Jak bronić się przed phishingiem?
Wraz z postępem cywilizacyjnym i popularnością usług elektronicznych załatwianych poprzez pocztę elektroniczną bardzo szybko rośnie liczba prób kradzieży danych Internautów. Najczęstszymi ofiarami specjalistów od phishingu stają się osoby, które bez zastanowienia podają swoje dane osobowe po poproszeniu o to przez e-mail, którego autor podszywa się pod bank lub firmę z branży finansowej.
Firmy zajmujące się badaniem bezpieczeństwa internautów jednoznacznie twierdzą fakt, że oszuści coraz częściej rezygnują z wymuszeń tradycyjnych właśnie na rzecz phishingu. Skala zjawiska rośnie niemal z każdym dniem. Oszuści wykorzystują podstawowe braki w wiedzy o zagrożeniach czekających na nas w
internecie oraz nadmierne zaufanie do listów elektronicznych podpisanych nazwą banku bądź administratora portalu, z którego korzystamy.
Dla oszusta internetowego najłatwiej jest symulować bank, serwisy aukcyjne i portale społecznościowe. Proceder takich ataków phishingowych wygląda następująco: cyberprzestępcy rozsyłają ogromne ilości spamu elektronicznego, w którym kierują na strony symulujące prawdziwe strony banków. Strony najczęściej wyglądają identycznie jak te oficjalne, nawet najdrobniejsze szczegóły dopracowane są bardzo dokładnie. Nieświadomy zagrożenia internauta na tak sfabrykowanej stronie wpisuje swoje poufne dane osobowe, które oszuści mogą wykorzystać w różny sposób.
Internauci najczęściej nabierają się na maile informujące o deaktywowaniu konta oraz konieczności ponownego uruchomienia poprzez stronę, do której link jest zawarty w liście. Po wejściu na fikcyjną stronę, w której prawdziwym odpowiedniku rzeczywiście posiadamy konto i wpisaniu naszych danych, możemy mieć pewność że zostały one przechwycone przez phishera.
Ochrona przed phishingiem
Aby bronić się przed phishingiem mamy kilka możliwości. Zawsze warto posiadać odpowiedni pakiet antywirusowy wraz z opcjami chroniącymi przed phishingiem. Niestety nie zawsze jest to w stanie ochronić nas, ponieważ z każdym dniem oszuści rozwijają i polepszają swoje metody. Niezbędna w tym wypadku jest współpraca ze strony Internauty i jego świadomość z korzystania z elektronicznych usług. Zawsze należy pamiętać o trzech podstawowych zasadach postępowania, które mają na celu ochronić nasze dane osobowe. Pierwsza i najważniejsza: nigdy nie można przekazywać danych do logowania do konta takich jak hasło.
Kolejną zasadą którą należy pamiętać jest to, że nie wolno swoich danych osobowych w tym danych dostępowych do konta wysyłać za pośrednictwem poczty e-mail. Administrator serwisu nie ma prawa poprosić nas o to. Trzecią i zarazem ostatnią zasadą bezpiecznego korzystania z dobrodziejstw e-usług jest to, że nie wolno odpowiadać na wiadomości e-mail w których proszeni jesteśmy o podanie prywatnych danych osobowych lub dostępowych do konta. Zamiast tego lepiej zgłosić danemu bankowi sprawę i sam bank zajmie się tym i ostrzeże swoich klientów. Gdy pojawią się jakieś, nawet najmniejsze wątpliwości co do prawdziwości e-maila możemy spytać w banku czy wysyłał tego typu wiadomości poprzez infolinię. Gdy nie było nic takiego zgłaszanego dobrym krokiem jest także zgłoszenie całej sprawy na policję jako podejrzenie popełnienia przestępstwa.
Celem działań phishera jest swobodny dostęp do kont użytkowników serwisów. Dzięki temu, że przechwycił dane nie musi on już łamać zabezpieczeń. Wykorzystując naiwność klienta ma pełny dostęp do konta i może z nim robić co chce. Warto tutaj podać podstawę prawną z Ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. nr 88, poz. 553 z późn. zm.), która mówi o tym, że każdy kto przechwytuje prywatne dane osobowe, hasła czy też kody dostępowe umożliwiające dowolny dostęp do danych przechowywanych w systemach może podlegać karze pozbawienia wolności do trzech lat.
Wiadomości których powinniśmy się obawiać najczęściej informują nas o tym, że konto w ciągu jakiegoś czasu zostanie zablokowane lub przesyłają sfabrykowany link do witryny za pomocą której mamy zalogować się do naszego konta w serwisie.
Warto wrócić nieco do połowy lat 90 gdzie rozpoczął się proceder phishingu. Na muszce oszustów internetowych padły osoby posiadające swoje konta w serwisie AOL. Crakerzy podając się za administratorów AOL prosili o przesłanie danych dostępowych i haseł w celu potwierdzenia konta lub zweryfikowania danych zawartych w rachunku.
Skala cyberprzestępców rośnie z każdym rokiem. W stosunku do roku 2009, w styczniu 2010 liczba ataków wzrosła o ponad 21 % i zostało zebranych prawie 190 000 prób phishing.