Phishing – co to jest i jak nie dać się złapać

Ostatnio przydarzyła mi się taka oto sytuacja:

Sprawdzam swoją pocztę i patrzę, a tam mail od mojego banku, że zaktualizowali swoje oprogramowanie zabezpieczające i aby ta usługa była aktywna na moim koncie muszę kliknąć w link podany w wiadomości i zalogować się na swoje konto podając niezbędne do tego celu dane.

W TAKIE RZECZY NIGDY NIE KLIKAJCIE TO JEST PHISHING!

A teraz tłumaczę: phishing to metoda wyłudzania określonych danych, w powyższym przypadku zagrożone jest moje konto bankowe. Jest to metoda oszustów, w której podszywają się oni pod inną osobę, bądź instytucję w celu wyłudzenia określonej informacji bądź nakłonienia ofiary do określonych zachowań lub działań.

Troszkę historii i informacji z Wikipedii:

Przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Internecie, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje – adres do niej był podawany jako klikalny odsyłacz w poczcie phishera – jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.

Możecie spytać co by się stało gdybym kliknęła w link z wiadomości? Prawdopodobnie straciłabym wszystkie pieniądze znajdujące się na koncie, ale też Phisher miałby dostęp do mojego konta np. oszczędnościowego, które jest połączone z moim kontem codziennym. Jednym słowem – bieda.

Jak się bronić przed phishingiem?

Maila sobie nie zablokujecie, ale jest kilka podstawowych zasad, które w znacznym stopniu wyeliminują zagrożenie.

I znów nieoceniona pomoc z Wikipedii 🙂

  • Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
  • Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
  • Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail (Outlook, Thunderbird, itp.) i przeglądarkę WWW.
  • Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zignorować i zgłosić odpowiednim osobom.
  • Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS i zielonej zamkniętej kłódeczki, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych.
  • Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo też z oprogramowania firm trzecich chroniącego przed phishingiem.
  • Używanie OpenDNS (darmowe serwery DNS. Dzięki dużej bazie adresów umożliwiają szybsze wczytywanie stron oraz zabezpieczają przed phishingiem).

Tak więc życzę udanego dnia i nie dajcie się „złowić” 🙂