Co to jest pishing?

2019-02-21 08:00

JEŚLI WIDZSZ TĄ STRONĘ BO KLIKNĄŁEŚ W LINK, TO JUŻ DAŁEŚ SIĘ OSZUKAĆ!
Uważaj następnym razem możesz paść ofiarą hakera.

 

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej.

Historia

Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla „zweryfikowania konta” lub „potwierdzenia informacji w rachunku”. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.

Termin „phishing” bywa tłumaczony jako password harvesting fishing („łowienie haseł”). Istnieje teoria, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych jeszcze w latach 80. Funkcjonuje również przekonanie, jakoby Brian Phish był jedynie fikcyjną postacią za pomocą której spamerzy wzajemnie się rozpoznawali.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki oraz aukcje internetowe. Phisher zazwyczaj wysyła spam do znacznej liczby potencjalnych ofiar, kierując je na stronę w Internecie, która udaje bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności podania poufnych informacji w celu odzyskania dostępu. Stronę przechwytującą informacje cechuje łudzące podobieństwo do oryginału. W przeszłości oszuści wykorzystywali na swoją korzyść błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także adres fałszywej strony. Kolejny znany sposób tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.

Obrona przed phishingiem

Zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych.

  • Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty). Próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
  • Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
  • Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.
  • Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zgłosić osobom odpowiedzialnym za bezpieczeństwo.
  • Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to pracownikom banku i nie podawać na niej żadnych danych.
  • Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo z oprogramowania firm trzecich chroniącego przed phishingiem.
  • Używanie OpenDNS.

 

/Źródło: wikipedia.pl

Wróć