W jednym z postów umieszczanych na portalu Facebook wspominaliśmy o zjawisku phishingu. Dziś chcemy przybliżyć Państwu ten temat. Co to jest phishing? Jak uniknąć wyłudzenia danych? Na te pytania postaramy się odpowiedzieć w dzisiejszym poście.
Niezależnie od wielu korzyści, jakie pociąga za sobą korzystanie z Internetu, Internet to również szereg pułapek. Nadmierne i często nieuzasadnione poczucie bezpieczeństwa użytkowników sieci, stwarza liczne możliwości nadużyć, wyłudzeń, oszustw. Coraz częściej słyszymy więc o podstępnym wyłudzaniu danych, włamaniach na konta, kradzieżach tożsamości. Phishing, spoofing, hacking, pharming jak nie zaplątać się w tę gęstą sieć?
Czym jest phishing?
Wybrane jako temat przewodni dzisiejszego postu zagadnienie, czyli phishing, polega na wyłudzeniu danych dostępowych do kont elektronicznych poprzez wysyłanie do użytkownika próśb o aktualizację czy modyfikację danych, zalogowanie się na konto lub jego ponowną aktywację, niezbędną do dalszego działania. Wiadomości takie zawierają linki przekierowujące użytkownika na stronę przypominającą do złudzenia stronę banku, serwisu, portalu, w którym ma konto. Nieuważny bądź nieostrożny użytkownik, logując się na takiej fałszywej stronie, podaje dane uwierzytelniające (w tym identyfikator użytkownika, login, hasło, numer pin) nie mając świadomości, że właśnie padł ofiarą oszustwa. Dane takie zostają zapisane przez oprogramowanie fałszywego serwisu. Następie mogą być użyte do logowania już we właściwym banku, serwisie, portalu.
Czy ta praktyka jest popularna?
Choć czytając o samym mechanizmie phishingu może się wydawać, że takie działanie się nie opłaca i że rozsądni użytkownicy nie dadzą się „podejść” w taki sposób, rzeczywistość jest inna. Ostatnio regularnie możemy bowiem przeczytać o kolejnych próbach wyłudzeń danych poprzez podszywanie się pod banki, portale, serwisy. Dane uwierzytelniające czy też dane kart kredytowych, numery rachunków bankowych, kody jednorazowe są też pozyskiwane poprzez wysyłanie wiadomości udających maile z serwisów aukcyjnych. Niedawno media donosiły o fałszywych wiadomościach wysyłanych jako maile z banków PKO BP czy Banku Millenium. Maile takie trafiały również na nasze adresy służbowe. Przykład znajdziecie Państwo pod dzisiejszym postem.
W wiadomościach mailowych, które mają na celu nakłonienie użytkownika do zalogowania się na podrobionej stronie internetowej, pojawiają się różne komunikaty. Bardzo popularną treścią omawianych maili jest informacja „odnotowaliśmy próby logowania na Pani/Pana konto. Prosimy o zalogowanie się w celu weryfikacji tożsamości / reaktywacji konta”. Ponadto, wiadomości takie niejednokrotnie zawierają ostrzeżenie, że aktualizacja danych, ponowna aktywacja konta czy też ponowne wprowadzenie danych muszą nastąpić niezwłocznie. Często wspomniane wiadomości mają charakter ostrzegawczy i informują, że podanie określonych informacji nastąpić musi ze względów bezpieczeństwa.
Jak nie dać się złapać?
Najskuteczniejszą obroną przed oszustami internetowymi jest zachowanie ostrożności i rozwagi. Pamiętać należy, że portale i banki nie wysyłają wiadomości mailowych żądając zalogowania się na stronie. Tym bardziej, tacy usługodawcy nie kierują do użytkowników wiadomości mailowych z prośbami o przesłanie danych dotyczących kont czy danych uwierzytelniających za pomocą wiadomości e-mail.
Logując się do internetowych kont bankowych, należy zwracać uwagę na adresy stron www. Jeśli adres strony rozpoczyna się od http, nie należy podawać na takiej stronie danych uwierzytelniających. Instytucje finansowe, w tym oczywiście banki, stosują bowiem w celu zwiększania bezpieczeństwa użytkowników, zapobiegający przechwytywaniu i modyfikacji przesyłanych danych, protokół SSL, który użytkownik może rozpoznać dzięki skrótowi https w adresie strony.
Choć może się to wydawać oczywiste, warto pamiętać również o tym, by należycie zabezpieczać hasła stosowane do uwierzytelniania w ramach dane witryny. Jest to tym bardziej istotne, że coraz częściej w związku z koniecznością zapamiętywania wielu haseł, użytkownicy posługują się tym samym hasłem bądź kilkoma ustalonymi hasłami do logowania w wielu wypadkach. Takie działanie zwiększa ryzyko możliwości włamania się na kolejne konta przy okazji wyłudzenia danych do jednego z nich.
Podsumowując, niezależnie od tego, jak bardzo skomplikowane hasła tworzymy, by zabezpieczyć nasze konta, działając w sieci należy przede wszystkim zachować czujność i ostrożność. Metody wyłudzania informacji stają się bowiem coraz bardziej wyrafinowane, a użytkownicy coraz mniej ostrożni.