Liczba ataków phishingowych między styczniem a majem minionego roku powiększyła się aż 100 razy - stwierdziła firma McAfee, która zajmuje się bezpieczeństwem systemów informatycznych. Przeprowadzone przez nią badania dotyczące kradzieży tożsamości internetowych wykazały, że skala tego zjawiska rośnie niemal z dnia na dzień. Dla przykładu - gdy prowadzono badania, wykryto ponad 250 proc. więcej działających aplikacji typu keylogger (przechwytują tekst wpisywany na klawiaturze komputera). O dużym wzroście aktywności phisherów (oszustów posługujących się phishingiem) informowała również ostatnio firma CA. Wniosek jest jeden - oszuści rezygnują z tradycyjnych metod wyłudzeń. Wykorzystują brak wiedzy internautów na temat zagrożeń czyhających w sieci i okradają ich za pomocą podstępnie uzyskanych danych.

Fałszywe witryny banków

Oszuści internetowi zajmujący się phishingiem starają się najczęściej podszywają pod banki i przedstawicieli aukcji internetowych. Najpierw wysyłają spam tysięcy liczby internautów, a następnie kierują ich na witryny podszywające się pod prawdziwy bank internetowy. Internauci, którzy nie zdają sobie sprawy z rzeczywistej intencji e-maila, wchodzą na stronę, a phisher przechwytuje wpisywane tam poufne dane.

Użytkownicy internetu najczęściej dają się nabrać na e-maile z informacją o rzekomym dezaktywowaniu konta i konieczności jego ponownego uruchomienia. Aby jeszcze bardziej uwiarygodnić wiadomość e-mailową, oszust może umieścić w niej łącze wyglądające na prowadzące do autentycznej witryny. W rzeczywistości prowadzi ono do fałszywej strony www lub wyskakującego okna, które jest łudząco podobne do autentycznej witryny. Zawiera ona zazwyczaj symbole, logo organizacji oraz inne informacje identyfikacyjne skopiowane bezpośrednio z oficjalnych witryn.

PRZYKŁADOWE SFORMUŁOWANIA PHISHERÓW

W przypadku braku odpowiedzi w ciągu 48 godzin, Pani/Pana konto zostanie zamknięte.

Często wiadomości takie mają ponaglający wydźwięk, aby na nie odpowiedzieć bez zastanowienia.

Szanowny Kliencie... Takie wiadomości są zwykle rozsyłane masowo i nie zawierają imienia ani nazwiska.

Kliknij poniższe łącze, aby uzyskać dostęp do swego konta. Łącza do kliknięcia mogą zawierać całą nazwę rzeczywistej firmy lub jej część.

Pilnuj swoich danych

Przed phishingiem można bronić się na różne sposoby. W pierwszej kolejności można skorzystać z rozwiązań technicznych (np. zainstalować oprogramowanie antywirusowe zawierające opcje phishingowe). To jednak nie wszystko. Ochrona poufnych informacji wymaga również determinacji ze strony samych internautów. Trzeba mieć zawsze świadomość zagrożeń, jakie niesie ze sobą korzystanie z interetu i konsekwencji bezmyślnych zachowań.

Przed oszustwem może uchronić nas stosowanie się do trzech podstawowych zasad postępowania, które mają na celu ochronę swoich danych. Po pierwsze: nie wolno przekazywać nikomu wybranej przez siebie nazwy użytkownika i hasła dostępu do konta bankowego. Po drugie: nie należy wysyłać żadnych poufnych danych przez e-mail. Po trzecie: nigdy nie odpowiadajmy na wiadomości, w których prosi się nas o podanie zastrzeżonych informacji.

Banki są wyczulone na podstępne działania phisherów, dlatego najczęściej nie wysyłają e-maili z prośbą o podanie lub potwierdzenie danych osobowych. Jeżeli jednak taki podejrzany e-mail trafił na naszą skrzynkę, trzeba natychmiast skontaktować się z bankiem i sprawdzić, czy w ogóle przesyłał takie wiadomości. Gdyby okazało się, że to nie on jest autorem listu, trzeba wyjaśnić całą sytuację i swoje wątpliwości (prawdopodobnie takie e-maile dostali też inni klienci). Najlepiej też od razu zgłosić informację o podejrzeniu popełnienia przestępstwa na policję.

SKĄD WZIĄŁ SIĘ PHISHING

Termin pojawił się już w połowie lat 90. na skutek działań crackerów, którzy próbowali wykraść konta w serwisie AOL (to duży amerykański dostawca usług internetowych). Cracker udawał członka zespołu AOL i wysyłał wiadomości do internautów. E-mail zawierał prośbę o ujawnienie hasła, np. dla zweryfikowania konta lub potwierdzenia informacji w rachunku.

Za phishing grozi więzienie

Głównym celem działań phishera jest podstępne uzyskanie informacji, które dadzą mu swobodny dostęp do konta internauty. Phisher nie musi przełamywać żadnych zabezpieczeń bankowych, bo dzięki wprowadzeniu internauty w błąd, dostaje na tacy jego hasło i inne potrzebne dane.

Każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat trzech.

50 mld dol. wynoszą (według Federalnej Komisji Handlu) roczne straty ponoszone przez obywateli USA w związku z kradzieżą tożsamości w internecie

3257 dol. średnio tracił w zeszłym roku każdy Amerykanin, pod którego podszył się phisher

26 proc. użytkowników komputerów PC w ciągu ostatnich 12 miesięcy padło ofiarą incydentu naruszenia bezpieczeństwa swojego komputera (wykazała w swoich badaniach firma Kaspersky Lab)

62 proc. użytkowników komputerów PC posiada do 10 kont on-line, które wymagają haseł, natomiast 23 proc. posiada ponad 20 kont zabezpieczanych hasłem

Prawo

Każdy, kto bez zgody osoby uprawnionej uzyskuje cudzy program komputerowy (także gry) w celu osiągnięcia korzyści majątkowej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Podstawa prawna

■  Ustawa z 6 czerwca 1997 r. Kodeks karny (Dz.U. nr 88, poz. 553 z późn. zm.).

ADAM MAKOSZ

adam.makosz@infor.pl

Podstawa prawna

■  Ustawa z 6 czerwca 1997 r. Kodeks karny (Dz.U. nr 88, poz. 553 z późn. zm.).