieci. Otwarte sieci mogą być tworzone przez przestępców, którzy, między innymi, fałszują adresy stron internetowych i przekierowują użytkowników do oszukańczych zasobów.
- Zainstaluj godne zaufania rozwiązanie bezpieczeństwa i postępuj zgodnie z jego zaleceniami. Takie narzędzia rozwiążą większość problemów w sposób automatyczny, a jeśli to konieczne, wyświetlą odpowiednie ostrzeżenie.
- Jeżeli masz jakiekolwiek wątpliwości co do autentyczności wiadomości e-mail lub strony internetowej, skontaktuj się z dostawcą danej usługi.