Phishing to niezwykle prosta, aczkolwiek bardzo skuteczna metoda łapania użytkowników w różnorakie pułapki. Zapewne wielokrotnie mieliście do czynienia z próbą przekonania Was do kliknięcia w konkretny link, czy ściągnięcia pliku. Google sprawdza w bezpieczny sposób, czy jesteście podatni na taki atak.
Phishing wykorzystuje nie tyle podatności w oprogramowaniu co... łatwowierność użytkowników. Załóżmy, że otrzymujecie wiadomość e-mail od nadawcy, który "wygląda w porządku". Sprawa dotyczy naszego konta bankowego - instytucja powiadamia nas, że nasz profil został zablokowany i aby odwrócić ten proces należy zalogować się ponownie oraz podać jeden z kodów jednorazowych. Co robicie w takiej sytuacji? Oczywiście, żaden szanujący się bank nie poprosi Was o takie informacje za pośrednictwem maila. Ale są i inne, mniej oczywiste scenariusze, które mogą wciągnąć Was w nieprzyjemną sytuację.
Warto przeczytać: Phishing. Zarabiają w 3 dni tyle ile programista w jeden miesiąc
Eksperymentalny inkubator Google - Jigsaw postanowił stworzyć quiz, w trakcie którego użytkownikowi zostaną przedstawione przeróżne scenariusze związane z phishingiem. Niektóre z nich będą dotyczyć wiadomości autentycznych - takich, które nie stanowią żadnego zagrożenia. Inne zaś będą lustrzanym odbiciem niebezpiecznych sytuacji, z którymi możemy spotkać się sprawdzając naszą skrzynkę pocztową. Właśnie na takie możemy natrafić, jeżeli cyberprzestępcy postanowią wziąć na celownik akurat nasz adres poczty elektronicznej.
Kliknij aby wziąć udział w teście
Uczestnik testu - badania ma do dyspozycji typowe "narzędzia" służące do rozpoznawania fałszywych e-maili. Najeżdżając na linki może sprawdzić na jakie domeny wskazują. Podobnie jest z adresami nadawców. Wiele zależy tutaj od poziomu wyedukowania konkretnego użytkownika - czy jest odpowiednio zaznajomiony z technikami phishingowymi? Czy otworzy potencjalnie niebezpieczny plik PDF? Czy zauważy, że link resetowania hasła wskazuje na inną domenę niż ta, która należy do konkretnej usługi?
Biorący udział w teście mają do wyboru dwie odpowiedzi dotyczące każdego scenariusza. Sprawa jest bardzo prosta: albo mamy do czynienia z phishingiem, albo z wiadomością, która jest autentyczna. Po każdym kroku następuje objaśnienie przypadku - na co powinniśmy zwrócić uwagę i co przesądza o tym, że mieliśmy do czynienia z wiadomością autentyczną / fałszywą.
W moim przypadku udało się za pierwszym razem uzyskać 7/8 punktów. I to tylko dlatego, że byłem "zbyt ostrożny" - zwyczajnie uznałem, że konkretna wiadomość może być elementem kampanii phishingowej: okazało się jednak, że była w pełni autentyczna. Nie jest to jeszcze powód do zmartwień - wszystkie próby wciągnięcia mnie w pułapkę zakończyły się "niepowodzeniem" w teście. Zazwyczaj lepiej być zbyt ostrożnym niż w prosty sposób wpaść w pułapkę cyberprzestępców.
W tym teście chodzi jednak o coś nieco innego: użytkownicy bardzo często nie zdają sobie sprawy z tego jak bardzo subtelne techniki mogą być wykorzystane przez cyberprzestępców do wyciągnięcia od nas danych. To zaś może spowodować, że nie tylko zostaniemy zainfekowani złośliwym oprogramowaniem, ale możemy także stracić pieniądze na koncie.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
