Phishing - jak nie dać się nabrać w sieć

Cyberprzestępstwo poprzez phishing zaczyna się niewinnie. Ze znajomo brzmiącej instytucji przychodzi mail z załączonym linkiem prowadzącym przykładowo do banku, w którym mamy konto bądź do serwisu aukcyjnego, z którego korzystamy. Po kliknięciu w załączony link użytkownik zostaje skierowany na fałszywą stronę instytucji i otrzyma prośbę o podanie personaliów. Prośba „weryfikacji poprawności danych” bądź zalecenie „uzupełnienia konta celem doskonalenia bazy” może wcale nie wyglądać podejrzanie dla potencjalnej ofiary. Po wypełnieniu formularzy, jeśli wirtualne oszustwo powiedzie się, pozyskane informacje będą mogły zostać wykorzystane w przestępczym celu: bankowe konto można okraść, za ofiarę zacznie się ktoś podszywać by korzystając z jej tożsamości przykładowo ubiegać się o kartę kredytową. Wszystko zależnie od potrzeb i inwencji phishera - przestępcy. (Dalej) ...



Pojęcie phishingu
Phishing nie doczekał się jeszcze polskiego odpowiednika. Zjawisko tłumaczy się jako nielegalne wyłudzanie poufnych informacji osobistych, poprzez podszywanie się pod instytucję godną zaufania. Termin phishing jest tłumaczony także jako „łowienie haseł”. Inne źródła łączą etymologię słowa z nazwiskiem Phisha, uznawanego za prekursora manipulacji sztuczkami psychologicznymi celem kradzieży kart kredytowych.


Zastawianie sieci czyli jak to działa ?
Phisher jest sprytny i świadomy ludzkich słabostek. Liczy głównie na niedoświadczenie i nieuwagę swoich adresatów. Celem pozyskania ofiar wyśle zatem w olbrzymich ilościach spam z linkiem kierującym niczego nie podejrzewającą osobę na fałszywą stronę banku bądź każdej innej instytucji, która umożliwi pozyskanie potrzebnych informacji.

Poważne instytucje, zwłaszcza finansowe, nigdy nie poproszą o odesłanie poufnych danych elektronicznie. Cyberoszust wie jednak, że sprytnie skonstruowana strona, uderzająco podobna do głównej witryny banku z nieznacznie przekształconym adresem ma sporą szansę uśpić czujność. Po otrzymaniu żądanych informacji: pinów, haseł aktywujących, loginów, numerów kont, bądź numerów kart kredytowych, cel cyberprzestępstwa został osiągnięty, a straty mogą być naprawdę duże.


Aktualne oprogramowanie ochronne, zdrowy rozsądek i wiedza, czyli jak się nie dać cyber-oszustom
· Czujność użytkownika powinna wzbudzić prośba o zalogowanie się na przesłanej stronie. Warto w każdym podejrzanym wypadku potwierdzić autentyczność listu poprzez kontakt z przedstawicielem instytucji bądź administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie jakichkolwiek danych (loginu, hasła, numeru karty), a próby podawania się za nie powinny być sygnalizowane do osób odpowiedzialnych za bezpieczeństwo.
· Uwagę użytkownika powinien także zwrócić ton, często ponaglający, w prośbach o dane, stosowany w e-mailach związanych z phishingiem.
· Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Cyberprzestępca bez trudu zmodyfikuje ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, sfałszowanej strony. Adres internetowy z maila trzeba każdorazowo kopiować i wklejać do pasku adresu przeglądarki internetowej.
· Należy regularnie uaktualniać system i oprogramowanie,
· Każdą prośbę typu „uaktualnij swoje konto”, „podaj hasło, login, numery kart kredytowych” należy zignorować i zgłosić odpowiednim osobom.
· Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu, choć i to zabezpieczenie może także zostać sfałszowane przez phisherów
· Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które zawierają wiele luk i bywają podatne na różne formy ataków.