Phishing – czym jest i jak nie stać się jego ofiarą?

Złodzieje danych – phishing i jego istota

Cyberprzestępcy mają do swojej dyspozycji wiele narzędzi i metod, aby oszukiwać i okradać internautów. Cały czas powstają też nowe sposoby. Obecnie zagrożone są przede wszystkim poufne dane, którymi posługujemy się w internecie, m.in. hasła i loginy do kont bankowych, numery kart kredytowych, numery ubezpieczeń czy dane osobowe. Ich przechwycenie przez osoby trzecie naraża właścicieli na poważne, realne straty finansowe.

Na tym właśnie polega phishing, czyli przebiegła metoda, jaką posługują się hakerzy, chcąc nakłonić internautę do ujawnienia informacji osobistych. Innymi słowy, phishing jest oszustwem internetowym, podstępem, który pozwala złodziejom wyłudzić w sieci od użytkownika jego osobiste dane.

Jak nie dać się phishingowi?

Złota zasada brzmi, że aby pokonać wroga, trzeba go dobrze poznać. Rzeczywiście ma ona zastosowanie również w przypadku phishingu. Jak internetowi oszuści? Posługują się między innymi fałszywymi e-mailami lub przekierowaniami na podstawione strony WWW, które do złudzenia mogą przypominać np. witryny bankowości internetowej.

Wiadomości wysyłane przez hakerów wydają się pochodzić od legalnych organizacji i instytucji, m.in. z banków, agencji rządowych czy instytucji płatniczych takich jak PayPal. W mailach hakerzy proszą o aktualizację danych, ich uzupełnienie czy nawet o zabezpieczenie swoich danych poprzez wypełnienie elektronicznego formularza. Zatwierdzenie czy potwierdzenie informacji ma pozwolić na uniknięcie ataków cyberprzestępców. Wielu internautów nie podejrzewa, że za takimi wiadomościami kryją się hakerzy wykorzystujący właśnie phishing.

Przykłady phishingu

Przykładem takiego działania są maile od DHL. Rzekoma firma DHL wysyła do klientów nietypowe maile, które w treści mają prośbę o wpłatę określonej kwoty za usługę. DHL deklaruje, że przesyłka czeka na odbiorcę pod wskazanym adresem. W załączniku znajduje się też faktura, która jest zwykłym oszustwem. Hakerzy podszywają się pod znaną markę kurierską, o czym dowiedzieć można się z oficjalnej strony DHL-u.

Hakerzy wykorzystali phishing również, podszywając się pod mBank. Wysyłali maile do klientów, w których przekierowywali ich na fałszywe strony internetowe banków za pomocą linka o otrzymaniu ważnej wiadomości. Do jej odczytania konieczne było zalogowanie się do serwisu transakcyjnego. Można było rozpoznać atak po tym, że mail, z którego wysłano wiadomość, nie pochodził z domeny bankowej.

Podobny mechanizm wystąpił w przypadku phishingu skierowanego do klientów iPKO. Jeśli klient kliknął w „otwórz wiadomość”, był przenoszony na fałszywą stronę logowania – mBanku lub iPKO. O tym, że nie mamy do czynienia z prawdziwym serwisem bankowym, informował pasek adresu, który nijak miał się do nazwy banków.

W czasach największej popularności Naszej-Klasy.pl również i ona oraz jej klienci stali się celem hakerów. W ramach phishingu oszuści wysyłali maile do użytkowników tego serwisu społecznościowego z częścią rzekomej wiadomości od innego użytkownika. Dalsza część tej wiadomości dostępna była pod wskazanym linkiem, ale jej odczytanie wymagało ściągnięcia najnowszej wersji flashplayera. Jeśli użytkownik się na to godził, ściągał na dysk komputera trojana.

Głośny był inny przykład phishingu – hakerzy podszywali się pod wiadomości z serwisu aukcyjnego Ebay, informując użytkowników o błędach z ich kontami. Użytkownik był proszony o jak najszybsze zalogowanie się na konto poprzez podany link, aby Ebay mógł zweryfikować błąd. Wówczas jednak haker przejmował login i hasło nic niepodejrzewającego internauty.

Jak się bronić przed phishingiem?

Najważniejsze w przypadku odparcia ataku phishingowego jest zachowanie czujności i zdrowego rozsądku. Trzeba zawsze być świadomym tego, że banki czy instytucje nie wysyłają niczego ważnego pod linkiem widniejącym w mailu. Za nic nie powinno się otwierać załączników w niechcianych wiadomościach mailowych. Nie można przekazywać nikomu danych osobowych i poufnych, np. do logowania się w serwisie bankowym. Dobrą praktyką jest sprawdzanie zawsze URL stron. Często w przypadku phishingu nie wyglądają one poprawnie.

Warto zainstalować na swoim komputerze najnowsze oprogramowanie antywirusowe. Mając domowe łącze internetowe w UPC, można skorzystać z Pakietu Bezpieczeństwa UPC. To narzędzie pozwalające na zainstalowanie oprogramowania zabezpieczającego na 3 dowolnie wybranych urządzeniach. Pakiet zapewnia kompleksową ochronę przed oprogramowaniem szpiegującym i jego to jeden z kroków, jakie można podjąć w celu ograniczenia ryzyka kradzieży danych.