Klikając link z niepewnego źródła możesz stracić pieniądze. Roboty nieustannie przeszukują sieć w poszukiwaniu adresów email, wysyłają SPAM lub po prostu podszywają się pod finansowe instytucje. Ci którzy nie wiedzą co im grozi często nabierają się na niewinnie wyglądające wiadomości. Na drugi dzień ich konto finansowe/bankowe/bukmacherskie jest puste…
Spis treści
1. Co to jest phishing?
1.1. Zasady bezpieczeństwa
Należy przestrzegać podstawowych zasad braku zaufania do stron/maili niewiadomego pochodzenia:
- kasuj maile niewiadomego pochodzenia, zwłaszcza jeśli mówią o tym, że coś wygrałeś w loterii lub potrzebna jest pomoc (nie odpowiadaj na nie, bo może to spowodować dodanie Cię do list spamerskich i będziesz otrzymywał więcej takich maili!); samo kliknięcie w taki link może zarazić Twój komputer wirusem!
- nie podawaj danych wrażliwych, takich jak hasła, loginy, PIN; instytucje NIGDY nie wymagają ich podania za pośrednictwem maila
- nie otwieraj linków niewiadomego pochodzenia, od niepewnego nadawcy lub dziwnie wyglądających (mogą zarazić Twój komputer); po najechaniu myszką nad link wyświetla się zwykle adres do którego prowadzi; dotyczy to także gg, Skype, for internetowych i innych form komunikacji internetowej
- jeśli przekierowano Cię na stronę banku, bukmachera, portfela internetowego czy inną stronę finansową, sprawdź przed zalogowaniem, czy jest w adresie “https” i czy to na pewno właściwa strona, a nie literówka; jeśli nie ma https, wpisz adres ręcznie w pasku przeglądarki lub wyślij zapytanie pod właściwy adres czy wysyłali taką promocję; zalogowanie się za pośrednictwem niepewnego linku może Cię kosztować wszystkie środki na koncie gdzie się zalogujesz
- chroń swój komputer
- idealnie by było gdybyś do kont bukmacherskich i portfeli internetowych używał innego adresu email, którego nigdzie w Internecie nie będzie podawał dlatego, że boty szukają adresów email w sieci lub włamują się na strony z takimi adresami
1.2. SPAM mailowy
W Internecie najpopularniejszą metodą jest wysyłanie SPAMu mailowego do potencjalnych ofiar z prośbą o podanie hasła pod pretekstem “weryfikacji konta” czy “potwierdzenia informacji”.
Pod koniec 2011 roku otrzymałem list, którego skan przedstawiam poniżej:
Na pierwszy rzut oka nic nie wzbudza podejrzeń. Wprawne oko zauważy jednak, że nadawcą jest monebookers a nie moneybookers. Po najechaniu myszką na link wyświetla się adres strony oszusta:
http://www.aptaun.pl/label/wp-content/uploads/2011/10/www/246256da11d2366ad378d407d6ac767b/login.php
Program pocztowy mylnie wyświetla nadawcę jako “Moneybookers(moneybookers@info.moneybookers.com). Oszust może sobie tam wpisać co chce.
Nawet jeśli w pośpiechu tego nie zauważymy, to uwagę powinno przykuć to, że strona nie jest w trybie szyfrowanym (https, tylko http).
Napisałem do Moneybookers pytanie czy wysyłali do mnie taki email i otrzymałem odpowiedź, z której wynika że:
- powyższy email nie został wysłany przez Moneybookers
- Moneybookers używa zarejestrowanego imienia i nazwiska (a nie adresu mailowego j/w) w nagłówku wiadomości
- nie należy klikać w żaden link wysłany w takim mailu
- jeśli już się kliknęło, należy natychmiast zmienić hasło wchodząc bezpośrednio na Moneybookers.com i logując się na konto (moje konto/zmień hasło)
- wszystkie maile oficjalne pochodzą tylko z domeny @moneybookers.com (np. no_reply@moneybookers.com). Maile z innych domen należy zignorować
Podejrzane maile należy wysyłać na security@moneybookers.com. Każda poważna instytucja finansowa ma tego typu email.
2. Co daje atak phishingowy?
Najczęściej chodzi o pieniądze.
Włamanie na konto portfela internetowego pozwala od razu przesłać pieniądze dalej, które przechodzą przez kilka następnych kont i są wreszcie wypłacane lub robi się za nie zakupy. Są nie do odzyskania.
Włamanie na konto bukmachera może być próbą sprawdzenia możliwości hackerskich. Niektórzy po prostu są złośliwi i cieszy ich cudze nieszczęście…
3. Jak reagować na phishing?
Najedź myszką nad link, a zobaczysz w kliencie pocztowym gdzie może cię on przekierować. W programie Thunderbird adres wyświetli się w lewym dolnym rogu.
W wiadomości może ci się wyświetlać http://www.skrill.com a tak naprawdę po kliknięciu zostaniesz przekierowany np. na http://www.olszynag.kylos.pl. Ta domena należy do kylos.pl i wyświetlona strona zapewne będzie wyglądała jak logowanie do skrill.com, by ukraść twoje dane.
Klucz U2F to jedyna metoda dwuetapowego uwierzytelnienia (2FA) chroniąca Cię w 100% przed phishingiem.
4. Jakie są inne metody wyłudzania danych?
Do 3 najpopularniejszych metod wyłudzania danych (zależnie od rodzaju kanału komunikacji) należą:
- Phishing (email) – metoda omówiona wyżej.
- Vishing (telefon).
- Smishing (SMS).
Vishing – osoba dzwoniąca podszywa się pod osobę z wysokim autorytetem (policjant, ksiądz, dyrektorka, kurier pocztowy itp.) i próbuje wydostać dane poufne. Często pod pretekstem aktualizacji czy autoryzacji. Czasem nakłaniają do zainstalowania aplikacji, która może dać im dostęp do twojego urządzenia/danych (np. AnyDesk dający dostęp do twojego komputera).
W sytuacji, gdy ktoś nieznajomy do Ciebie dzwoni i nie masz 100% pewności kto to jest, poproś o zostawienie kontaktu zwrotnego i prośbą, że oddzwonisz. Jeśli się na to nie zgodzi, to znaczy, że ma coś do ukrycia. Następnie zweryfikuj numer telefonu i zbadaj u źródła, czy na pewno należy do policji/banku/kuriera itp.
Smishing – metoda podobna do vishingu, wykorzystująca SMS-y jako kanał komunikacji.
5. Jak chronić się przed phishingiem?
Przed phishingiem możesz się bronić na kilka sposobów, ale 100% pewność daje klucz U2F:
5. Literatura
[1] Kodeks Bezpieczeństwa – sporządzona przez mbank bardzo fajna checklista bezpieczeństwa [2] Sztuka podstępu. Łamałem ludzi, nie hasła – książka znanego hackera Kevina Mitnicka, który przeszedł z ciemnej na jasną stronę i opowiada, że o wiele łatwiej jest nakłonić kogoś do podania hasła niż złamać zabezpieczenia systemu, który nie ma uczuć i nie jest podatny na manipulacjęPolecany bukmacher:
Jak możemy poprawić artykuł?
Jeśli chciałbyś dać nam możliwość odpowiedzi, to podaj email:
Dziękujemy za przesłanie opinii.