Oszustwa internetowe nie zawsze wymagają zaawansowanej wiedzy technicznej, umiejętności programowania i znajomości niezałatanych luk bezpieczeństwa w popularnym oprogramowaniu. Okazuje się, że częstokroć niemniej ważna jest znajomość psychologii. Odpowiednie zastosowanie inżynierii społecznej potrafi w sieci zdziałać cuda. Z punktu widzenia oszustów rzecz jasna.
Jednym z bardzo niestety popularnych ataków w sieci jest phishing. Najprościej rzecz ujmując jest to próba podszycia się pod kogoś innego (najczęściej znaną firmę lub instytucję) celem wyłudzenia danych – czy to danych logowania, czy karty kredytowej lub innych. Stosując tego typu oszustwo można również nakłonić ofiarę ataku do instalacji szkodliwego oprogramowania lub innych działań. Najczęściej jednak cyberprzestępcy czyhają na nasze loginy i hasła.
Samo pojęcie phishingu tłumaczy się jako łowienie haseł właśnie (ang. password harvesting fishing). Stosując phishing oszuści liczą przede wszystkim na zysk. Stąd często ich celem są dane logowania do banku lub dane karty kredytowej. Jako że phishing opiera się na ludzkiej naiwności i nieuwadze, nie uchroni nas przed nim żaden antywirus. Może pomóc nas ochronić (np. poprzez filtrowanie poczty e-mail), jednak to, czy damy się oszukać, zależy wyłącznie od naszego rozsądku. Phishing bowiem nie jest żadnym plikiem, kodem, który możemy usunąć lub zneutralizować. Jest zwyczajnie próbą zmanipulowania ofiary. Aby skutecznie odpierać tego typu ataki, należy więc znać metody stosowane przez cyberprzestępców.
Oszuści mogą korzystać z różnych form kontaktu – jedną z najpopularniejszych są wiadomości e-mail, ale coraz powszechniej wykorzystywane są już również komunikatory, sieci społecznościowe, wiadomości SMS i telefony. Zasada wszędzie jest jednak podobna: przestępca próbuje podszyć się pod znaną nam firmę lub instytucje, a nawet osobę. Może to być firma kurierska, bank, sklep internetowy, dostawca usług internetowych lub urząd skarbowy, sąd, czy policja. Wachlarz możliwości jest szeroki. Czasem również, gdy przestępcom udaje się przejąć dane do logowania np. serwisu społecznościowego któregoś z naszych znajomych mogą podszyć się pod niego prosząc o pożyczkę.
Tak działa np. popularna ostatnio metoda „na BLIKa”. Zwykle jednak atak phishingowy przybiera postać wiadomości e-mail. Przestępcy starają się upodobnić taką wiadomość do korespondencji rozsyłanej przez daną firmę – dokładają stosowną stopkę, wklejają logo itd. W wiadomości takiej proszeni jesteśmy zwykle o podanie określonych danych, którymi zainteresowani są oszuści (i które umożliwią im późniejszą kradzież naszych pieniędzy). Często maile takie odsyłają na specjalnie spreparowaną stronę, do złudzenia przypominającą stronę danej firmy i o bardzo podobnym adresie, gdzie z łatwością przechwycą dane, za pomocą których będziemy próbowali się zalogować.
Nieraz phishingowe maile już na pierwszy rzut oka wyglądają mało profesjonalnie: pozbawione polskich znaków, kiepsko sformatowane, pisane łamaną polszczyzną… Często jednak oszuści bywają bardziej wyrafinowani. Zwłaszcza, jeśli „polują” na konkretną ofiarę. Wówczas mogą poświęcić nieco czasu i wysiłku na jej poznanie i przygotować spersonalizowany atak, który bywa znaczne skuteczniejszy. Takie próby oszustwa ukierunkowane na konkretną osobę (lub firmę) określa się mianem spear phishingu.
Jak uchronić się przed phishingiem?
Jak wspomniano – kluczowa będzie ostrożność i zdrowy rozsądek. Wiedząc, jak wyglądają typowe wiadomości phishingowe, możemy nauczyć się ich unikać. Od razu odrzucajmy niby firmowe maile, które wyglądają zupełnie nieprofesjonalnie. Zwracajmy też uwagę na adresata – zwykle adres nie będzie odpowiadał standardowi danej firmy. Bądźmy też czujni klikając w linki. Jeśli zamierzamy podjąć jakieś działania, lepiej przejść na stronę banku, czy innej firmy wpisując właściwy adres w przeglądarce, a nie korzystać z zamieszczonego w mailu linka. Zamieszczone tam adresy, choć przypominają oryginalne adresy danej firmy, często nieznacznie się od nich różnią. Nie klikamy w nie! Nie podajemy też żadnych danych mailowo lub telefonicznie. Pamiętajmy, że instytucje, usługodawcy internetowi nigdy nie będą nas prosić o hasła tą drogą. Nie dajmy się też poddać panice – mile często informują o nałożeniu kary, włamaniu na konto i innych, co rzekomo wymaga od nas błyskawicznej reakcji. Nie działajmy pochopnie.
Jak też wspomniano, programy antywirusowe nie uchronią nas całkowicie przed phishingiem, ale mogą pomóc w tej walce. Choć więc nic nie zapewni bezpieczeństwa tak jak rozwaga, antywirus z pewnością nie zaszkodzi.
Phishing to popularna metoda internetowego oszustwa. Wynika to z wielu czynników. Naszej łatwowierności, łatwości przeprowadzenia takiego ataku (przynajmniej względem innych metod z arsenału cyberprzestępców) i stosunkowo dużej skuteczności. Nie dajmy się oszukać i pomyślmy dwa razy, zanim podamy gdzieś nasze hasło, albo klikniemy w link podany w mailu. Takie błędy mogą słono kosztować.
