Phishing: jak się bronić?

Przeczytaj także: Sezon zimowy, czyli pora na ataki phishingowe

Phishing

… to oszustwo internetowe, które atakuje swoją ofiarę, aby wyłudzić od niej poufne dane. Cyberprzestępcom szczególnie zależy na takich informacjach jak np. numery kart kredytowych czy loginy i hasła do serwisów internetowych. Praktyka pokazuje, że jest to proceder, który ciągle zyskuje na popularności. Najbardziej powszechnym sposobem na złowienie ofiary jest maskowanie linku. Phisher opracowuje fałszywą, do złudzenia przypominającą oryginał witrynę internetową, gdzie nieświadoma niczego ofiara udostępnia swoje dane. Podane informacje trafiają wprost w ręce hakera, a ten już dobrze wie co zrobić, aby wykorzystać je w niecnym celu.

Jak dajemy się nabrać?

Jak atakuje phishing? Przeważnie na adres mailowy ofiary przesyłana jest wiadomość z linkiem do specjalnie spreparowanej strony internetowej. W jej treści przestępca, podszywając się pod jakąś instytucję lub osobę, zachęca do kliknięcia w dokładnie przygotowane wcześniej łącze. Oprócz fałszywego maila możemy również dostać krótką wiadomość tekstową – SMS. Dowiemy się z niej, że np. nasz bank prosi o pilny kontakt w celu reaktywacji naszej karty. Wykonując połączenie ofiara słyszy w słuchawce automat zgłoszeniowy, który dodaje realizmu całej operacji. Dodatkowo osoba jest proszona o podanie numeru CVV2/CVC2, daty ważności karty oraz jej numeru. Po podaniu takich informacji złodziej łatwo może wyciągnąć gotówkę z naszego konta.

Jak się przed nim bronić?

Niestety nie ma jednego skutecznego sposobu, dzięki któremu będziemy czuli się bezpieczni. Dział IT naszej firmy może jedynie zminimalizować ryzyko, że w naszej służbowej skrzynce pojawi się mail, który będzie zawierał podejrzany odnośnik. Pracodawca powinien zadbać o świadomość swoich pracowników i przeprowadzić odpowiednie szkolenia. Dodatkowo możemy zapamiętać kilka podstawowych zasad ograniczających ryzyko zastania ofiarą phishingu:

• Ignorowanie podejrzanych maili od nadawców, których nie znamy.
  Zwłaszcza tych, których nadawca prosi o pilne logowanie lub wypełnienie formularza. Dodatkowo zwróćmy uwagę, czy wiadomość nie zawiera błędów stylistycznych i ortograficznych.
• Upewnianie się, że adres strony, w którą klikamy jest poprawny.
  Niech nie zmyli nas podobna nazwa, kolorystyka, układ strony czy też logo firmy. Zazwyczaj wystarczy sprawdzić adres witryny. Warto pamiętać, że jej nazwa może różnić się tylko jedną literą od tej prawidłowej.
• Sprawdzanie czy program antywirusowy jest aktualizowany.
  Aktualne oprogramowanie antywirusowe i firewall będą nas ostrzegać o tym, że dana strona nie jest godna zaufania.
• Nie podawanie danych uwierzytelniających.
  Zanim gdziekolwiek w Internecie podamy swoje dane upewnijmy się, że jest to strona posiadająca protokół https. Łatwo to zweryfikujemy zerkając, czy przy adresie strony jest kłódka, która informuje o połączeniu szyfrowanym. Po kliknięciu w nią wyświetli się certyfikat.

Walka z przestępcami internetowymi jest bardzo trudna i nawet korzystanie z tych wskazówek może okazać się niewystarczające. Najważniejsze jest to, aby zachować zdrowy rozsądek i stosować rozwiązania zmniejszające ryzyko zastania ofiarą ataku phishingowego poprawiające nasze bezpieczeństwo w sieci –mówi, Damian Gąska Specjalista ds. bezpieczeństwa informacji, Fundacja Wiedza To Bezpieczeństwo.