Phishing – co to jest i jak się przed nim bronić

28.12.2018 4 minuty na przeczytanie artykułu
Akademia Bezpieczeństwa Ekonomiczno-Prawnego

Przypominając sobie lata 90. i głośne walki brutalnych organizacji przestępczych, aż trudno uwierzyć jak bardzo zmienił się profil przestępcy oraz sama przestępczość. Oczywiście w dalszym ciągu obecni są wśród nas zwykli bandyci i złodzieje, niemniej coraz częściej ich aktywność przenosi się do sieci, za pomocą której atakują nas każdego dnia.

Najczęściej nawet nie zdajemy sobie z tego sprawy, a o dokonanym przestępstwie dowiadujemy się, kiedy jest już za późno. Niestety w obliczu olbrzymiego postępu technologicznego i popularyzacji elektronicznych form płatności, w niesamowitym tempie rozwinęła się przestępczość bankowa i nowe formy bardzo skutecznych oszustw. Jednym z najpopularniejszych i najprostszych z nich jest w ostatnich latach tzw. phishing — metoda oszustwa, w której przestępca podszywa się pod inną osobę lub organizację w celu wyłudzenia określonych informacji (np. danych logowania do bankowości internetowej) lub nakłonienia ofiary do realizacji określonych działań[1]. O nim dzisiaj słów kilka.

 

Wyłudzenia danych pozwalających na przeprowadzenie transakcji

 

Phishing jest niebezpieczny przede wszystkim z powodu prostoty, z jaką działają przestępcy posługujący się tą metodą. Za phishingiem nie stoją świetnie przygotowani hakerzy włamujący się na nasze konta za pomocą wyszukanych narzędzi, a przede wszystkim wyćwiczeni manipulatorzy wykorzystujący naszą ufność i niewiedzę. Ich działania polegają w zdecydowanej większości przypadków na wyciągnięciu niezbędnych do oszustwa informacji od nas samych, w sposób, który nie wywołuje żadnego poczucia zagrożenia, a nawet zwiększa wrażenie bezpieczeństwa. Najprościej rzecz ujmując, phishing to wyłudzanie poufnych informacji osobistych za pomocą mechanizmów socjotechnicznych.

 

Najczęściej celem ataków phisherów są, co oczywiście podmioty dokonujące licznych operacji obrotu pieniędzmi, czyli przykładowo banki lub aukcje internetowe. Jak wskazuje Policja, atak phishingowy zwykle inicjowany jest przez rozesłanie drogą elektroniczną wiadomości łudząco podobnych do oficjalnej korespondencji określonych portali lub banków. Celem uwiarygodnienia fałszywej informacji oszuści umieszczają często w przesyłanych mailach szereg informacji, jak np. o rzekomym zdezaktywowaniu konta i konieczności jego ponownego reaktywowania. Przesłana wiadomość zazwyczaj zawiera w treści także odpowiedni odnośnik, które przekierowuje na właściwie przygotowaną witrynę niezwykle podobną do tej prawdziwej. Jest to jednak podstawiona przez przestępcę pułapka. Nieostrożna ofiara nie weryfikując odpowiednio adresu, na którym się znajduje, bezrefleksyjnie podaje swoje dane uwierzytelniające do konta, kart płatniczych itp. (kody pin, identyfikatory, hasła) [2].

 

Oszuści bardzo często korzystają też z prostszych metod, m.in., kontaktując się z potencjalnymi ofiarami, bezpośrednio przez telefon informując, że dzwonią z naszego banku, przykładowo w związku z realizowanym projektem, którego celem jest znaczące podniesienie poziomu bezpieczeństwa naszych klientów oraz deponowanych przez nich środków pieniężnych. W celu potwierdzenia tożsamości rozmówcy, phisher uprzejmie prosi o podanie, chociażby loginu do bankowości internetowej i w ten sposób minimalnym nakładem sił uzyskuje informacje, dzięki którym może wyprowadzić z naszego konta wszystkie oszczędności[3].

 

W ostatnich latach ataki phishingowe przybierały również postać zarażenia komputera ofiary złośliwym oprogramowaniem w trakcie odwiedzin niezweryfikowanych stron internetowych. W chwili jego uaktywnienia zaatakowany użytkownik przekierowywany jest do fałszywej strony, rzecz jasna łudząco podobnej do prawdziwej, na której podaje swoje dane potrzebne do zalogowania, przez co sprawcy zdobywają szereg poufnych informacji takich jak — m.in. nazwę użytkownika, hasło, numer telefonu. Ponadto ofierze może zostać wysłany SMS z linkiem do pobrania programu, który infekuje telefon, dzięki czemu przestępcy otrzymują dostęp do kodów autoryzujących operacje bankowe, które są przesyłane przez bank w SMS-ach.[4].

Jak się przed bronić przed phishingiem

 

Po pierwsze zdrowy rozsądek, po drugie zdrowy rozsądek, po trzecie ograniczone zaufanie. Każdy korzystający z sieci nie może zapominać o podstawowych zasadach poruszania się w meandrach Internetu. Wydają się one dla większości z nas oczywiste, niemniej skuteczność ataków phishingowych udowadnia, że ich świadomość nie chroni to przed nierzadko bardzo bolesnym konsekwencjami. Dlatego przypominamy i pragniemy podkreślić, że aby utrudnić przestępcom ich działania, wystarczy pamiętać o tym, że:

  • nigdy, pod żadnym pozorem nie należy podawać żadnych danych logowania do bankowości internetowej (loginów, haseł, kodów jednorazowych z kart-zdrapek ani przesyłanych SMSem itp.) w żadnym innym miejscu niż strona internetowa banku prowadzącego dany rachunek lub w udostępnianej przez niego aplikacji (np. instalowanej na telefonie);
  • zawsze należy sprawdzać, czy wejście do serwisu bankowości internetowej odbywa się poprzez wprowadzenie jego adresu wpasku przeglądarki – nie należy korzystać w tym zakresie z wyszukiwarek internetowych ani – w szczególności – z linków przesyłanych w otrzymanych wiadomościach e-mail;
  • przed zalogowaniem do serwisu bankowości internetowej zawsze należy sprawdzić, czy połączenie jest szyfrowane, tj. czy przed adresem strony znajduje się przedrostek „https://” (anie „http://”), a obok niego widnieje symbol kłódki; dodatkowo należy kliknąć we wspomniany symbol kłódki i sprawdzić, czy nie pojawia się informacja o błędnym certyfikacie klucza publicznego[5];
  • serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie;
  • nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila;
  • należy regularnie uaktualniać system i oprogramowanie;
  • nie wolno przesyłać mailem żadnych danych osobistych – w żadnym wypadku nie wypełniajmy danymi osobistymi formularzy zawartych w wiadomości e-mail[6].

Ponadto musimy zdawać sobie sprawę, że żaden bank nigdy nie prosi o podawanie danych logowania do bankowości internetowej (loginów, haseł, kodów jednorazowych z kart-zdrapek ani przesyłanych SMSem itp.), czy to telefonicznie, czy poprzez pocztę elektroniczną, czy w jakikolwiek inny sposób – poza serwisem internetowym bankowości elektronicznej i udostępnianymi przez banki aplikacjami (np. instalowanymi na telefonach komórkowych)[7].

 

[1] Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektronicznąKomisja Nadzoru Finansowego. s. 7. Warszawa 2014.

[2] http://www.zyjbezpiecznie.policja.pl/zb/komputer-i-internet/47343,Phishing.html

[3] Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektronicznąKomisja Nadzoru Finansowego. s. 9. Warszawa 2014.

[4] http://www.policja.pl/pol/aktualnosci/62897,dok.html

[5] Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektronicznąKomisja Nadzoru Finansowego. s. 11. Warszawa 2014.

[6] http://www.zyjbezpiecznie.policja.pl/zb/komputer-i-internet/47343,Phishing.html

[7] Ibid.

Współfinansowane ze środków Fundacji PZU

Program dofinansowany ze środków Programu Fundusz Inicjatyw Obywatelskich 2018