Phishing to przesyłanie wiadomości, które rzekomo pochodzą z godnych zaufania źródeł np. banków. W rzeczywistości służą one pozyskiwaniu poufnych danych od użytkowników. W tego rodzaju wiadomościach umieszczany jest link, po kliknięciu którego użytkownik przekonany, że znajduje się na oryginalnej witrynie - odwiedza fałszywą stronę www i wprowadza wymagane informacje. Najczęściej są to dane logowania do serwisów bankowych. Istnieje wiele programów, które służą kradzieży danych osobowych lub finansowych. Niektóre z nich są bardzo złożone. Wyróżnia się np. okna nad paskiem adresu przeglądarki internetowej, które wykorzystują język Javascript, a ich zadaniem jest zmylenie użytkowników. Niektóre typowe cechy wiadomości typu phishing to: - Wykorzystywanie nazw istniejących firm: Zamiast tworzyć witrynę firmy od podstaw, oszuści podrabiają grafiki firmowe i wygląd witryny znanej firmy, aby zmylić odbiorców fałszywych wiadomości. - Wykorzystywanie nazwisk autentycznych pracowników firmy jako nadawców fałszywych wiadomości: kiedy odbiorca wiadomości zadzwoni do firmy, aby potwierdzić autentyczność fałszywego emaila, dowiaduje się, że jego nadawca faktycznie dla danej firmy pracuje. - Adresy www, które wydają się być prawidłowe: Fałszywe wiadomości email kierują użytkowników na witryny www, które wyglądem przypominają witryny znanych firm. W rzeczywistości zarówno zawartość, jak i adres www (URL) są sfałszowane. Równocześnie nota 1 / 5
prawna oraz inne zamieszczone linki kierują użytkowników na prawidłowe witryny www. - Czynnik strachu: Czas, w którym oszust może zaatakować jest bardzo krótki, ponieważ serwer, na którym znajduje się podrobiona witryna www i gdzie gromadzone są skradzione informacje jest zamykana w kilka dni po tym, jak firma zostanie poinformowana, że jej klienci są celem ataków. Skuteczną strategią jest tu informowanie klientów o ryzyku strat finansowych lub możliwości utraty konta oraz zalecanych przez firmę środków bezpieczeństwa. Oprócz ukrywania fałszywego adresu URL w rzekomo prawdziwej wiadomości email, złośliwe oprogramowanie może wykorzystywać bardziej wyrafinowane techniki: - Atak typu pośrednik" (man-in-the-middle): Oszust znajduje się pomiędzy ofiarą i prawdziwą witryną www. Pełniąc rolę serwera proxy może podsłuchiwać komunikację między nimi. W tym przypadku oszust musi mieć możliwość przekierowania ofiar na własny serwer proxy, posługując się np. niewidocznym serwerem proxy czy przeprowadzaniem ataków na serwery DNS (DNS Cache Poisoning). - Wykorzystanie luki XSS (Cross-Site Scripting) na witrynie www: Oszust może symulować witryny banków nie ryzykując, że użytkownicy stron zauważą jakieś nieprawidłowości w adresie www czy certyfikacie bezpieczeństwa wyświetlanym w przeglądarce internetowej. - Luki w zabezpieczeniach przeglądarki Internet Explorer, które za pomocą programu typu exploit pozwalają fałszować adres widoczny na pasku adresu przeglądarki: Nawet gdy użytkownik zostanie przekierowany na fałszywą witrynę www, na pasku adresu wyświetlany jest prawidłowy adres URL. Dzięki temu możliwe jest także otwieranie fałszywych okienek pop-up, gdy użytkownik próbuje uzyskać dostęp do legalnych witryn www. - Exploity, które znajdują się na fałszywych witrynach www, wykorzystujące luki w zabezpieczeniach przeglądarki Internet Explorer lub w systemie operacyjnym: Pozwalają one pobrać keyloggery, które to będą następnie wykradać poufne dane użytkowników. Pharming: Polega on na modyfikowaniu zawartości DNS (Domain Name Server) poprzez zmianę ustawień protokołu TCP/IP lub modyfikację pliku lmhosts, który pełni rolę lokalnego bufora nazw serwerów, w celu przekierowania przeglądarki internetowej na fałszywe witryny www w chwili, gdy użytkownik próbuje uzyskać dostęp do prawdziwej witryny. Jeżeli ofiara korzysta z serwera proxy, atak może zostać przeprowadzony podczas określania nazwy DNS serwera. W skutek tego wszyscy użytkownicy korzystający z proxy zostaną przekierowani na fałszywy serwer. Jak działa i w jaki sposób rozprzestrzenia się phishing? 2 / 5
Najpopularniejszym sposobem ataku jest wysłanie fałszywej wiadomości email, która rzekomo pochodzi z firmy znanej użytkownikowi. Celem ataku są klienci tej właśnie firmy. Wysłana wiadomość zawiera łącza do jednej lub wielu fałszywych witryn www, które całkowicie lub częściowo przypominają autentyczne strony internetowe firmy. Jeżeli użytkownik jest przekonany, że wiadomość pochodzi z wiarygodnego źródła, to z pewnością wprowadzi poufne dane do formularza zamieszczonego na fałszywej witrynie. Cechy charakterystyczne metod dystrybucji tego rodzaju wiadomości to: - Masowe przesyłanie pocztą elektroniczną lub za pośrednictwem komunikatorów internetowych. - Wiadomość zachęca użytkownika do kliknięcia łącza, po czym zostaje on przekierowany na witrynę, na której musi wprowadzić poufne dane, aby na przykład dokonać ich potwierdzenia, ponownie aktywować konto itp. - Wiadomości mają charakter alarmu z instytucji finansowej. Alarm ten ostrzega użytkowników przed atakiem. Wiadomości takie zawierają również łącze do witryny, gdzie użytkownicy proszeni są o podanie danych osobowych. - Niektórzy odbiorcy wiadomości są rzeczywistymi klientami firmy. W wiadomości zawarta jest informacja, że ze względów bezpieczeństwa użytkownicy powinni odwiedzić witrynę www i potwierdzić swoje dane: nazwę użytkownika, hasło, numer karty kredytowej, numer PIN, numer PESEL itp. - Łącze w wiadomości nie kieruje na witrynę firmy, ale na stronę opracowaną przez oszustów. Strona taka przypomina wyglądem witrynę instytucji finansowej lub banku, a wyświetlany adres www zwykle zawiera nazwę instytucji. Dlatego użytkownicy nawet nie podejrzewają oszustwa. - Gdy użytkownicy wprowadzają poufne dane, są one później przechowywane w bazie. Oszuści wykorzystują je, by uzyskać dostęp do rachunków bankowych. Najczęstsze szkody wyrządzane przez phishing to: - Kradzież tożsamości oraz poufnych danych użytkowników - Spadek wydajności - Wykorzystywanie zasobów sieci korporacyjnych: zmniejszanie przepustowości, blokada kont pocztowych masową korespondencją itp. Jak rozpoznać phishing? 3 / 5
Wskazanie różnicy między wiadomością zawierającą phishing i wiadomością autentyczną może być trudne. Zwłaszcza dla użytkowników będących klientami instytucji finansowej, której nazwę wykorzystali oszuści podczas rozsyłania fałszywych wiadomości. - Pole From: (Od:) zawiera adres należący do prawdziwej firmy. Sfałszowanie adresu nadawcy nie stanowi dla oszustów żadnego problemu. - Wiadomość zawiera logo lub obrazy pobrane z prawdziwych witryn www. - Mimo, że łącze znajdujące się w treści wiadomości wskazuje na oryginalną witrynę firmy, w rzeczywistości kieruje przeglądarkę do fałszywej witryny www. Tam użytkownik musi wprowadzić swoje dane, hasła itp. - Wiadomości zawierają często błędy gramatyczne, ortograficzne lub znaki specjalne. Instytucje nie wysyłają wiadomości z takimi błędami! Każdy użytkownik poczty elektronicznej jest potencjalną ofiarą ataków phishingowych. Na każdy adres email wpisany na forach, grupach dyskusyjnych lub na witrynie www, mogą zostać przesłane wiadomości zawierające phishing, ponieważ tzw. pająki (spiders) stale przeszukują Internet w poszukiwaniu autentycznych adresów poczty elektronicznej. Oszuści bardzo chętnie korzystają z ataków phishingowych, gdyż bardzo łatwo je przeprowadzić, a uzyskane korzyści są duże. Jak zabezpieczyć się przed phishingiem? Najlepszą formą obrony przed phishingiem jest zawsze informacja. Nawet jeżeli przypuszczasz, że odebrany przez Ciebie email jest prawdziwy, to zawsze możesz skontaktować się z firmą, z której pochodzi wiadomość. Ryzyko phishingu możesz ograniczyć również w następujący sposób: - Zawsze sprawdzaj źródło informacji. Nie odpowiadaj automatycznie na emaile, w których poproszono o podanie danych osobowych lub finansowych. Jeżeli nie ma pewności, czy firma rzeczywiście potrzebuje takich informacji, zadzwoń na infolinię. - Samodzielnie wprowadzaj adresy witryn www w przeglądarce internetowej. Zamiast klikać łącza w wiadomości email, wprowadź ręcznie adres www (URL) lub skorzystaj z wcześniej 4 / 5
stworzonej listy łączy. Nawet jeśli adresy www podane w emailu wyglądają prawidłowo, mogą prowadzić do fałszywych witryn. - Zwiększ swoje bezpieczeństwo. Użytkownicy przeprowadzający transakcje w Internecie powinni instalować systemy zabezpieczające, które blokują zagrożenia typu phishing, stosować udostępniane przez sprzedawców najnowsze poprawki bezpieczeństwa oraz poprzez certyfikaty cyfrowe lub protokoły komunikacyjne, takie jak HTTPS upewnić się, że pracują w bezpiecznym trybie. - Upewniaj się, że korzystasz z bezpiecznych witryn www. Adres www musi rozpoczynać się od https://, a na pasku stanu przeglądarki powinna być widoczna zamknięta kłódka. - Kliknij dwukrotnie kłódkę, aby zobaczyć certyfikat cyfrowy. Potwierdza on, że witryna www, którą odwiedzasz jest autentyczna. - Regularnie sprawdzaj stan konta bankowego. Miesięczne wyciągi z kont są szczególnie przydatne podczas wykrywania zarówno tych transakcji, których nie przeprowadziłeś, a które są widoczne na wyciągu, jak i niewidocznych na nim operacji przeprowadzonych online. Aby ochronić się przed phishingiem, należy znać zasady działania dostawców usług finansowych i innych firm narażonych na tego rodzaju ataki. Zgodnie z przyjętą praktyką, firmy takie nie żądają poufnych informacji za pośrednictwem niezabezpieczonych kanałów, do których należy poczta elektroniczna. Źródło: www.bezpiecznyinternet.org 5 / 5