Ataki phishingowe dokonywane są najczęściej poprzez e-maile, w których przestępcy zwykle podszywają się pod przedstawicieli banków oraz innych instytucji finansowych. Co ważne, fałszywe e-maile pochodzące od przestępców na pierwszy rzut oka bardzo trudno odróżnić od tych prawdziwych.

Oznacza to, iż wiadomość jest przygotowana zgodnie z szablonem e-maili wysyłanych do klientów przez daną instytucję - może zawierać elementy graficzne charakterystyczne dla danej instytucji, podpis oraz prawdziwe dane teleadresowe tej instytucji. Bardzo istotne jest także to, iż w polu "Nadawca" również możemy znaleźć prawdziwy adres e-mail danej instytucji, a nie namiary na przestępcę.

Jedynym sygnałem rozpoznawczym jest zazwyczaj prośba o udostępnienie, bądź aktualizację poufnych danych poprzez sposób wskazany w e-mailu.

Przestępcy będą chcieli skłonić ofiarę, by przekazała swoje poufne dane poprzez zwrotny e-mail, poprzez zalogowanie się na wskazanej stronie, bądź też by zadzwoniła w celu potwierdzenia danych pod wskazany w e-mailu numer telefonu. Argumentacja do przekazania tych danych może być bardzo różna, choć zwykle bazuje na straszeniu adresatów poniesieniem konsekwencji związanych z niepodjęciem przez nich czynności ujawnienia danych.

Przestępcy będą zatem informować, że brak reakcji z naszej strony spowoduje zablokowanie lub zawieszenie naszego konta, mogą również wykorzystywać rzeczywiście planowane zmiany przez dany bank (np. systemu obsługi klienta, a nawet wizualnej oprawy internetowego serwisu bankowego) do wymuszenia na jego klientach rzekomej aktualizacji danych.

Odpowiadając w jeden z podanych przez przestępcę sposobów, nieświadomie ujawniamy mu swoje poufne dane, które ten z pewnością wykorzysta kradnąc z naszego konta lub karty kredytowej pieniądze, bądź też sprzedając nasze poufne dane innym przestępcom.

Warto pamiętać, że przestępcy nie próżnują i cały czas poszerzają zakres sposobów dotarcia do swoich ofiar i kradzieży ich danych. Próba przejęcia naszych danych (ataki phishingowe) mogą zatem przybrać formę ataku przez telefon, komunikator internetowy, poprzez wiadomości SMS, faksy, wprowadzenie do komputera ofiary wirusa, podstawienia w zakładkach (ulubionych) przeglądarki fałszywego adresu do strony banku, a nawet przejęcia przez cyberprzestępców stron banków oraz innych instytucji finansowych (tzw. pharming).

Niestety, z przeprowadzonych w 2007 roku przez naukowców z Harvardu badań wynika, że na phishing może "złapać się" praktycznie każda osoba, niezależnie od jej poziomu wiedzy na temat nowych metod wykorzystywanych przez przestępców.

JAK NIE DAĆ SIĘ ZŁAPAĆ NA ATAK PHISHINGOWY?

Sposobów jest wiele i są zazwyczaj proste w zastosowaniu, jednak niezwykle ważne jest by nie polegać tylko na jednym z nich.

Po pierwsze - należy ignorować prośby o weryfikację, ujawnienie, czy też wprowadzenie naszych poufnych danych, które pojawiają się niespodziewanie, bez wyraźnej potrzeby wynikającej z faktycznych zmian, których sami dokonaliśmy w odpowiednim urzędzie.

Pamiętajmy, iż żaden poważny bank, ani żadna instytucja finansowa nigdy nie powinna prosić swoich klientów o przekazanie ich poufnych danych, takich jak: numer klienta, login, hasła dostępu, piny, numery kart kredytowych, numery kont bankowych, numery identyfikacyjne typu PESEL, NIP, numer dowodu osobistego poprzez:

• e-mail
• komunikator
• SMS
• fax
• formularz na niezabezpieczonej i nie podpisanej certyfikatem danej instytucji stronie
• prosząc o kontakt na podany w e-mailu numer telefonu
• telefon z prośbą o ujawnienie danych

Banki oraz instytucje finansowe są świadome zagrożeń wynikających z tego typu form kontaktu z klientem, dlatego też korzystają z nich jedynie w celach informacyjnych - po wcześniejszym wyrażeniu zgody przez klienta, np. do przesyłania miesięcznych zestawień, informowania o mniej istotnych zmianach, czy nowych ofertach banku.

Dopóki nasze dane nie ulegną zmianie - poprzez działania wynikające z naszej strony w odpowiednich urzędach - bank nie ma potrzeby kontaktu z nami w celu ich weryfikacji czy zmiany. Zazwyczaj zmiany danych klienci dokonują na drukowanych formularzach, pozostawiając je w placówkach banku lub też wysyłając kserokopie dokumentów na ogólny adres tradycyjny (nie e-mail) banku.

Po drugie - należy stosować oprogramowanie zabezpieczające komputer, jak programy antywirusowe, antyszpiegowskie oraz zapory sieciowe (ang. firewall).

Po trzecie - należy na bieżąco aktualizować swoje oprogramowanie (system operacyjny, przeglądarki, programy antywirusowe, antyszpiegowskie, firewall) - szczególnie chodzi o jak najszybsze stosowanie aktualizacji dotyczących bezpieczeństwa.

Po czwarte - jeśli zamierzamy skorzystać ze strony naszego banku warto wcześniej włączyć w przeglądarce internetowej zabezpieczenie antyphishingowe - są one obecnie wbudowane w każdą z najpopularniejszych na polskim rynku przeglądarkę: Firefox, Operę oraz Internet Explorer.