Otrzymujesz maila z informacją, że w ramach prowadzonych prac konserwacyjnych Twoje konto w banku musi zostać zweryfikowane – inaczej utracisz do niego dostęp. W wiadomości podany jest link do strony banku, na której można wpisać nowe hasło i pozostałe dane dostępowe. Tylko że to nie jest już strona banku a sprytnie zmontowana atrapa.
Tak właśnie działa phishing, czyli metoda wyłudzania poufnych danych. Jeżeli w porę nie zorientujesz się w sytuacji atakujący zdobędzie login i hasło do Twojego prawdziwego konta, a wraz z nim dostęp do zgromadzonych tam środków. Phishing to obecnie jedna z najpopularniejszych metod ataku a przestępcy coraz bardziej doskonalą swój warsztat. Dlatego warto wiedzieć jak wyglądają najpopularniejsze formy ataku i jak się przed nimi bronić.
Przykłady phishingu
Serwisy aukcyjne
Popularną i często wykorzystywaną przez przestępców drogą uzyskania poufnych informacji jest podszywanie się pod serwisy aukcyjne. Fałszywe strony zbierają zarówno dane logowania jak i informacje na temat konta bankowego i płatniczego PayU i PayPal. Ostatni taki atak, jak donosi niebezpiecznik.pl, nadal trwa.
Aplikacje i strony banków
Nie jest łatwo wyłudzić dane logowania do konta w banku ale kreatywność przestępców nie zna granic. Najbardziej prymitywna metoda polega na stworzeniu atrapy strony, podobnie jak w wypadku serwisów aukcyjnych. Ciężko jest jednak podrobić zabezpieczenia, certyfikaty i sam adres w linku. Dlatego popularność zdobywa metoda zachęcająca do logowania się poprzez link podany w smsie. Korzystając z aplikacji mobilnych jesteśmy dużo mniej uważni a osoba znająca nasz numer telefony wygląda wiarygodnie. Nic więc dziwnego, że smsów phishingowych wciąż przybywa.
Konta kryptowalut
Rynek krypto przypomina złote czasy Dzikiego Zachodu. Są wielcy gracze, są stróże prawa oraz nieodzowni bandyci rozbijający banki. W samym drugim kwartale 2018 r. oszuści zarobili 2 329 317$ bez użycia phishingu. Przy jego pomocy kwota może być nawet wielokrotnie wyższa a fałszywe strony, mające wykraść klucz prywatny lub wyłudzić kryptowalutę, powstają jak grzyby po deszczu.
Jak się bronić przed phishingiem?
Najważniejsza jest uważność oraz świadomość ryzyka. Nigdy nie należy przesyłać wrażliwych danych (haseł, loginów, kluczy czy tokenów) pocztą elektroniczną. Korzystając ze stron bankowych zawsze trzeba zwracać uwagę czy połączenie jest bezpieczne (certyfikat SSL) oraz unikać sieci otwartych (publicznych hotspotów).
Aby uniknąć ataku phishingowego nigdy nie należy bezpośrednio otwierać linków z wiadomości email. Lepiej skopiować je do przeglądarki, zwracając uwagę na zabezpieczenia. Linki w mailu stosunkowo łatwo sfałszować i pod wyglądającym znajomo adresem umieścić odnośnik do podstępnej strony internetowej.
Banki, serwisy aukcyjne i podobne portale nigdy nie proszą o podanie danych dostępowych, a zwłaszcza o numery kart kredytowych. Widzą tego rodzaju żądanie z dużą dozą prawdopodobieństwa możemy założyć, że to próba wyłudzenia danych.
W razie wątpliwości warto skontaktować się z odpowiedzialną instytucją, serwisem lub zasięgnąć porady w sieci. Większość ataków phishingowych jest dość szybko raportowana przez użytkowników (w Polsce informacje o tym gromadzą niebezpiecznik.pl i zaufanatrzeciastrona.pl). Kilka chwil poświęconych na zbadanie, czy ktoś nas nie stara się oszukać jest dużo lepsze niż oddanie komuś dostępu do konta.
Po co to komu, czyli kto korzysta z phishingu?
Na masową skalę z phishingu korzystają zwyczajni oszuści. Starają się w ten sposób zdobyć dostęp do pieniędzy lub danych, które można zmonetyzować (np. szantażując daną osobę ich ujawnieniem).
Phishing korporacyjny i przemysłowy służy głównie szkodzeniu konkurencji lub zdobywaniu poufnych informacji. Duzi światowi gracze od lat prowadzą szkolenia dla kadry zarządzającej, mające na celu zminimalizowanie szans utraty wrażliwych danych. Phishing skierowany do osób zajmujących najwyższe miejsca w hierarchii firmy nazywany jest whalingiem, czyli łowami na wieloryby.
Istnieje też wymiar phishingu skierowany tylko pod konkretną osobę. Jest to tzw. spear phishing i jego ofiarą mogą paść wpływowi politycy, biznesmeni lub aktywiści, którzy z tych lub innych powodów nadepnęli komuś na odcisk.
W gruncie rzeczy sukces phishingu leży wyłącznie po stronie ludzkiej nieuwagi. Jak długo, w amoku codziennych obowiązków, będziemy zbyt pospiesznie klikać na linki albo otwierać przypadkowe wiadomości, tak długo znajdą się oszuści, którzy wykorzystają różnicę pomiędzy PayPal a PayPai.
Ten wpis nie posiada jeszcze żadnych komentarzy.