W ostatnich miesiącach wielokrotnie informowaliśmy o atakach phishingowych wycelowanych w klientów polskich banków. Coraz więcej osób spotkało się z próbą wyłudzenia i wie, jak ją rozpoznać. Badacze z firmy Google przyjrzeli się internetowym oszustwom i doszli do zaskakujących wniosków – są one bardziej skuteczne niż mogłoby się wydawać.
Ośmiu pracowników wyszukiwarkowego giganta opublikowało artykuł, w którym przedstawia wyniki badań dotyczących phishingu. Analitycy przeanalizowali setki przypadków wyłudzenia haseł z lat 2011-2014, a dodatkowo zastawili pułapki na przestępców i zdołali dzięki temu dowiedzieć się, co dzieje się po włamaniu na konto. Większość badanych ataków zaczynała się z terytoriów 5 krajów, które można nazwać centrami phishingu: Chin, Wybrzeża Kości Słoniowej, Malezji, Nigerii i RPA.
(fot. iStock / Thinkstock)
Banki i poczta – ulubione cele przestępców
W przebadanej przez Google losowej próbie maili phishingowych znalazły się zróżnicowane przypadki. W większości wiadomości umieszczono link do podrobionej strony logowania, ale około 1/3 zawierała po prostu prośbę o przesłanie loginu i hasła mailem. Na celowniku oszustów znajdują się przede wszystkim serwisy pocztowe oraz bankowe. Znacznie mniej popularny jest phishing mający na celu pozyskanie dostępu do konta w sklepach z aplikacjami i serwisach społecznościowych.
Śledząc ruch generowany przez podrobione strony logowania badacze byli w stanie oszacować, jaka część ofiar odwiedzających fałszywy link wypełnia formularze i wysyła dane oszustom. Rezultaty są zaskakujące – średnio aż 13,7 proc. odwiedzających stronę wyłudzającą dane wypełnia polecenia przestępców i uzupełnia formularz. Analitycy zauważyli, że poszczególne „kampanie” phishingowe bardzo różnią się wynikami. Najlepiej przygotowane są w stanie skłonić do zostawienia cennych danych aż 35 proc. ofiar, które kliknęły w podrobiony link.
Nie każda ofiara jest cenna
Aby poznać sposób pracy internetowych oszustów, badacze Google ręcznie wypełnili formularze na wylosowanych 200 stronach wyłudzających dane. Badanie ograniczyło się do kampanii wyłudzających dane do serwisów pocztowych, a analitycy podsunęli złodziejom specjalnie stworzone na tę okazję „konta mailowe-pułapki” pozwalające śledzić kolejne ruchy przestępców.
Wyniki analizy są niezwykle interesujące. Oszuści działają bardzo szybko – do 20 proc. kont ktoś zalogował się w ciągu 30 minut. Po 7 godzinach ten wskaźnik wyniósł 50 proc. Po zalogowaniu przestępca spędza średnio około 3 minut na „rozejrzenie się” po koncie. Większość korzysta z wyszukiwarki sprawdzając przede wszystkim słowa kluczowe związane z finansami („przelew”, „transakcja”) w nadziei na zdobycie danych pozwalających zalogować się np. w banku lub systemie płatności elektronicznych. Włamywacze szukają także kompromitujących materiałów (zdjęć i filmów) oraz loginów do serwisów Facebook, Amazon i Dropbox. Przestępcy przeglądają foldery oznaczone jako ważne, pocztę wysłaną i kosz.
Analitycy Google stwierdzili, że w niektórych przypadkach oszuści decydują się porzucić łup. Jeśli ocenią, że przejęte konto nie jest wartościowe, opuszczają je i nie korzystają ze zdobytych danych.
„Zostaliśmy napadnięci”
Po wstępnym rozeznaniu oszuści spędzają kolejne kilkanaście minut na wyborze sposobu zmonetyzowania łupu. Jedną z możliwości jest użycie listy kontaktów ofiary do próby wyłudzenia pieniędzy metodą zbliżoną do znanego w Polsce schematu „na wnuczka”. Do znajomych użytkownika wysyłane są e-maile, w których pojawia się prośba o pożyczenie pieniędzy. Towarzyszy jej historia, np. o tym, jak ofiara została napadnięta na wakacjach. Środki mają być wysłane przekazem pieniężnym, który przestępca może odebrać w dowolnym kraju nie ryzykując wpadki.
Przestępcy starają się maskować swoją działalność tak, aby właściciel konta nie zauważył włamania. Często nie zmieniają hasła, ale stosują taktykę krycia się w cieniu (np. filtrowania wiadomości) lub tworzą bliźniaczo podobny adres mailowy, na który przekierowują swoją korespondencję.
Phishing od 8 do 16?
Jedną z najbardziej zaskakujących tez postawionych w raporcie badaczy Google jest podejrzenie, że wyłudzaniem danych zajmują się pełnoetatowi „pracownicy”. Oszuści zaczynali eksplorowanie łupów o tej samej godzinie i mieli godzinną przerwę w aktywności w porze lunchu. Obserwacja zwyczajów przestępców naprowadziła analityków na myśl, że złodzieje kierują się ustalonym zestawem zestandaryzowanych reguł. Świadczy o tym powtarzający się sposób analizowania zdobytych kont pocztowych ofiar i korzystanie z tych samych narzędzi. Wygląda na to, że w niektórych krajach phishing to osobna gałąź dobrze zorganizowanego przestępczego przemysłu.