Często bagatelizujemy zagrożenia, jakie niesie korzystanie z bankowości online czy robienie zakupów w sieci. A tymczasem hakerzy mogą jedną sztuczką uzyskać pełen dostęp do naszego konta, karty kredytowej czy innych wrażliwych danych. Tak działa phishing, czyli najpopularniejsza metoda wyłudzania danych w internecie. Jak działa i jak się przed nią chronić?
Wyłudzanie online, czyli czym jest phishing?
Według definicji phishing (nazwa wywodzi się ze zbitki słów „fishing” [wędkowanie] i „phreaking” [oszukiwanie systemów telekomunikacyjnych]) to metoda oszustwa internetowego polegająca na tym, że przestępca podszywa się pod inną osobę lub instytucję (dobrze znaną użytkownikowi, wzbudzającą zaufanie), tylko po to by wyłudzić osobiste dane od użytkownika, takie jak dane logowania, dane kont bankowych, szczegóły na temat karty kredytowej, wrażliwe informacje itp. Taki cyberatak nie budzi naszych zastrzeżeń, ponieważ użytkownik dostaje maila rzekomo od instytucji finansowej – cała szata graficzna, logo, dane wyglądają tak jakby wiadomość przygotował znany nam dobrze bank. Treść również do złudzenia przypomina komunikat bankowy, zazwyczaj zawierając informację o konieczności natychmiastowego zalogowania się do bankowości mobilnej – np. w celu zapobiegnięcia utracie danych, usunięciu czy blokadzie konta. Jednakże przechodząc za pośrednictwem maila, trafiamy na fałszywą stronę, gdzie zainstalowany jest wirus, który ukradnie nasze dane i poufne informacje i przekaże je prosto o cyberprzestępcy.
Phishing szerzy się także na portalach społecznościowych (rozsyłane jest złośliwe oprogramowanie wykradające dane) oraz w sklepach internetowych (gdy klient przechodzi na stronę płatności, faktycznie trafia na fałszywą stronę bankowości mobilnej, gdzie logując się nieświadomie dane przekazuje hakerowi.
Historia łowienia ofiar online, czyli skąd się wziął phishing?
Zjawisko pojawiło się podobno już końcem lat 80., zaś nazwane i zdefiniowane zostało w połowie lat 90. – wówczas miała miejsce kradzież konta w serwisie AOL, haker podszył się pod członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary z prośbą o ujawnienie hasła w celu weryfikacji i potwierdzenia hasła, co z kolei powodowało że przestępca zdobywał dostępy do konta i wykorzystywał je w swoich celach.
Współcześnie phishing stał się o wiele powszechniejszy i tak już wcześniej wspominaliśmy przestępcy najczęściej podszywają się pod banki, a maile z fałszywym komunikatem są wysyłane jednocześnie do ogromnej grupy osób. Każdego roku oszustwa phishingowe przynoszą ogromne straty – w samych Stanach Zjednoczonych sięgają sumy dwóch milinów dolarów. W Polsce nie jest lepiej – nasz kraj znajduje się w na czele niechlubnego rankingu państw, do których najczęściej dochodzi do wyłudzeń tego typu.
Deszyfracja, czyli jak rozpoznać phishing?
Lampka ostrzegawcza powinna nam się zapalić przy każdym mailu, w którym nadawca prosi nas o podanie danych logowania i przejście do formularza poprzez przekierowanie za pomocą linka lub ikonki zamieszczonej w wiadomości. Warto pamiętać o kilku wskazówkach, które pomogą nam rozpoznać fałszywe maile:
- zalecane jest sprawdzenie adresu przekierowania do strony logowania banku czy instytucji – zwykle „fałszywka” zawiera literówkę, z pozoru niezauważalną i sprawiającą że na pierwszy rzut oka adres wydaje się prawidłowy, np. www.paypai.com zamiast www.paypal.com;
- przeglądarka – o ile jest dobrze chroniona – może wystosować ostrzeżenie, czy na pewno chcemy przejść na witrynę z przekierowania;
- powinniśmy również sprawdzić protokół HTTPS – w Internet Explorer 7/8 oznaczony jest kłódką znajdującą się na górze strony, zaraz po adresie www, w Google Chrome, Firefox 8.x i Opera 11.xx kłódka jest umieszczona przed adresem – w momencie kliknięcia pojawia się certyfikat;
- w przypadku dokonywania zakupów online po raz pierwszy w danym sklepie, lepiej poszukać danych kontaktowych i sprawdzić kto jest właścicielem sklepu, brak namiarów powinien dla nas oznaczać ewakuację ze strony tegoż sklepu;
- lepiej uważać na maile, w których oferowane są bonusy/informacje o nagrodach czy konkursach dostępne po przejściu na stronę logowania.
Nie daj się złowić, czyli jak zabezpieczyć się przed phishingiem?
W zasadzie odpowiedź na to pytanie można streścić w trzech postawach, jakie powinniśmy zachowywać:
- Czujność – nie klikaj we wszystko, co zobaczysz w internecie, ze szczególnym uwzględnieniem maili związanych z podawaniem danych, wirusowych wiadomości rozsyłanych za pośrednictwem mediów społecznościowych.
- Zdrowy rozsądek – instytucje bankowe nigdy nie wysyłają wiadomość mailowych z prośbą o podanie w formularzu danych osobowych czy wręcz z nakaz
em przejścia na stronę bankowości mobilnej. Nie wolno nam mailem przesyłać wrażliwych danych osobistych, swoich danych do logowania, haseł czy numerów karty kredytowej.
- Przezorność – powinniśmy posiadać zaktualizowanego antywirusa, aktualny system, oprogramowanie, zwłaszcza poczty e-mail oraz przeglądarkę internetową.
Jeśli pojedziemy do tego na poważanie, to wyłudzenie naszych danych i utrata np. środków z konta nam nie grozi. Trzeba mieć po prostu szeroko otwarte oczy i nie klikać wszystkiego bezmyślnie, wtedy atak łowcy haseł nam nie grozi.
Jak się wyplątać z hakerskich sieci, czyli co jeśli Cię oszukają?
Tak jak w przypadku kradzieży – sytuację należy zgłosić, ale na odzyskanie utraconych środków nie ma co liczyć. Informację o próbie wyłudzenia czy już o samym wyłudzeniu danych należy przekazać instytucji, pod którą podszywał się cyberprzestępca. Warto pamiętać też o regularnym sprawdzaniu swojego konta – w celu monitorowania ewentualnych nieautoryzowanych przez nas operacji. Trzeba też zadbać o odpowiednią ochronę swojej karty podczas transakcji internetowych – więcej pisaliśmy o tym w artykule Pinem i kodem. Jak chronić swoje karty płatnicze? Jednak nie ma co się czarować – współcześni hakerzy stają się coraz bardziej przebiegli – nie ma rady, pozostaje nam zaufać antywirusowemu oprogramowaniu i swojej ostrożności.