>

Phishing – czym jest i jak się przed nim obronić

Każdy użytkownik – zarówno mniej, jak i bardziej zaawansowany – może stać się ofiarą phishingu. Metoda polega na wyłudzaniu danych osobowych i informacji umożliwiających dostęp do konta bankowego czy PIN-u karty kredytowej. „Łowienie ofiar” ma miejsce w wirtualnym świecie, ale konsekwencje odczuwamy podczas codziennych spraw, bo znikają nasze prawdziwe pieniądze. Czy jest sposób, by obronić się przed phishingiem?

Phishing to jedna z odmian internetowej kradzieży. Opiera się na podszywaniu pod instytucję, firmę lub rzadziej osobę fizyczną, które darzymy zaufaniem, tylko po to, by wyłudzić od nas prywatne dane. Najczęstszym celem cyberprzestępców są hasła do kont bankowych, popularnych witryn internetowych (np. Facebooka lub Gmaila) czy numery kart kredytowych i kody CVV.

Łowienie

Wbrew pozorom, phishing wcale nie wygląda jak typowy atak hakera. Na ogół nic nie budzi podejrzeń: użytkownik dostaje e-mail z prośbą o zalogowanie się do danego miejsca i potwierdzenie swoich prywatnych danych. Komunikat taki nosi znamiona autentyczności, przez co nie wzbudza wątpliwości. Współcześni cyberprzestępcy są na tyle przebiegli, że szkodliwy e-mail wygląda jak przesłany z banku – ma jego szatę graficzną, logo i hasło reklamowe. Przez chwilę nieuwagi, stajemy się całkowicie bezbronni.

fot. Ingo Bartussek, Fotolia.com

Ofiarą phishingu można stać się również dokonując zakupów w sklepie internetowym czy portalu aukcyjnym, podając swoje dane przy dokonywaniu płatności. Wbrew pozorom, ofiarami często padają nie użytkownicy mało znanych stron internetowych, a prawdziwych gigantów (np. Allegro), których autentyczności e-maili nawet nie rozważamy, bo przecież „muszą być świetnie zabezpieczone”.

To jednak nie wszystko – phisherzy stale poszerzają zakres stosowanych przez siebie technik. Cyberprzestępcy często przejmują konta na portalach społecznościowych i skrzynkach pocztowych, bo stanowią one doskonałą furtkę do rozsyłania złośliwego oprogramowania. Phishing działa tu przez analogię do choroby zakaźnej, która dostawszy się do organizmu atakuje komórkę po komórce, rozprzestrzeniając się jak reakcja łańcuchowa.

Pojęcie phishingu narodziło się w 1987 r. przez hakerów próbujących wykraść konta w serwisie AOL. Atakujący podszywał się pod członka zespołu AOL i rozsyłał wiadomości do potencjalnych ofiar. Zawierała ona prośbę o ujawnienie hasła do konta, np. dla jego weryfikacji lub potwierdzenia danych rachunku. Gdy nieświadoma niczego ofiara podawała hasło, przestępca uzyskiwał dostęp do konta i wykorzystywał je w niecnych celach.

Termin phishing jest często tłumaczony jako „password harvesting fishing” (łowienie haseł), ale niektórzy twierdzą, że pochodzi od od nazwiska Briana Phisha, który miał być pierwszą osobą wykorzystującą socjotechniki do zdobywania numerów kart kredytowych już w latach 80. ubiegłego wieku. Najbardziej realne wydaje się wyjaśnienie pochodzenia nazwy od połączenia słów „fishing” (wędkowanie) i „phreaking” (oszukiwanie systemów informatycznych).

Oszustwa dokonywane przez phisherów przynoszą ogromne straty – w samych tylko Stanach Zjednoczonych szacuje się je na ok. 2 mld $ rocznie. Kraje europejskie – w tym Polska – także są częstym celem ataku phisherów. Specjaliści od zabezpieczeń podają, że liczba unikatowych źródeł ataku wzrosła na przestrzeni lat 2012-2013 aż trzykrotnie. Co ciekawe, ponad połowa wszystkich namierzonych unikatowych źródeł ataków znajdowała się w 10 krajach, co oznacza, że phisherzy mają stałe, preferowane przez siebie kryjówki.

Najczęściej atakowane przez phisherów serwisy są stale takie same – Yahoo!, Facebook, Google i Amazon. Co trzecia zarejestrowana próba wyłudzenia danych wykorzystywała fałszywe wersje tych stron. W pozostałych przypadkach podszywano się głównie pod różne banki i inne organizacje finansowe.

Jak nie dać się złowić?

Wbrew pozorom, obronić się przed phishingiem wcale nie jest tak trudno. Warto zawsze stosować się do kilku prostych wskazówek, a dzięki temu będziemy trudniejszym celem dla cybeprzestępcy:

• Każdy e-mail, w którym zostajemy poproszeni o podanie danych osobowych, numeru konta bankowego, a tym bardziej karty kredytowej, budzi naszą nieufność. Weryfikujemy jego autentyczność i w miarę możliwości potwierdzamy czy faktycznie taki e-mail został do nas wysłany.

• Dokładnie sprawdzamy adres internetowy strony internetowej, na którą chcemy się zalogować. Fałszywy adres internetowego banku od prawdziwego może różnić się tylko jedną literą w nazwie. Każdy dobry program antywirusowy powinien taką podejrzaną aktywność automatycznie wychwycić.

• Regularnie aktualizujemy przeglądarkę internetową, system operacyjny, klienta pocztowego i pakiet antywirusowy, bo wszelkie luki są na bieżąco wychwytywane przez informatyków znanych firm i naprawiane poprzez darmowe łatki.

• Podczas płacenia za zakupy internetowe upewniamy się, czy przeglądarka sama nie sugeruje nam, że strona, na którą wchodzimy jest podejrzana. Koniecznie sprawdzamy protokół HTTPS. W Internet Explorer i Safari szyfrowane połączenie symbolizuje kłódka po adresie www. W Google Chrome, Firefoxie i Operze kłódka ta pojawia się przed adresem. Szczególną uwagę zachowujemy przy zakupach internetowych, bo wtedy najłatwiej dać się oszukać.

Walka z internetowymi oszustami wydaje się nie mieć końca i nawet przestrzeganie wszystkich zasad bezpieczeństwa nie da nam stuprocentowej ochrony przed potencjalnym atakiem. Podobnie jak stale wymyśla się nowe sposoby walki z phisherami, tak hakerzy cały czas konstruują nowe „wędki”. Warto zachować czujność, bo zdrowy rozsądek w wielu przypadkach może uchronić nas od zguby.

Marcepan

Komentarze

  • Nie klikam w załączniki linki w mail , nie otwieram poczty od nieznajomych lub załączników zip , nie instaluję nie pobieram żadnego syfu z ciekawości do zabawy i jestem spokojny :)

    Jak to mówią strachy na lachy jak się ma rozum i system najnowszy aktualny i programy pewne aktualne a nie siano :D