W sieci internetowej często możemy poczuć się bardzo swobodnie. Poruszamy się w niej z dużą pewnością siebie, nie zdając sobie sprawy z rzeczywistych zagrożeń, które na nas czyhają. Dobrze nie dać się w niej złapać. Na co? Choćby na phishingowy haczyk.
Phishing to bezprawne pozyskanie danych, które bronią dostępu do naszego konta bankowego lub karty płatniczej. W jaki sposób możemy te dane stracić? Możliwości są przede wszystkim dwie.
Fałszywe e-maile (fake)
Phishing powinniśmy kojarzyć głównie z wiadomościami e-mail, które mają podszywać się pod banki i są wysyłane do potencjalnych ofiar. Tego typu maile mają proste zadanie: imitować e-mail wysłany do nas z naszego banku oraz zachęcić nas do kliknięcia w znajdujący się w przesłanej wiadomości link. Ten link natomiast prowadzi do strony, która ma łudząco przypominać stronę banku. Obie strony – prawdziwa oraz podstawiona przez oszusta – mogą być prawie identyczne. Prawie, bo znajdują się pod dwoma różnymi adresami.
Takie maile prawie zawsze informują nas o awarii systemu, krytycznym błędzie czy każdej innej wymówce, która “wymusza” na nas konieczność potwierdzenia naszej tożsamości lub zaktualizowania danych. Dodatkowo możemy być “straszeni” zablokowaniem dostępu do konta, jeśli nie zastosujemy się do wskazówek w e-mailu.
Udany phishing ma miejsce w momencie, kiedy odbierzemy wiadomość, przeczytamy ją i klikniemy na link, który poprowadzi nas do podstawionej strony. Ostatnim elementem jest zalogowanie się na witrynie oszusta. Będzie to jednoznaczne z przekazaniem mu danych potrzebnych do zalogowania się na naszym koncie bankowym.
Keyloggery
W tym przypadku efekt końcowy będzie dokładnie taki sam – oszust uzyska dane do naszego konta bankowego lub karty płatniczej. Inna jest metoda – to wykorzystanie urządzenia lub programu, który sczyta i prześle do oszusta wszelkie informacje, które wprowadzimy do naszego komputera z poziomu klawiatury.
O keyloggerach programowych i sprzętowych już na Webbo było. W jaki sposób możemy się nimi “zarazić”? W przypadku keyloggerów sprzętowych sprawca musi mieć dostęp do komputera, z którego korzystamy (bardziej jest to prawdopodobne w kawiarence internetowej, niż u nas w domu). W przypadku keyloggerów programowych – wystarczy, że np. zainstalujemy jakiś program ze strony o niepewnym pochodzeniu. Niestety, oszuści stają się coraz bardziej przebiegli i dzisiaj w sieci funkcjonują np. strony programów antywirusowych, które w rzeczywistości oferują nam do ściągnięcia złośliwe oprogramowanie – w tym właśnie keyloggery… Także uważajmy, w gdzie i w co klikamy.
Jak się bronić przed phishingiem?
Phishing w Polsce to stosunkowo młody rodzaj przestępstwa internetowego. Niestety – może nas doprowadzić do poważnych strat, ponieważ coraz więcej naszych transakcji finansowych jest obsługiwana właśnie z poziomu sieci. A to nas stawia w centrum zainteresowania oszustów. Jak się przed nimi bronić?
E-maile:
czytanie wiadomości rozpoczynajmy od spojrzenia na adres, z którego ją otrzymaliśmy (nie zawsze jest to skuteczne!)
nie otwierajmy linków, których nie jesteśmy pewni – szczególnie w mailach, które informują nas o “jakiejś awarii systemu” i proszą o potwierdzenie swoich danych / tożsamości na stronie, do której prowadzi podany w treści link
WWW:
stronę swojego banku otwierajmy samodzielnie, wpisując jego adres lub klikając w zakładkę z jego adresem
zwróćmy uwagę na to, czy bezpiecznie logujemy się do naszego banku (”ssl” w adresie oznacza połączenie szyfrowane)
nie ściągajmy programów ze stron, o których nic wcześniej nie słyszeliśmy oraz które nie istnieją długo w sieci
unikajmy wchodzenia na strony o tematyce pornograficznej oraz hakerskiej – samo wejście na taką stronę może wzbogacić nasz system o złośliwe oprogramowanie
Komputer:
używajmy dobrego programy antywirusowego
zainstalujmy firewall
unikajmy logowania się na swoje konto bankowe na komputerach, z których może korzystać ktoś inny
Konto bankowe:
jeśli korzystamy z konta bankowego w sieci – użyjmy dodatkowych zabezpieczeń w postaci haseł jednorazowych (które bank wysyła do nas tradycyjną pocztą), haseł smsowych (wysyłanych na nasz numer telefonu komórkowego) lub tokena
