Phishing - nie badź rybką, nie daj się złowić!

Phishing jest jednym z największych zagrożeń internetu, jeśli nie największym. Polega na wyłudzaniu danych osobowych i/lub haseł do kont bankowych. Oczywiście jest to gigantyczny skrót.
Jego nazwa pochodzi od angielskiego słowa fishing(łowienie ryb). Czasami pochodzenie tego śłowa tłumaczy się od nazwiska Briana Phisha, który podobno miał być pierwszym phisherem.(niektórzy negują jest istnienie). Jeszcze inni tłumacza słowo phishing jako password harvesting fishing (łowienie haseł).

Tak naprawdę tematyka phishing'u jest niezwykle obszerna i trudno byłoby opisać ją na jeden raz. Ten wpis będzie tylko pewnego rodzaju wstępem. Mam w planach wziąć się za tłumaczenie tekstów udostępnionych na tej stronie. Jest to największa organizacja walcząca z phishingiem na świecie. Są tam szczegółowe raporty i obszerne bazy wiedzy, niestety wszystko po angielsku, a jak wiadomo nie wszyscy potrafią posługiwać się tym językiem. Mój angielski nie jest idealny, ale do tłumaczenia tych tekstów wystarczy.

Wyobraźmy sobie taką sytuację:

Pan Kowalski postanowił założyć konto w pewny internetowym banku. Skusiła go bardzo atrakcyjna oferta i możliwość płacenia rachunków przez internet.

Pan Kowalski złożył odpowiedni wniosek, po kilku dniach dostał potwierdzenie, login i hasło dostępu. Po kilku dniach był szczęśliwym posiadaczem rachunku osobistego w formie elektronicznej.

Konto było wygodne w użytkowaniu - nie ruszając się z domu mógł szybko i tanio opłacać rachunki, przelewać pieniądze, na bieżąco sprawdzać stan gotówki. Niestety po kilku dniach spokój zakłóciła wiadomość email:

Drogi Kliencie naszego banku.

Z przykrością stwierdzamy, że w związku z licznymi nadużyciami naszych Klientów konieczne stało się przeprowadzenie weryfikacji danych osobowych posiadaczy kont. W celu zweryfikowania danych zwracamy się z uprzejmą prośbą o zalogowanie się w naszym systemie. Poniżej znajduje się odnośnik, którego kliknięcie przeniesie do strony logowania. Z góry dziękujemy i przepraszamy za wszelkie niedogodności.

Dziękujemy za używanie naszego banku!

Serdecznie pozdrawiamy

W mailu jest przycisk do logowania identyczny jak ten na stronie banku. Kowalski wchodzi na stronę, wygląda identycznie, jak ta na której się zawsze logował. Wpisuje login i hasło. Po chwili logowanie powiodło się. Wszystko wygląda normalnie.

Po kilku dniach Pan Kowalski przezywa koszmar. Wszystkie jego pieniądze zniknęły. Wszystkie zostały przelane na inny bank. Kowalski szybko dzwoni na policję i zgłasza przestępstwo. Policjanci rozpoczynają śledztwo. Prawdopodobnie Kowalski nigdy nie odzyska swoich pieniędzy.

To jest oczywiście bardzo klasyczny przykład phishingu. Normalny bank używa protokołu https i haseł jednorazowych. Oczywiście jak oszust zna hasło to https nic nie pomoże, ale hasła jednorazowe już tak.

Odróżniamy kilka form phishingu. Są to Pharming i Smishing. Opisze jest w przyszłości.


Przestępcy używają różnych metod phishingu. Najczęściej tworzą strony logowania identycznej, jak te bankowe. Wysyłają maile do tysięcy ludzi. Kilka przykładowych wiadodości:





Jak rozpoznać prawdziwą stronę logowania do banku? Po pierwsze, każdy bank używania protokołu https (jeśli tego nie robi to zmień go jak najszybciej). Po drugie, żaden bank/serwis społecznościowy nie wysyłają swoim klientom wiadomości, ze muszą się gdzieś zalogować i zweryfikować swoje informacje, a dokładnie hasło.

Tutaj macie przykładową fake stronkę logowania do amerykańskiego banku.


Tu masz powiększoną wersję.

Phishing polega również na infekowaniu komputera złośliwym oprogramowaniem. Ostatnio do użytkowników MySpace wysłano mail w którym nakłaniano ich do ściągnięcia i otworzenia pliku w którym rzekomo miało być nowe hasło. Tak naprawdę był to keylogger(rodzaj wirusa, który zapisuje wszystko co klikamy na klawiaturze oraz co mamy w schowku).

Oszuści często tworzą stron o url bardzo podobnym do oryginalnego. Np. zamiast paypal to paypai. Najlepiej jest po prostu przepisać adres odnośnika. Wtedy mamy pewność, że wchodzimy na prawdziwą stronę.

Co zrobić aby nie dać się oszukać? W internecie znalazłem sporo porad, ale najważniejsza jest ostrożność i rozsądek.

- Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.

- Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.

- Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.

- Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zignorować i zgłosić odpowiednim osobom.

- Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych.

- Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 7 i 8 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo też z oprogramowania firm trzecich chroniącego przed phishingiem.

Phishing jest często połączony z innym przestępstwami. Np. Oszustwo Nigeryjskie i Fałszywe wiadomości od znajomych na portalu społecznościowym

Tak naprawdę to są tylko podstawy. Phishing jest tak obszernym zagadnieniem, że będę o nim pisał co jakiś czas.

Pozdrawiam, Bremes