Co roku przestępstwa bankowe stają się coraz popularniejsze. Gigantyczne zyski, niskie ryzyko i niewielki nakład sił. Jednym z najpopularniejszych oszust (obok skimmingu) jest phishing. Przysłowiowe łowienie frajera.

Czym jest phishing?

Za Wikipedią:

Phishing to „wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Ofiarami phisingu padają coraz częściej użytkownicy portali społecznościowych oraz internetowych kont bankowych. Uzyskane dane wykorzystuje się na przykład do rozsyłania spamu i trojanów.

Do tej pory nie określono skąd pochodzi nazwa tego zjawiska. Pierwsze przyapdek phisingu miał miejsce w latach 90-ch XX wieku. Amerykańscy crackerzy (hakerzy dokonujący włamań w celu uzyskania korzyści materialnych) starali się wykraść dane od jednego z głównych dostawców Internetu w USA. Cracker podszywał się pod jednego z pracowników zespołu i starał się uzyskać hasła w celu „weryfikacji konta” lub „potwierdzenia informacji rachunku”. Kiedy phisher uzyskał login oraz hasło do konta, to wykorzystywał profil użytkownika do nielegalnej działalności (dostęp do niejawnych informacji, spam, dostęp do danych osobowych klientów, itd.).

Gdzie możemy się z nim spotkać?

Najczęstszą „przykrywką” dla oszustów są witryny bankowe i aukcje internetowe. Rozsyłana jest gigantyczna ilość maili z informacją na temat nieaktywnego konta, bądź dużej ilości prób zalogowania się i konieczności weryfikacji. W mailu znajduje się link do strony stworzonej przez phisera. Często strony na które następuje przekierowanie są łudząco podobne do oryginalnych stron. Na przykład zamiast facebook.plfasebook.pl; amazon.comamazom.com; paypal.com – paypai.com; itd.

Przykładem phishingu jest zdarzenie z 2005 roku. Do klientów Citibanku został wysyłany mail o następującej treści:

Drogi Kliencie, z przyjemnością informujemy, iż zakończyliśmy prace nad zintegrowanym serwisem bankowości internetowej. Wkrótce nowa platforma zastąpi obecny system, ale już teraz zachęcamy Cię do zapoznania się z możliwościami i udogodnieniami, jakie oferuje zintegrowany serwis.

Prosimy o jak najszybsze zalogowanie się oraz sprawdzenie naszego nowego systemu.

Zaloguj się http://www.online.citibank.pl „?

Osoba wchodząca na tą stronę trafiała na fałszywą witrynę:

Witryna na jaką trafiały osoby klikające w link.

 

A następnie całkowicie dobrowolnie udostępniała swoje prywatne dane phisherom. Kolejny, a zarazem jeden z najbardziej spektakularnych przykładów phisingu na terenie Polski, miał miejsce w 2005 roku. Straty banku BPH sięgnęły miliona złotych.

Przykład fałszywego maila.?

 

Parę innych przykładów phisingu, za Agnieszką Żesławską z Mobility (2005-07-18):

luty 2005
Fani serii książkowej o Harrym Poterze otrzymali e-mail, w którym oferowano im zakup najnowszego tomu w postaci e-booka na 2 tygodnie przed oficjalną premierą. Nadawca prosił o podanie danych umożliwiających dostęp do konta bankowego, aby zrealizować płatność, po czym miało nastąpić przestanie książki do zamawiającego.

luty 2005
W okresie poprzedzającym Walentynki w USA krążył w sieci scam zapraszający do zabawy online, w wyniku której można było wygrać sporą sumę pieniędzy. Aby przystąpić do gry należało wypełnić formularz, w którym trzeba było podać m.in. dane konta bankowego. E-mail skonstruowany był tak, by kojarzył się z jednym z amerykańskich banków, co wzbudzało zaufanie odbiorców.

marzec 2005
Rozesłano scam, który miał wyłowić użytkowników serwisu eBay.com. „Serwis” informował, że odnotowano próby logowania na konto użytkownika z zagranicznego serwera. Nadawca sugerował, ze być może osoba trzecia weszła w posiadanie danych umożliwiających korzystanie z konta. Poproszono użytkowników o załogowanie się na stronie – do której zamieszczono link -celem rzekomej dodatkowej weryfikacji.

czerwiec 2005
Z serwera w Rumunii rozesłano wiadomość do złudzenia przypominającą e-mail programu członkowskiego hoteli Hilton, w której proszono członków o podanie szczegółowych danych takich, jak numery kart kredytowych.

Jak się zabezpieczyć?

W przeciwieństwie do większości innych działań hakerskich mamy tutaj na szczęście mamy duże pole do popisu. Sama metoda phisingu polega na oszukiwaniu naszego mózgu, a nie systemu. Dlatego najlepszym zabezpieczeniem jest zdrowy rozsądek.

Warto też pamiętać o pewnych zasadach:

– banki NIGDY nie proszą o dane dotyczące loginu i hasła/haseł jednorazowych czy PINów/kodów CVV do kart. Taka informacja jest zawierana na stronach internetowych banków, które udostępniają bankowość elektroniczną;
– jeżeli masz jakiekolwiek wątpliwości co do tego czy mail podchodzi z banku zadzwoń na infolinię i upewnij się;
– aktualizuj swoją przeglądarkę, nowsze wersje mogą ostrzegać przed stronami phishingowymi
– jeżeli masz najmniejsze wątpliwości co do autentyczności strony nie wpisuj swoich danych.

W temacie:
1. Smshing – suplement do arta o phishingu
2. Proszę Pani, JA TEGO KREDYTU NIE BRAŁEM!! Czyli co zrobić gdy stracimy dokumenty
3. Jak chronić wrażliwe dane na Facebooku

Bibliografia + przydatne linki:
1. Phishing – hasło na Wikipedia
2. Phishing – czyli jak się łowi hasła w Internecie (plik PDF)
3. Phishing – łowienie Twoich pieniędzy [infografika]