Dziennik Internetowy dla Społeczności Zamówień Publicznych

Czym jest PHISHING i SPOOFING?

Czym jest phishing? 

Phishing to termin, który może brzmieć znajomo, wywodzi się od angielskiego słowa fishing oznaczającego łowienie ryb. W ramach ataków phishingowych cyberprzestępcy łowią swoje ofiary poprzez wysyłanie im e-maili lub wiadomości SMS, aby wyłudzić poufne dane logowania. Wiadomości takie czasem zawierają załączniki np. ze złośliwym oprogramowaniem. Akcje phishingowe często wykorzystują elementy spoofingu.

Niedawno mieliśmy do czynienia z atakiem phishingowym w obszarze zamówień publicznych, dotyczącym prób wyłudzenia danych poprzez wysłanie z podejrzanego adresu e-mail informacji dotyczących zmiany hasła w serwisie TED e-notice.


DOŁĄCZ do społeczności PRAKTYKÓW Zamówień Publicznych na Facebook! Dopisz się do grupy PRZETARGowa Ustawa Nowa i podziel się swoim doświadczeniem! 👇


Czym jest spoofing? 

Spoofing to próba oszukania ofiary poprzez przekonanie jej, że kontaktuje się z zaufaną osobą czy organizacją albo korzysta z bezpiecznej strony internetowej.

Spoofing jest podobny do phishingu i często z nim mylony. O ile phishing do osiągnięcia swoich celów najczęściej wykorzystuje metody socjotechniczne – nakłania ofiarę do dobrowolnego przekazania mu danych, o tyle spoofing bardziej zaawansowany technologicznie, wykorzystuje podrobione adresy mailowe, numery telefonów czy fałszywe strony internetowe będące wiernymi kopiami ich prawdziwych odpowiedników. Jak to wygląda w praktyce? W przypadku spoofingu sms, fałszywa wiadomość pojawia nam się w „wątku rozmowy” z zaufaną osobą czy instytucją, w ten sposób otrzymujemy rzekome wiadomości od rodziny, przyjaciół, banków, ale też np. kurierów czy sklepów internetowych, w których znajdujemy różne powody, dlaczego powinniśmy wejść w podesłany link i udostępnić tam swoje dane.

Przykład spoofingu

Jednym z nowszych przykładów phishingu wykorzystującego elementy spoofingu jest kampania wykorzystująca w wiadomościach e-mail wizerunek Ministerstwa Finansów. Celem tego ataku jest wyłudzenie danych osobowych, poufnych informacji w postaci danych logowania do systemu bankowego oraz pieniędzy. Jak przebiega taki atak? Przestępcy na podrobionej stronie internetowej Ministerstwa Finansów informują o rzekomym, które oferować ma jednorazowe świadczenie finansowe dla bezrobotnych i pracujących obywateli RP, z powodu rosnącego bezrobocia i migracjami związanymi z konfliktem w Ukrainie. Zamieszczono tam również formularz, który należy wypełnić danymi osobowymi w celu wypłaty świadczenia. W kolejnym kroku ofiara otrzymuje SMS, którego nadawcą jest rzekomo bank ofiary, z informacją o przyznanym świadczeniu. Wiadomość zawiera link, który przenosi ofiarę na fałszywą stronę banku, gdzie nakłania się użytkownika do podania danych logowana w celu wypłaty świadczenia. W ten sposób ofiara daje przestępcom pełny dostęp do swojego konta bankowego, a w wyniku tego przestępcy mogą wytransferować nasze oszczędności na zewnętrzne konta.

DOWIEDZ się WIĘCEJ! ZOBACZ odcinek: Cyberbezpieczeństwo w PRZETARGACH. Zabezpiecz ZAMÓWIENIA publiczne! i subskrybuj kanał PRZETARGowa na YouTube! 👇

Oceń artykuł! Czy ten artykuł był pomocny?

Dziękujemy za Twoją opinie!

Napisz artykuł na przetargowa.pl lub zgłoś dla nas temat! Skontaktuj się z nami! (kliknij tutaj).

Author

  • Eryk Brodnicki

    EMBA, Prezes zarządu Centrum Audytu Bezpieczeństwa Sp. z o.o., wieloletni Inspektor Ochrony Danych w sektorze publicznym i branży prywatnej, ekspert Polskiego Instytutu Kontroli Wewnętrznej, członek stowarzyszenia ACFE Polska #183, audytor wiodący SZBI wg ISO 27001 i Approved Whistleblowing Compliance Officer. Jest autorem kilkunastu publikacji i prelegentem na wielu wydarzeniach o charakterze krajowym i międzynarodowym.

    View all posts

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj