Wyłudzanie danych w Sieci coraz popularniejsze
Zdalne wykradanie danych dostępowych do kont bankowych czy serwisów internetowych przybiera na sile - wynika z danych przedstawionych przez firmę Symantec na temat przestępstw typu phishing oraz pharming. Specjaliści przedstawiają krótki poradnik, jak uchronić się przed tego typu zagrożeniami z Sieci.
Phishing
(od "password fishing") to coraz bardziej powszechna, podstępna metoda uzyskiwania - za pośrednictwem e-maili - kodów dostępu do bankowych rachunków online oraz kont użytkowników internetowych sklepów lub aukcji. Przestępcy zwykle podszywają się pod przedstawicieli finansowych instytucji próbując nakłonić odbiorców e-maili do przesłania im haseł oraz innych danych osobowych, bądź też udania się na wskazaną w e-mailu stronę, która ma rzekomo służyć do pilnej zmiany tych danych.
Z danych firmy Symantec wynika, że w drugiej połowie 2006 roku zarejestrowano przeszło 166 tysięcy wariantów wiadomości e-mail, w których cyberprzestępcy nakłaniali odbiorców do ujawnienia swoich danych personalnych lub dostępowych. Z tego na usługi finansowe przypadło 84% unikatowych marek użytych w tych próbach oszustw oraz 64% wszystkich witryn wyłudzających informacje.
W dwóch ostatnich kwartałach ubiegłego roku Symantec zablokował ponad 1,5 miliarda wiadomości wykorzystanych w atakach phishingowych, czyli o 19% więcej w porównaniu z pierwszą połową 2006 roku. Co ciekawe, w dni wolne od pracy liczba tego typu wiadomości była o przeszło 1/4 mniejsza niż w dni robocze. Wśród witryn wykorzystywanych do ataków dominują amerykańskie (46%).
Paweł Reszczyński, ekspert firmy Symantec, radzi by zawsze ignorować e-maile wzywające do wprowadzenia danych potrzebnych do logowania, nawet jeżeli ich autorzy grożą zablokowaniem konta i podobnymi konsekwencjami.
Warto zapamiętać, iż poważni usługodawcy z zasady nie wysyłają tego rodzaju e-maili. Kto chce mieć całkowitą pewność, powinien zadzwonić do banku lub sklepu internetowego (ale nie pod numer podany w e-mailu!) i dowiedzieć się osobiście, czy e-mail faktycznie pochodzi od tej instytucji, a jeśli tak, to o co chodzi z aktualizacją danych na żądanie.
Oczywiście warto także stosować rozwiązania zabezpieczające przeciw atakom "phisingowym" - istnieje wiele programów oraz dodatków do przeglądarek, które rozpoznają fałszywe strony internetowe i ostrzegają użytkownika zanim ten poda swoje dane.
Pharming
To także próba nieuczciwego pozyskania danych osobowych oraz haseł, które otwierają przestępcom drogę do naszych kont w bankach, sklepach oraz innych instytucjach finansowych. Przestępcy stosują w tym przypadku nieco inne metody.
Zamiast wysyłania e-maila od fałszywego nadawcy, użytkownicy kierowani są bezpośrednio na fałszywe strony internetowe, nawet gdy wpisały prawidłowy adres lub wybrały daną stronę z kategorii "ulubione" - ostrzega Symantec. Podając swoje kody dostępu na takiej stronie, internauci "wpadają" bezpośrednio w ręce oszustów.
W związku z powyższym eksperci zalecają, by w momencie wprowadzania poufnych danych zawsze zachowywać szczególną ostrożność. Jeżeli na przykład z okna przeglądarki nagle zniknęły symbole bezpiecznego połączenia (np. mała kłódka pasku statusu, litera "s" w "https://" przed internetowym adresem banku) lub gdy strona wygląda inaczej niż zwykle, należy natychmiast przerwać transakcję i zawiadomić bank lub sklep internetowy.
Należy również pamiętać, iż w przypadku banków szczególnie podejrzany jest fakt żądania jednorazowych haseł już przy logowaniu. Dodatkowej pewności dostarczy nam kontrola certyfikatu bezpieczeństwa danej strony - wystarczy podwójne kliknięcie na symbol kłódki. Certyfikat musi być wystawiony na oryginalnego operatora danej strony.
Paweł Reszczyński z Symantec twierdzi, że obecnej chwili najbezpieczniejszy wariant techniczny dla bankowości internetowej to kombinacja karty chipowej z odpowiednim czytnikiem kart, podłączanym do osobistego komputera. Wadą takiego rozwiązania jest to, iż korzystanie z bankowości internetowej w komputerach, które nie posiadają takiego czytnika, np. w biurze, jest wówczas niemożliwe.