Dziś firmy zajmujące się różnorodną działalnością, oferują swoim klientom przede wszystkim maksimum wygody. Przyczynił się do tego fakt, że przez Internet już dawno można zamówić każdy towar i usługę, płacąc za nie bez wstawania z fotela. Pojawiło się tym samym nowe niebezpieczeństwo - phishing.

Phishing to rodzaj internetowego oszustwa, którego celem jest otrzymanie dostępu do poufnych danych użytkownika - loginów i haseł. Zwykle oszuści przeprowadzają masowe rozsyłanie maili, w imieniu popularnych marek, np. serwisów społecznościowych, banków itp. List zawiera najczęściej bezpośredni odnośnik do strony, bliźniaczo podobnej do prawdziwej. Odwiedzając taką stronę, użytkownik może przekazać oszustom cenne informacje, pozwalające uzyskać dostęp do kont i rachunków bankowych.


Technika phishingu

Technika phishingu była znana i szczegółowo opisana już w 1987 roku. Natomiast sam termin po raz pierwszy pojawił się 2 stycznia 1996 w grupie alt.online-service.Amerika-Online sieci Usenet, chociaż prawdopodobnie był już wcześniej używany w hakerskim magazynie "2600".

Technika jest całkiem prosta. Najczęściej przestępca wysyła e-mail, w imieniu banku lub systemu płatniczego (wzorując się przy tym na oficjalnym piśmie), z prośbą o sprawdzenie określonej informacji, lub wykonanie pewnych czynności. Mail zwykle zawiera link do fałszywej strony, która imituje oryginał, łącznie z firmowym znakiem i zawartością. Ponadto zawiera formularz, w którym należy umieścić poufne informacje - od adresu domowego do pinu karty bankowej. Klient, który otrzyma taki list, może nie być w stanie odróżnić go od falsyfikatu i w błogiej nieświadomości odpowiada na niego, przekazując swoje poufne dane w ręce oszustów.

Ataki phisherów stają się coraz bardziej przemyślane. Stosują nawet metody socjotechniczne. W każdym przypadku próbują przekonać klienta iluzją sytuacji krytycznej, aby wyłudzić od niego osobiste informacje. Z reguły, komunikaty zawierają ostrzeżenia, np. przed zablokowaniem konta w przypadku niespełnienia zaleceń, o których mowa jest w liście. ("jeśli w ciągu 7 dni ankieta nie zostanie uzupełniona o stosowne informacje, Państwa konto zostanie zablokowane").


Jak rozpoznać phishing?

To jest fałszywa strona, niemniej łudząco podobna do oryginału.




Listy od oszustów mogą różnić się, ale zwykle mają podobny charakter. Oto przykład:




Zwykle klienci nie zastanawiają się długo i łatwowiernie ulegają oszustom.





Do typowych cech phishingu należą:

1) natarczywość

2) występowanie w dołączonym odnośniku adresu strony, pod który należy się udać

3) ryzyko zerwania kontaktu i zablokowania konta w przypadku niewypełnienia poleceń

4) brak grzecznościowego zwrotu dla konkretnego klienta, zamiast tego: "Szanowni Państwo..."

5) błędy gramatyczne

6) posługiwanie się językiem angielskim.

Nie daj się złapać na te haczyki. Bądź czujny!



Sposoby walki z phishingiem:


Generatory haseł jednorazowych:


Głównym zadaniem phishingu jest zdobycie haseł i bankowych informacji, niezbędnych do swobodnego dostępu do rachunków bankowych użytkowników. Wykorzystanie generatorów jednorazowych haseł (niewielkich urządzeń, przypominających mały kalkulator) pozwala uniknąć padnięcia ofiarą tego typu oszustw. Generator automatycznie tworzy jednorazowe hasła. W celu dostępu do swojego konta, użytkownik wprowadza ustanowioną przez urządzenie kombinację znaków. Strona internetowa banku stosuje ten sam algorytm dla stworzenia haseł. Dostęp jest możliwy wtedy, kiedy obydwa hasła zgadzają się ze sobą. Jedno wygenerowane hasło może być użyte tylko raz. Dlatego nie można go ukraść i wykorzystać w niewłaściwych celach. Niewątpliwie jest to wielki plus. Generatory haseł stosowane są przez wiele banków na świecie, oraz przez największe serwisy internetowe. Niestety wykorzystanie tego systemu wymaga dodatkowych kosztów dla klientów, którzy muszą kupić generator haseł i dodatkowo opłacać abonament za jego użytkowanie. Warto jednak zdobyć się na taki wydatek.
Oprócz haseł niektóre banki planują wprowadzić jeszcze jeden sposób identyfikacji, wykorzystujący mikrokarty i pendrive. Aby uzyskać dostęp do elektronicznego rachunku, klient będzie musiał nie tylko wprowadzić hasło, ale także umieścić kartę w specjalnym urządzeniu, lub podłączyć pendrive do swojego komputera. W tym przypadku wykorzystujący phishing oszuści nie będą mogli uzyskać dostępu do konta użytkownika. Oczywiście jeśli nie zostanie mu skradziona karta, lub pendrive. Korzystanie z mikrokart jest kosztowne. Dla przeciętnego użytkownika w większym stopniu dostępne są specjalne pendrivy.


Mieszanie haseł określonych stron

Jest to jedna z metod przeciwdziałania phishingowi, rekomendowana przez grupę do walki z phishingiem. Nie pozwala oszustowi na kradzież danych identyfikacyjnych kosztem dodania do hasła informacji charakterystycznej dla tej strony, gdzie zastosowanie danego hasła jest proponowane. Taki system jest niezauważalny dla użytkownika, który tradycyjnie wprowadza swoje hasło w elektronicznej formie. Przeglądarka przekształci je i doda niezbędną informację. Analogicznie, stronie nie jest znane hasło, wprowadzane przez użytkownika. Otrzymuje tylko "zmieszane" hasło i podejmuje decyzję o dostępie, stosując ten sam algorytm mieszania, co właściciel karty. Nawet jeśli użytkownik ujawni swoje hasło na fałszywej stronie, hakerzy nie będą mogli go wykorzystać.


Potwierdzenie za pośrednictwem telefonu komórkowego

Ten system również opiera się na prostym schemacie działania. Użytkownicy Internetu potwierdzają wszystkie transakcje za pośrednictwem smsa. Jego istotną zaletą jest to, że transakcja z elektronicznym rachunkiem dokonywana jest tylko wtedy, kiedy bank uzyska odpowiedź na wiadomość tekstową. Aby system działał, klienci powinni przekazać bankowi numer swojego telefonu komórkowego.


Wnioski: Phishing jest problemem minionego i bieżącego wieku, którego nie sposób uniknąć, ale można spróbować ograniczyć jego wpływ stosując się do wymienionych wskazówek. Hakerzy i oszuści także nie próżnują i wymyślają coraz to nowsze kombinacje. Phishing w szybkim tempie rozprzestrzenia się w Internecie, przynosząc wielomiliardowe straty zarówno osobom prywatnym jak i firmom. Jak żyć na cudzy koszt, świetnie wiedzą "poławiacze": w Twoim imieniu mogą nabyć coś w sklepie on-line, podbić stawkę na aukcji lub, po prostu, przelać środki z Twojego konta gdzieś za granicę...