Phishing

(od "password fishing") to coraz bardziej powszechna, podstępna metoda uzyskiwania - za pośrednictwem e-maili - kodów dostępu do bankowych rachunków online oraz kont użytkowników internetowych sklepów lub aukcji. Przestępcy zwykle podszywają się pod przedstawicieli finansowych instytucji próbując nakłonić odbiorców e-maili do przesłania im haseł oraz innych danych osobowych, bądź też udania się na wskazaną w e-mailu stronę, która ma rzekomo służyć do pilnej zmiany tych danych.

Z danych firmy Symantec wynika, że w drugiej połowie 2006 roku zarejestrowano przeszło 166 tysięcy wariantów wiadomości e-mail, w których cyberprzestępcy nakłaniali odbiorców do ujawnienia swoich danych personalnych lub dostępowych. Z tego na usługi finansowe przypadło 84% unikatowych marek użytych w tych próbach oszustw oraz 64% wszystkich witryn wyłudzających informacje.

W dwóch ostatnich kwartałach ubiegłego roku Symantec zablokował ponad 1,5 miliarda wiadomości wykorzystanych w atakach phishingowych, czyli o 19% więcej w porównaniu z pierwszą połową 2006 roku. Co ciekawe, w dni wolne od pracy liczba tego typu wiadomości była o przeszło 1/4 mniejsza niż w dni robocze. Wśród witryn wykorzystywanych do ataków dominują amerykańskie (46%).

Paweł Reszczyński, ekspert firmy Symantec, radzi by zawsze ignorować e-maile wzywające do wprowadzenia danych potrzebnych do logowania, nawet jeżeli ich autorzy grożą zablokowaniem konta i podobnymi konsekwencjami.

Warto zapamiętać, iż poważni usługodawcy z zasady nie wysyłają tego rodzaju e-maili. Kto chce mieć całkowitą pewność, powinien zadzwonić do banku lub sklepu internetowego (ale nie pod numer podany w e-mailu!) i dowiedzieć się osobiście, czy e-mail faktycznie pochodzi od tej instytucji, a jeśli tak, to o co chodzi z aktualizacją danych na żądanie.

Oczywiście warto także stosować rozwiązania zabezpieczające przeciw atakom "phisingowym" - istnieje wiele programów oraz dodatków do przeglądarek, które rozpoznają fałszywe strony internetowe i ostrzegają użytkownika zanim ten poda swoje dane.

Pharming

To także próba nieuczciwego pozyskania danych osobowych oraz haseł, które otwierają przestępcom drogę do naszych kont w bankach, sklepach oraz innych instytucjach finansowych. Przestępcy stosują w tym przypadku nieco inne metody.

Zamiast wysyłania e-maila od fałszywego nadawcy, użytkownicy kierowani są bezpośrednio na fałszywe strony internetowe, nawet gdy wpisały prawidłowy adres lub wybrały daną stronę z kategorii "ulubione" - ostrzega Symantec. Podając swoje kody dostępu na takiej stronie, internauci "wpadają" bezpośrednio w ręce oszustów.

W związku z powyższym eksperci zalecają, by w momencie wprowadzania poufnych danych zawsze zachowywać szczególną ostrożność. Jeżeli na przykład z okna przeglądarki nagle zniknęły symbole bezpiecznego połączenia (np. mała kłódka pasku statusu, litera "s" w "https://" przed internetowym adresem banku) lub gdy strona wygląda inaczej niż zwykle, należy natychmiast przerwać transakcję i zawiadomić bank lub sklep internetowy.

Należy również pamiętać, iż w przypadku banków szczególnie podejrzany jest fakt żądania jednorazowych haseł już przy logowaniu. Dodatkowej pewności dostarczy nam kontrola certyfikatu bezpieczeństwa danej strony - wystarczy podwójne kliknięcie na symbol kłódki. Certyfikat musi być wystawiony na oryginalnego operatora danej strony.

Paweł Reszczyński z Symantec twierdzi, że obecnej chwili najbezpieczniejszy wariant techniczny dla bankowości internetowej to kombinacja karty chipowej z odpowiednim czytnikiem kart, podłączanym do osobistego komputera. Wadą takiego rozwiązania jest to, iż korzystanie z bankowości internetowej w komputerach, które nie posiadają takiego czytnika, np. w biurze, jest wówczas niemożliwe.

  Czytaj DI:          E-MAIL   •   RSS   •   BLIP           Inne