Słowo o phishingu
Internet ukazał kolejną swą ciemną stronę. Istnieje obecnie wiele metod, z których może skorzystać haker chcący poznać czyjeś hasła, loginy, PIN-y, numery kart płatniczych itp. Niegdyś głównym źródłem zagrożenia były: backdoor, trojany, password sniffery, a więc oprogramowanie instalowane na komputerze użytkownika bez jego zgody i wiedzy. Obecnie najpowszechniej stosowana jest metoda znacznie prostsza, a przy tym skuteczniejsza – fałszywe wiadomości e-mailowe lub strony WWW, udające witryny banków lub dostawców internetowych. W treści takiej wiadomości znajduje się najczęściej propozycja uaktualnienia danych dotyczących karty kredytowej, której ważność jakoby kończy się za kilka dni. Popularne są także żądania przesłania hasła do banku internetowego czy też podania danych osobowych, gdyż – co znalazło się w jednym z fałszywych e-maili – awarii uległ serwer operatora i konieczne jest ich powtórne zebranie. Równie skuteczne okazuje się wykorzystanie bardziej wiarygodnego od Internetu… telefonu czy wręcz organizowane spotkanie przez rzekomego przedstawiciela poważnej instytucji.
Istnieje kilka typów wiadomości, których pojawienie się w naszej skrzynce pocztowej powinno zapalić w naszych głowach światełka alarmowe. Oto one:
1) “Zweryfikuj swoje konto. Podaj imię i nazwisko, adres, numer PESEL, hasło i login do swojej poczty” – jaka prawdziwa firma poprosi o podanie tego rodzaju danych za pośrednictwem e-maila?
2) “W przypadku braku odpowiedzi w ciągu 48 godzin Pani konto zostanie zamknięte” – wszystko po to, by uśpić czujność użytkownika i skłonić go do szybkiej odpowiedzi.
3) “Szanowny Kliencie” lub “Szanowny X”, gdzie “X” to login naszego konta pocztowego – mało jest firm, które nie dokonują personalizacji wiadomości i wysyłają listy adresowane do wszystkich. Ze szczególną ostrożnością należy podchodzić do tych e-maili, w treści których znajduje się tylko login naszego konta.
4) “W celu poprawienia obsługi kliknij podany poniżej link, a uzyskasz nowy i szybszy dostęp do swojego konta” – a przy okazji podasz także hasła, loginy oraz PIN-y i pożegnasz się z pieniędzmi.
Obrona teoretycznie nie jest trudna
Dobrze przeprowadzony atak ma maksymalnie utrudnić potencjalnej ofierze rozpoznanie oszustwa. Spreparowana wiadomość będzie zbliżona wyglądem do korespondencji przesyłanej przez zaufanych nadawców. Znajdziemy w niej znaki firmowe znanych organizacji czy też treści pochodzące z ich publikacji WWW. Pobieżne przejrzenie może zatem okazać się niewystarczające. Dobrym zabezpieczeniem jest przede wszystkim zdrowy rozsądek. Z całą pewnością nie należy odpowiadać na e-maile, w których to nadawca prosi nas o przekazanie wspomnianych na wstępie danych, dotyczących karty kredytowej, w tym numeru PIN, numeru konta bankowego czy też naszych danych osobowych. Tego typu danych żadna szanująca się instytucja nie będzie chciała weryfikować za pomocą poczty elektronicznej.
Ponadto, jak sugeruje Symantec, przez Internet nie należy przesyłać żadnych informacji osobistych lub finansowych. Jeśli koniecznie chcemy użyć z tej drogi przesłania ich, należy skorzystać z bezpiecznego połączenia bądź też narzędzi kryptograficznych.
Szczególną ostrożność należy zachować, korzystając z kafejek internetowych lub innych miejsc, gdzie dostęp do komputera ma wielu użytkowników. Wykorzystanie takiego peceta do wykonania polecenia przelewu z naszego konta bankowego to jakby uruchomienie bomby z opóźnionym zapłonem: trudno przewidzieć, jakiego rodzaju oprogramowanie zostało zainstalowane na kafejkowym sprzęcie i jakie dane zbiera podczas sesji.
