Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla „zweryfikowania konta” lub „potwierdzenia informacji w rachunku”. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.
Termin „phishing” bywa tłumaczony jako password harvesting fishing („łowienie haseł”). Istnieje teoria, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych jeszcze w latach 80. Funkcjonuje również przekonanie, jakoby Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali.
Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki oraz aukcje internetowe. Phisher zazwyczaj wysyła spam do znacznej liczby potencjalnych ofiar, kierując je na stronę w Internecie, która udaje bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności podania poufnych informacji w celu odzyskania dostępu. Stronę przechwytującą informacje cechuje łudzące podobieństwo do oryginału. W przeszłości oszuści wykorzystywali na swoją korzyść błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także adres fałszywej strony. Kolejny znany sposób tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.
Lata 2000–2009
2001
Pierwsza znana bezpośrednia próba ataku na system płatności dotknęła system E-gold w czerwcu 2001 roku, co pociągnęło za sobą sprawdzenie numerów id („post-9/11 id check”) krótko po atakach na World Trade Center[5].
2003
Pierwszy znany atak na bank detaliczny został odnotowany przez The Banker we wrześniu 2003 roku[6].
2004
Szacuje się, że między majem 2004 a majem 2005 roku około 1,2 miliona użytkowników komputerów w Stanach Zjednoczonych straciło na skutek phishingu w sumie około 929 milionów dolarów. Przedsiębiorstwa w Stanach Zjednoczonych tracą szacunkowo 2 miliardy dolarów rocznie, gdy ich klienci stają się ofiarami phishingu[7].
2005
W Wielkiej Brytanii straty spowodowane oszustwami związanymi z bankowością internetową – głównie z phishingiem – niemal podwoiły się z 12,2 mln GBP w 2004 roku do 23,2 mln GBP w 2005 roku[8], podczas gdy 1 na 20 ankietowanych użytkowników komputerów zadeklarował, że padł ofiarą phishingu w roku 2005[9].
2006
Prawie połowa kradzieży przeprowadzonych przy pomocy phishingu w 2006 roku została popełniona przez grupy działające w ramach Russian Business Network z siedzibą w St. Petersburgu[10].
Banki spierały się z klientami z powodu strat spowodowanych phishingiem. Stanowisko przyjęte przez brytyjski organ bankowy APACS informuje o konieczności zachowania ostrożności przez klientów, aby nie stać się narażonymi na atak przestępcy[11]. Gdy pierwsza fala ataków phishingowych uderzyła w sektor bankowy Republiki Irlandii we wrześniu 2006 roku, Bank Irlandii na początku odmawiał pokrycia szkód poniesionych przez klientów[12], jednakże straty w wysokości 113 000 euro ostatecznie pokryto[13].
Phisherzy skupili się na klientach banków oraz serwisach płatności online. Maile rzekomo pochodzące z Internal Revenue Service były używane do zbierania wrażliwych danych amerykańskich podatników. Pierwsze takie ataki przeprowadzano bez pewności, że wiadomości trafią do klientów banków lub serwisów, pod które podszywali się oszuści. Badania pokazały, iż phisherzy w późniejszym okresie zdołali pozyskiwać informacje o tym, jakich banków używają potencjalne ofiary i wysyłać odpowiednio sprofilowane e-maile[14].
Serwisy społecznościowe stały się celem ataków phishingowych ze względu na fakt, że dane personalne na tych stronach mogą zostać użyte do kradzieży tożsamości[15]; pod koniec 2006 roku robak przejął strony MySpace i wysyłał bezpośrednie linki do stron zaprojektowanych aby kraść dane logowania. Eksperymenty pokazały, że ponad 70% ataków phishingowych na serwisy społecznościowe kończy się sukcesem[16].
2007
3,6 miliona dorosłych straciło 3,2 miliarda dolarów w ciągu dwunastu miesięcy do sierpnia 2007 roku[17]. Microsoft przyznaje, że te szacowania są mocno przesadzone i uważa, że ogólne straty spowodowane phishingiem w USA wyniosły 60 milionów dolarów[18].
Przestępcy, którzy złamali zabezpieczenia bazy danych TD Ameritrade i wykradli 6,3 miliona adresów mailowych, chcieli także uzyskać nazwy użytkowników i hasła, więc rozpoczęli atak spear phishingowy[19].
2008
Na witrynę RapidShare przeprowadzono atak phishingowy, którego celem było zdobycie konta premium. Korzyściami płynącymi z posiadania uprawnień użytkownika premium były: brak ograniczenia prędkości pobierania oraz konieczności oczekiwania na pobieranie i limitów czasowych między pozyskiwaniem kolejnych plików, a także automatyczne usuwanie udostępnionych plików[20].
2009
W styczniu 2009 r. ataki typu phishing doprowadziły do nieautoryzowanych przelewów pieniężnych o łącznej wysokości 1,9 mln USD za pośrednictwem kont bankowych online Experi-Metals.
W trzecim kwartale 2009 roku Anti-Phishing Working Group zgłosiło otrzymanie 115 570 e-maili od klientów z USA i Chin zawierających w ponad 25% strony phishingowe[21].
Zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych[22].
Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty). Próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.
Nie należy przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zgłosić osobom odpowiedzialnym za bezpieczeństwo.
Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to pracownikom banku i nie podawać na niej żadnych danych.
Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo z oprogramowania firm trzecich chroniącego przed phishingiem.
Skuteczną obroną przed phishingiem są regularne szkolenia pracowników. Polega to na przeprowadzaniu legalnych kampanii w celu zbadania ile ataków się powiedzie[23]. Przykładowy scenariusz:
Uzupełnij dokumenty z firmą i ludźmi, którzy zostaną poddani testom. Działaj legalnie.
Przygotuj adresy e-mail (możesz kupić domeny), szablony wiadomości oraz program lub skrypt, który wysyła maile. Wiadomości e-mail mogą być też wysyłane ręcznie.
Utwórz kampanie i linki w panelu internetowym aplikacji Collector.
Umieść linki w wiadomościach i wyślij wiadomości do celów ataku.
Monitoruj które linki zostały kliknięte. Zbierane są też adresy IP i znaczniki czasu.
Wydrukuj eleganckie raporty dla swojego szefa/klienta.
Edukuj pracowników i powtarzaj testy regularnie.
Spear phishing
Phishing spersonalizowany pod konkretną osobę lub firmę nazywany jest spear phishingiem. Oszuści najpierw zbierają informacje na temat ofiary, co znacznie zwiększa ich szanse na powodzenie ataku. Jest to najbardziej efektywna technika phishingu, która w ok. 91% przypadków kończy się osiągnięciem celu przez przestępcę.
Threat Group-4127 użyła taktyki spear phishingu do ataku na konto email Hilary Clinton podczas kampanii prezydenckiej w 2016 roku. Zaatakowali oni wtedy ponad 1800 kont Google i zaimplementowali domenę accounts-google.com, aby zagrażała wybranym użytkownikom[24][25].
Clone phishing
Clone phishing jest typem phishingu, w którym prawdziwy e-mail posiadający załącznik lub link zostaje użyty przez przestępcę jako wzór przy tworzeniu wiadomości na potrzeby oszustwa. Załączniki lub linki zostają zastąpione złośliwymi wersjami, a następnie wysłane z adresu email sfałszowanego tak, aby wyglądał jak ten należący do oryginalnego nadawcy.
Ta technika może zostać użyta pośrednio, przy pomocy wcześniej zainfekowanej maszyny do stworzenia następnej wykorzystując zaufanie społeczne do wnioskowanego adresu email, ponieważ obie strony otrzymują oryginalny email[26].
Whaling
Część ataków phishingowych została skierowana w szczególności do kierownictwa wyższego szczebla i innych ważnych celów z branży biznesowej. Z tego powodu ataki te nazwano whaling (z języka angielskiego „wielorybnictwo”). W przypadku ataków tego typu, sfałszowana witryna lub wiadomość jest tworzona z uwzględnieniem np. stanowiska ofiary w firmie. Treść e-maili często przypomina pisma pochodzące z kancelarii prawnych lub urzędów państwowych. Taka wiadomość może zawierać załącznik w postaci złośliwego oprogramowania i nakłaniać ofiarę do jego instalacji np. w celu uzyskania dostępu do ważnego dokumentu[27].
Większość metod phishingu opiera się na wysyłaniu w e-mailach linków do stron podszywających się pod prawdziwe witryny należące do danej organizacji. Tworzenie realistycznie wyglądających stron na potrzeby oszustwa może odbywać się poprzez nieznacznie zmodyfikowany zapis adresu URL lub subdomeny. Phisher może umieszczać w wiadomości prawdziwy odnośnik zmodyfikowany tak, by przekierowywał ofiarę na fałszywą stronę. W większości przypadków po najechaniu kursorem myszy na odnośnik widoczny jest adres strony, do której rzeczywiście prowadzi link, jednak m.in. aplikacje mobilne nie przewidują takiej możliwości. Wykorzystuje się także tzw. spoofingIDN, co pozwala na wykorzystanie wizualnie identycznego adresu WWW do przekierowania użytkownika na złośliwą stronę. Cyfrowe certyfikaty również nie rozwiązują tego problemu, ponieważ możliwy jest zakup fałszywego zaświadczenia przez oszusta[28][29].
Phishing [online], ESET [dostęp 2019-10-23], Cytat: „Phishing je forma útoku s využitím metód tzv. sociálneho inžinierstva, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie.” (słow.).