Pojęcie phishing, pochodzące od angielskiego fishing - łowienie ryb na wędkę to forma wyłudzania za pomocą przynęty danych osobowych, informacji potrzebnych do logowania się w rozmaitych serwisach, numerów klienckich i identyfikatorów bankowych, haseł - i w sumie wszystkich informacji, jakie ofiara ataku będzie skłonna podać.
Przynętą jest w tym przypadku sprytnie skonstruowana strona internetowa, należąca faktycznie do przestępców, ale udająca że jest czymś zupełnie innym. Na przykład panelem logowania do banku.
Pojęcie phishing, pochodzące od angielskiego fishing - łowienie ryb na wędkę to forma wyłudzania za pomocą przynęty danych osobowych, informacji potrzebnych do logowania się w rozmaitych serwisach, numerów klienckich i identyfikatorów bankowych, haseł - i w sumie wszystkich informacji, jakie ofiara ataku będzie skłonna podać.
Przynętą jest w tym przypadku sprytnie skonstruowana strona internetowa, należąca faktycznie do przestępców, ale udająca że jest czymś zupełnie innym. Na przykład panelem logowania do banku.
Niezależnie od sposobu działania, phisher żeruje na łatwowierności i braku wiedzy osoby, od której zamierza wyłudzić potrzebne mu dane. Przerażające jest, jak często je dostaje - dlatego warto ciągle, nawet po raz setny, powtarzać zasady bezpieczeństwa związane z phishingiem...
Jak działa phisher
Najczęściej spotkać się można po prostu z wiadomością e-mail, która udaje, że została wysłana na przykład przez nasz bank. Możemy w niej przeczytać, że z jakiegoś powodu - najczęściej są to nadużycia klientów, problem techniczny serwisu bądź, paradoksalnie, względy bezpieczeństwa - konieczna jest weryfikacja danych.
W tym samym mailu znajduje się też odnośnik do strony logowania - sfałszowanej oczywiście, ale wyglądającej niemal identycznie, jak oryginalna. Często także z podobnym na pierwszy rzut oka adresem, np.:
Kiedy ofiara wpisze swoje dane i naciśnie przycisk logowania, pojawi się komunikat w rodzaju logowanie nie powiodło się, spróbuj ponownie. Informacje zostały wysłane do phishera, a kolejna próba logowania odbędzie się już we właściwym serwisie i ofiara, nadal niczego nie podejrzewając, po prostu wejdzie na swoje konto.
Czasami spotykane są też inne sposoby, bardziej skomplikowane, ten jest jednak najbardziej rozpowszechniony i w większości przypadków ta metoda przynosi phisherom najlepsze rezultaty osiągnięte najmniejszym kosztem i wysiłkiem.
Jak się bronić - a w zasadzie jak unikać
Po pierwsze pamiętajmy: ani banki, ani serwisy aukcyjne, ani nawet fora dyskusyjne, nie pytają w mailach o hasło do konta, nie prowadzą mailowo działań związanych z bezpieczeństwem, ani też nie przesyłają tą drogą żadnego oprogramowania do zainstalowania na twoim komputerze.
Po drugie zwracamy zawsze uwagę na takie elementy jak:
- brak zgodnego certyfikatu zabezpieczeń
- brak "kłódki" oznaczającej bezpieczną transmisję
- występujące na stronie błędy
- dziwny bądź inny niż zwykle adres w pasku stanu lub pasku adresowym
Jeśli wystąpi któraś z tych sytuacji, absolutnie nie podajemy ani loginu, ani hasła - a potencjalną próbę oszustwa zgłaszamy bankowi czy innej firmie, na której strony chcieliśmy się zalogować.
Po trzecie zawsze ręcznie wpisujemy adres strony logowania - nigdy nie korzystamy z linków przesłanych mailem. Przed podaniem danych, sprawdzamy też jeszcze raz na wszelki wypadek, czy adres jest taki, jaki wpisaliśmy.
Po czwarte nie korzystamy z poczty e-mail do wymieniania jakichkolwiek istotnych danych. Login i hasło to SĄ istotne dane.
Po piąte nie instalujemy absolutnie żadnego oprogramowania, które niespodziewanie przyszło mailem (lub do którego link przyszedł mailem), nawet, jeśli znamy adres nadawcy. Lepiej jest najpierw spytać nadawcę, czy rzeczywiście jest nadawcą - i co to jest to coś, co mamy zainstalować. A czy instalujemy, zależy od tego, na ile mu ufamy.