Dlaczego wygląd strony to za mało?

Phishing to wciąż najbardziej rozpowszechniona forma cyberoszustwa. Socjotechnika sprawa, że trafiamy na stronę, gdzie oszuści wyłudzają od nas cenne informacje. Pamiętajmy, że w dzisiejszych czasach praktycznie każdy, kto posiada podstawowe umiejętności techniczne, może stworzyć stronę do złudzenia przypominającą tę, którą dobrze znamy. Fałszywe strony mogą mieć skopiowany każdy element wizualny – logo, kolory, układ graficzny. Wszystko to sprawia, że nie jesteśmy w stanie odróżnić ich od oryginału.

Współczesny phishing to już nie tylko ordynarne oszustwo. Często wystarczy jedno kliknięcie w link z sensacyjnego posta w mediach społecznościowych albo w odnośnik z SMS-a lub e-maila aby trafić na dokładną kopię znanego serwisu.

Jak więc stwierdzić, na jakiej stronie naprawdę się znaleźliśmy?

Skoro nie możemy polegać na wyglądzie strony, to co nam pozostaje? Jedynym wiarygodnym źródłem informacji jest adres widoczny w pasku przeglądarki. To właśnie w nazwie domeny kryje się odpowiedź na pytanie, gdzie rzeczywiście jesteśmy. Jednak rozpoznanie domeny w adresie URL wcale nie jest proste – cyberprzestępcy używają coraz bardziej wyrafinowanych sztuczek, żeby nas zmylić.

Przykłady wprowadzających w błąd adresów

Przyjrzyjmy się dwóm rzeczywistym przykładom. Na pierwszy rzut oka wyglądają jak adresy znanych serwisów:

• Przykład 1: https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
• Przykład 2: https://allegrolokalnie.pl-oferta5815015105198474.cfd/oferta/laptop-gamingowy-lenovo-ryzen-5/qRnGOMfpKOeBBs7bre

Wydaje się, że pierwszy adres prowadzi do Booking.com, a drugi do Allegro Lokalnie, prawda? Nic bardziej mylnego! Żaden z nich nie należy do oryginalnych serwisów.

Jak poprawnie przeanalizować taki adres

Żeby poprawnie przeanalizować adres strony, należy wykonać następujące kluczowe kroki:

Krok 1: Wyizoluj domenę

Znajdź pierwszy ukośnik (/) po schemacie „http://” lub „https://”. Wszystko między „://” a tym ukośnikiem to nazwa hosta (domena).

Krok 2: Uważaj na homoglify – znaki podobne do typowych symboli

W pierwszym przykładzie znak „ん” tylko udaje ukośnik i tyldę, ale jest zupełnie innym znakiem – takie podstawienia mają zmylić nasz wzrok.

Krok 3: Czytaj domenę od prawej do lewej

Rozbij domenę na części po kropkach i analizuj od prawej do lewej:

• Najbardziej wysunięty segment to rozszerzenie domeny najwyższego poziomu (TLD), np. .com, .pl, .cfd
• Niektóre rozszerzenia są złożone, np. .waw.pl, .com.pl, .org.pl
• Główna domena składa się z rozszerzenia oraz etykiety bezpośrednio je poprzedzającej
• Wszystko na lewo to subdomeny lub wstawki, które nie wskazują na przynależność do rzeczywistej marki

Zastosowanie tej analizy pozwala ujawnić prawdę. Po przejściu powyższych kroków odkrywamy:

1. Prawdziwą domenę w pierwszym adresie: www-account-booking.com (a nie booking.com!)
2. Prawdziwą domenę w drugim adresie: pl-oferta5815015105198474.cfd (a nie allegrolokalnie.pl!)

Jak widać, poprawna analiza adresu URL wcale nie jest łatwa i wymaga uwagi oraz znajomości podstawowych zasad budowy adresów internetowych.

Funkcje bezpieczeństwa przeglądarek: Twoja pierwsza linia obrony

Ochrona w przeglądarkach na komputerze

Nowoczesne przeglądarki zawierają funkcje bezpieczeństwa pomagające użytkownikom identyfikować rzeczywiste domeny. Firefox wyróżnia się podświetlaniem głównej domeny.

Podczas przeglądania naszych przykładów w Firefoxie, widzimy w pasku adresu:

Przeglądarka wyraźnie podświetla www-account-booking.com dla pierwszego adresu oraz pl-oferta5815015105198474.cfd w drugim adresie.

To wizualne rozróżnienie natychmiast ujawnia, że te strony nie mają żadnego związku z oryginalnymi markami.

Chrome i inne przeglądarki również oferują podświetlanie domen. Zazwyczaj jednak podświetlają całą domenę wraz z subdomenami, co może utrudnić wykrycie oszustwa. Dodatkowo niższy kontrast kolorów w Chrome może sprawić, że podświetlenie będzie mniej zauważalne dla użytkowników. Dlatego liczy się Wasza uważność!

Kwestie przeglądarek mobilnych

Biorąc pod uwagę mniejszy rozmiar ekranu na urządzeniach mobilnych, możemy się zastanawiać, jak te długie, zwodnicze adresy URL wyglądają na smartfonach. Na szczęście większość przeglądarek mobilnych implementuje inteligentne przewijanie, które automatycznie ustawia pasek adresu tak, aby wyświetlić koniec domeny — najważniejszą część do weryfikacji.

Firefox na urządzeniach mobilnych na przykład dba o to, żeby rzeczywista domena pozostała widoczna, przewijając adres tak, aby pokazać:

• …www-account-booking.com/… dla pierwszego przykładu
• …erta5815015105198474.cfd/… dla drugiego przykładu

Chrome na Androidzie i Safari na iOS wdrożyły to samo podejście ochronne:

Jak pokazano powyżej, wszystkie popularne przeglądarki na urządzenia mobilne automatycznie przewijają pasek adresu, aby ujawnić rzeczywistą domenę. Zapobiegają w ten sposób przysłonięciu prawdziwej tożsamości strony przez zwodnicze przedrostki wykorzystywane przez oszustów.

To sprytne pozycjonowanie utrzymuje ten sam poziom ochrony na urządzeniach mobilnych. Użytkownicy powinni jednak być świadomi, że niektóre mniej popularne przeglądarki na urządzenia mobilne mogą nie posiadać tej funkcji bezpieczeństwa. W takich przypadkach zwodnicza część adresu może pozostać widoczna, podczas gdy rzeczywista domena będzie ukryta.

Zachowanie czujności w zmieniającym się krajobrazie zagrożeń

Zrozumienie, jak prawidłowo analizować adresy URL i rozpoznawać oszustwa domenowe jest kluczowe dla bezpieczeństwa online. Choć konkretne przykłady użyte w tym artykule zostały już oznaczone i zablokowane przez Google Safe Browsing (chroniąc użytkowników przeglądarek korzystających z tej usługi), podstawowe zasady analizy adresów internetowych pozostają uniwersalne.

Techniki phishingu wciąż ewoluują. Dlatego tak ważna jest znajomość tych podstawowych kwestii – właściwej identyfikacji domen i zrozumienia funkcji bezpieczeństwa przeglądarek. Stanowi to najlepszą obronę przed coraz bardziej wyrafinowanymi próbami oszustwa online.

Pamiętaj: gdy masz wątpliwości co do autentyczności strony internetowej, poświęć chwilę na dokładne sprawdzenie tego, co wyświetla się w pasku adresu przeglądarki. Te kilka sekund analizy może uchronić cię przed staniem się kolejną ofiarą oszustwa internetowego. Podziel się tym artykułem z bliskimi – rozpoznawanie domeny to kompetencja, która w dzisiejszych czasach jest bardzo potrzebna!

Wirus Emotet to groźny Trojan bankowy, wykorzystywany w ostatnim czasie w kampaniach ransomware do dystrybucji oprogramowania szyfrującego. Wykorzystuje on szereg mechanizmów utrudniających wykrycie przez oprogramowanie antywirusowe, a jego wachlarz możliwości obejmuje m.in. pobieranie innego złośliwego oprogramowania i wykradanie danych użytkownika. Czyni go to jednym z groźniejszych wirusów, będących aktualnie w użyciu. Po okresie zmniejszonej aktywności ponownie rośnie liczba kampanii z jego udziałem, spośród których wiele wymierzonych jest w cele o charakterze rządowym. We wrześniu eksperci ESET opublikowali szczegółową analizę ataku wymierzonego przeciwko Departamentowi Sprawiedliwości w Quebec. W tym samym czasie swoje ostrzeżenia wystosowały CERTy Francji, Japonii i Nowej Zelandii, a niedługo później dołączyły do nich agencje z Włoch, Holandii oraz firma Microsoft.

Najnowszą organizacją przestrzegającą przed zwiększoną aktywnością wirusa Emotet jest amerykański Departament Bezpieczeństwa Krajowego. Tylko od lipca w amerykańskich instytucjach rządowych doszło do ok. 16 tysięcy incydentów powiązanych z opisywanym zagrożeniem. Do ofiar wysyłane były wiadomości phishingowe, zawierające złośliwe załączniki, często rozsyłane z pomocą przejętych kont wewnątrz domeny danej organizacji.

Polska także zagrożona

Choć ostatnie doniesienia medialne milczą na temat wzmożonej aktywności trojana Emotet w Polsce, warto przypomnieć, że także do ofiar na terenie naszego kraju skierowane były złośliwe wiadomości. Jeszcze w lipcu ostrzegał o tym CERT Polska. Jednak jak zwraca uwagę Beniamin Szczepankiewicz, starszy analityk zagrożeń w ESET, nawet gdyby przestępcy od tamtej pory rzeczywiście stracili zainteresowanie polskimi użytkownikami Internetu, nadal należy zachować wzmożoną czujność.

– W przypadku szeroko zakrojonych kampanii phishingowych często zdarza się, że złośliwe wiadomości trafiają do osób postronnych, których nie było na pierwotnej liście celów cyberprzestępców. Może się tak stać np. na skutek utrzymywania przez zainfekowaną firmę stałego kontaktu mailowego ze swoimi międzynarodowymi partnerami. Z perspektywy ofiary nie ma natomiast znaczenia, czy atak miał charakter celowy, czy przypadkowy, ponieważ wyrządzone przez niego szkody będą dotkliwe– wyjaśnia Beniamin Szczepankiewicz z ESET.

Ekspert zwraca uwagę, że aby chronić się przed zagrożeniem, w większości wypadków powinno się przestrzegać podstawowych zasad bezpieczeństwa. Przede wszystkim nie należy klikać w linki i otwierać załączników w przypadku wiadomości, które z jakiegokolwiek powodu mogą wydawać się podejrzane. Dotyczy to przy tym nie tylko maili od nieznanych nadawców, ale także tych przesyłanych rzekomo wewnątrz organizacji.

Jest to typowy atak zwany „phishing„, czyli nic innego jak podszywanie się pod inną osobę czy też instytucję, w celu wyłudzenia określonych informacji takich jak: dane logowania, hasła, dane kart kredytowych itp. lub nakłonienia ofiary do określonych działań.

Choć wiadomość wydaje się być wysłana z prawidłowej domeny (kas.gov.pl), to ministerstwo zapewnia, że: „Korespondencja ta nie jest wysyłana z serwerów Krajowej Administracji Skarbowej„.

Jeśli jakimś cudem otrzymaliście taką wiadomość, to przestrzegamy Was przed jej otwieraniem, gdyż może się to zakończyć zainfekowaniem komputera, utratą danych i całą listą nieprzyjemnych rzeczy, na którą z pewnością nie macie ochoty.

Przypominamy również, że komputer niezabezpieczony programem antywirusowym jest w znacznie większym stopniu narażony na podobne infekcje.