Liczba kradzieży tożsamości w internecie rośnie niezwykle szybko. Ofiarą oszustw phishingowych padają z reguły internauci, którzy bez głębszego zastanowienia się podają szczegółowe dane o swoich kontach.
Badania przeprowadzane przez firmy zajmujące się bezpieczeństwem systemów informatycznych dowodzą, że liczba przypadków kradzieży tożsamości internetowych rośnie niemal z dnia na dzień. Wniosek jest jeden – oszuści rezygnują z tradycyjnych metod wyłudzeń. Wykorzystują brak wiedzy internautów na temat zagrożeń czyhających w sieci i okradają ich za pomocą podstępnie zdobytych danych.

Fałszywe witryny banków

Oszuści internetowi zajmujący się phishingiem najczęściej podszywają pod banki i przedstawicieli aukcji internetowych. Najpierw tysiącom internautom wysyłają spam, a następnie kierują ich na witryny podszywające się pod prawdziwy bank internetowy. Osoby, które nie zdają sobie sprawy z rzeczywistej intencji e-maila, wchodzą na stronę, a phisher przechwytuje wpisywane tam poufne dane.
Użytkownicy internetu najczęściej dają się nabrać na e-maile z informacją o rzekomym dezaktywowaniu konta i konieczności jego ponownego uruchomienia. Aby jeszcze bardziej uwiarygodnić wiadomość e-mailową, oszust może umieścić w niej łącze wyglądające na prowadzące do autentycznej witryny. W rzeczywistości prowadzi ono do fałszywej strony www lub wyskakującego okna, które jest łudząco podobne do autentycznej witryny (zawiera zazwyczaj symbole, logo organizacji oraz inne informacje identyfikacyjne skopiowane bezpośrednio z oficjalnych witryn).
Przed phishingiem można bronić się na różne sposoby. W pierwszej kolejności można skorzystać z rozwiązań technicznych, np. zainstalować oprogramowanie antywirusowe zawierające opcje phishingowe. To jednak nie wszystko. Ochrona poufnych informacji wymaga również determinacji ze strony samych internautów. Trzeba mieć zawsze świadomość zagrożeń i konsekwencji bezmyślnych zachowań w sieci.
Przed oszustwem może nas uchronić stosowanie się do trzech podstawowych zasad postępowania, które mają na celu ochronę swoich danych. Po pierwsze: nie wolno przekazywać nikomu wybranej przez siebie nazwy użytkownika i hasła dostępu do konta bankowego. Po drugie: nie należy wysyłać żadnych poufnych danych przez e-mail. Po trzecie: nigdy nie odpowiadajmy na wiadomości, w których prosi się nas o podanie zastrzeżonych informacji.
Banki są wyczulone na podstępne działania phisherów, dlatego najczęściej nie wysyłają e-maili z prośbą o podanie lub potwierdzenie danych osobowych. Jeżeli jednak taki podejrzany e-mail trafił na naszą skrzynkę, trzeba natychmiast skontaktować się z bankiem i sprawdzić, czy w ogóle przesyłał takie wiadomości. Gdyby okazało się, że to nie on jest autorem listu, trzeba wyjaśnić całą sytuację i swoje wątpliwości. Najlepiej też od razu zgłosić informację o podejrzeniu popełnienia przestępstwa na policję.



Za phishing grozi więzienie

Głównym celem działań phishera jest podstępne uzyskanie informacji, które dadzą mu swobodny dostęp do konta internauty. Phisher nie musi przełamywać żadnych zabezpieczeń bankowych, bo dzięki wprowadzeniu internauty w błąd dostaje na tacy jego hasło i inne potrzebne dane.
Każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat trzech.
Skąd wziął się phishing
Termin pojawił się już w połowie lat 90. na skutek działań crackerów, którzy próbowali wykraść konta w serwisie AOL (to duży amerykański dostawca usług internetowych). Cracker udawał członka zespołu AOL i wysyłał wiadomości do internautów. E-mail zawierał prośbę o ujawnienie hasła, np. dla zweryfikowania konta lub potwierdzenia informacji w rachunku.
Przykładowe sformułowania phisherów
● W przypadku braku odpowiedzi w ciągu 48 godzin, Pani/Pana konto zostanie zamknięte.
● Często wiadomości takie mają ponaglający wydźwięk, aby na nie odpowiedzieć bez zastanowienia.
● Szanowny Kliencie... Takie wiadomości są zwykle rozsyłane masowo i nie zawierają imienia ani nazwiska.
● Kliknij poniższe łącze, aby uzyskać dostęp do swego konta. Łącza do kliknięcia mogą zawierać całą nazwę rzeczywistej firmy lub jej część.
Rekord ataków phisingowych
RSA Security podało, że w styczniu 2010 r. odnotowano rekordową liczbę ataków phishingowych. Ich wzrost w stosunku do grudnia 2009 r. wyniósł prawie 21 proc. Według miesięcznego raportu dotyczącego oszustw online, jaki przygotował RSA Security, wynika, że odnotowano 188820 ataków tego typu. Jest to liczba dwa razy większa niż w tym samym okresie roku 2009.
źródło: tcmagazine
Podstawa prawna
Ustawa z 6 czerwca 1997 r. Kodeks karny (Dz.U. nr 88, poz. 553 z późn. zm.).