Czym jest phishing?... 1 Cybermafia... 3 Socjotechnika... 3 Jak nie stać się ofiarą?... 5

Podobne dokumenty
Jak postępować w przypadku fałszywych wiadomości ?

Niektóre typowe cechy wiadomości typu phishing to:

1. Bezpieczne logowanie i przechowywanie hasła

Bezpieczne logowanie to nie wszystko. Jak nie wpaść w pułapkę cyberprzestępców

Phishing kradzież informacji

Bezpieczeństwo usług oraz informacje o certyfikatach

Kodeks Bezpieczeństwa. mbank.pl

Phishing i pharming, czyli Bezpieczny Internet po raz dziesiąty

Klient poczty elektronicznej - Thunderbird

Zadbaj o swoje bezpieczeństwo w internecie

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

zawsze przed logowaniem należy sprawdzić, czy adres strony banku rozpoczyna się od

Bezpieczna bankowość ekonto24

PRZEJMIJ KONTROLĘ NAD SWOIM CYFROWYM ŻYCIEM. NIE BĄDŹ OFIARĄ CYBER OSZUSTW!

Bezpieczna bankowość efirma24

Rozmowa testowa... 2 Pierwsze połączenie praktycznych wskazówek... 3

9 lutego dzień bezpiecznego internetu

Bezpieczna bankowość elektroniczna

Bezpieczeństwo serwisu Oney24.pl

Bezpieczeństwo serwisu Oney24.pl

Przygotowanie własnej procedury... 3 Instrukcja msgbox wyświetlanie informacji w oknie... 6 Sposoby uruchamiania makra... 8

Pierwsze kroki w systemie

ArcaVir 2008 System Protection

przedsiębiorców, którzy posiadają zezwolenie na wykonywanie zawodu przewoźnika drogowego,

KSS Patron Zawody Instrukcja instalacji i obsługi programu do rejestracji na zawodach sportowych stowarzyszenia KSS Patron.

INSTRUKCJA OBSŁUGI. Pakietu Bezpieczeństwa UPC (ios) Radość z. każdej chwili

Zakładanie konta

Bezpieczeństwo serwisu Oney24.pl

INSTRUKCJA INSTALACJI SYSTEMU

Ewidencja osób upoważnionych do przetwarzania danych wskazówki jak ją prowadzić i gotowy wzór

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

Jak bezpiecznie korzystać z usług świadczonych przez Uczelnię. Jak się zabezpieczać oraz na co zwracać szczególną uwagę.

MITY. Internet jest ZŁY Internet jest niebezpieczny W Internecie jestem anonimowy Hakerzy to złodzieje

do podstawowych zasad bezpieczeństwa:

Najpopularniejsze błędy i metody ataków na aplikacje bankowe. Rafał Gołębiowski Senior Security Officer, Bank BGŻ BNP Paribas S.A.

System Bankowości Internetowej ABS 24 - AUTORYZACJA za pośrednictwem kodów SMS -

I LOGOWANIE II INSTALACJA PROGRAMÓW

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

REJESTRACJA I PUBLIKACJA ARTYKUŁÓW W SERWISIE. TUTORIAL

Bezpieczeństwo i kultura w Internecie

1 Jak zbieramy dane? 1/5

PHISHING CZYLI JAK SIĘ ŁOWI HASŁA W INTERNECIE

Zasady bezpiecznego korzystania z bankowości elektronicznej

Logowanie do aplikacji TETA Web. Instrukcja Użytkownika

JAK SAMODZIELNIE UTWORZYĆ POTWIERDZENIE DANYCH Z ZUS na portalu PUE ZUS

INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH

PROGRAM BEZPIECZNY NADAWCA OPIS PROGRAMU

REJESTRACJA, LOGOWANIE I USTAWIENIA PROFILU

Bezpieczeństwo i konfiguracja eurobank online

POLITYKA PRYWATNOŚCI

Pomoc systemu poczty elektronicznej Wydziału Humanistycznego Uniwersytetu Szczecińskiego. Wersja: 1.12

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Bezpieczeństwo w Internecie. Chroń swoją tożsamość, dane osobowe i rodzinę. bezpieczeństwo łatwa obsługa przejdź dosecure.org

BANKOWOŚĆ ELEKTRONICZNA DLA FIRM. BOŚBank24. iboss. Zasady bezpieczeństwa BOŚBank24 iboss.

sprawdzonych porad z bezpieczeństwa

NIESKRADZIONE.PL. Konferencja prasowa BIK i KGP. 3 grudnia 2015

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Rejestracja i logowanie do systemu e-bok EWE

APLIKACJA BEZPIECZNY INTERNET TOYA dla komputerów MAC

Panel Administracyjny Spis treści:

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W ZAPLO SP. Z O.O.


POLITYKA PRYWATNOŚCI

(ni) e-bezpieczny obywatel w wirtualnym świecie

W ZMIENIAJĄCYM SIĘ ŚWIECIE

Regulamin serwisu MARKET.pl

9. Internet. Konfiguracja połączenia z Internetem

Polityka Prywatności

Bezpieczeństwo kart płatniczych (debetowych i kredytowych)

Instrukcja konfiguracji programu Microsoft Outlook do współpracy z serwerami hostingowymi obsługiwanymi przez Ideo

Poradnik zetula.pl. Jak założyć konto na zetula.pl. i zabezpieczyć dane na swoim komputerze?

Bezpieczny Internet skuteczne zabezpieczenie komputera w internecie

INSTRUKCJA UŻYTKOWNIKA usługi ebanknet oraz Bankowości Mobilnej PBS Bank

Certyfikat. 1 Jak zbieramy dane?

Bezpieczeństwo w sieci

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Regulamin serwisu internetowego Ladyspace (dalej: Regulamin ) 1 Postanowienia ogólne

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

przewodnik po płatnościach internetowych dla użytkowników kart płatniczych wydanych przez Euro Bank S.A.

Do wykonania szkolenia niezbędny jest komputer z oprogramowaniem Windows 7 i przeglądarką:

Instrukcja korzystania z usługi 2SMS. Wersja 2.0 [12 stycznia 2014] bramka@gsmservice.pl

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Deutsche Bank db Makler. Bezpieczne korzystanie z platformy db Makler

OCHRONA PRZED RANSOMWARE

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

PROGRAMY NARZĘDZIOWE 1

trzy rozwiązania Zaszyfrowane wiadomości wysyłane do i od wszystkich! Podpisane wiadomości z oficjalnymi certyfikatami S/MIME!

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

Instrukcja logowania do systemu e-bank EBS

axa.pl Rejestracja w AXA On-Line REJESTRACJA NOWYCH KLIENTÓW W AXA ON-LINE

Rysunek 1. Podgląd wyników wyszukiwania

3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S FAX SYSTEM

Transkrypt:

Czym jest phishing?... 1 Cybermafia... 3 Socjotechnika... 3 Jak nie stać się ofiarą?... 5 Phishing tłumaczy się jako password harvesting fihsing (łowienie haseł), choć niektórzy twierdzą, że pochodzi od nazwiska Briana Phisha, który podobno pierwszy, jeszcze w latach 80., stosował socjotechnikę do wykradania numerów kart kredytowych. Phisher (osoba zajmująca się phishingiem) wykorzystuje wiadomości pocztowe wysyłane podobnie jak spam - w dużych ilościach. Tą metodą próbuje nakłonić ofiarę do odwiedzenie spreparowanej strony internetowej, do złudzenia przypominającej np. prawdziwą witrynę banku. Podszywa się pod godnego zaufania pracownika banku czy administratora portalu i ostrzega przed zablokowaniem konta (lub inną nieprzyjemną sankcją), jeśli nie odwiedzisz firmowej strony (oczywiście podrobionej) i nie wprowadzisz, rzekomo w celu potwierdzenia, swoich osobistych danych. Większość nie daje się nabrać na takie sztuczki, ale z danych przedstawionych przez Anti-Phishing Working Group (www.antiphishing.org ) wynika, że kilka procent odpowiada na apel phishera - to znacznie więcej niż niecały procent odpowiadających na zwykły spam. Nie daj się podejść internetowym oszustom 1

Rys. 1 Mapa ataków (oszustw) w poszczególnych krajach Oszuści stosują coraz bardziej wyrafinowane techniki, np. niebezpieczny kod zaszyty w plikach graficznych, keyloggery (programy rejestrujące naciskanie klawiszy), automatycznie pobierane w chwili otwarcia wiadomości, czy podrobione strony internetowe wyglądające zupełnie jak oryginały. Popularną sztuczką w phishingu jest wykupienie domeny w stylu "A11egro.pl" czy "AIIegro.pl", które na pierwszy rzut wyglądają jak adres zaufanego serwisu. Obecnie celem przestępców jest nie tylko opróżnienie konta ofiary. Próbują również zdobyć nazwy użytkowników, hasła i inne poufne dane, które wykorzystają do kolejnych przestępstw. Każdy oszust liczy na wymierny zarobek i może się daleko posunąć, żeby dopiąć celu. Nie daj się podejść internetowym oszustom 2

Podobnie jak komputerowe wirusy, oszustwa phishingowe były początkowo domeną złośliwych hakerów, chcących w ten sposób pochwalić się umiejętnościami w półświatku. Pierwsi oszuści pozornie nie wyrządzali dużych szkód, ale sprawy szybko przybrały niekorzystny obrót. W tego rodzaju działalność zaangażowały się nawet zorganizowane grupy przestępcze. Australijskie media informowały o czterech studentach oskarżonych o udzielenie grupie przestępców pomocy w wykradaniu milionów dolarów z internetowych kont bankowych od Australii po Europę Wschodnią. Przestępcy używali podrobionych reklam i spamu do instalowania koni trojańskich, które wykradały hasła i inne informacje dotyczące kont bankowych. Australijscy młodzieńcy zostali rzekomo zwerbowani do pomocy przy transferze wykradzionych pieniędzy na konta w bankach zlokalizowanych we Europie Wschodniej. Głównym celem ataków phisherów są instytucje finansowe, a po nich dostawcy usług internetowych oraz firmy handlowe. Wiele informacji o przypadkach phishingu znajdziesz na stronie www.scamsafe.com/scamsafe/archives.html. Socjotechnika to manipulowanie podstawowymi emocjami: zaufaniem, strachem, chciwością, uprzejmością. Prawie każdy atak phishingowy wykorzystuje jakiś element socjotechniczny. Obecna taktyka zachęca ludzi do wypełniania formularzy w sprawie otrzymania pracy, nagrody lub certyfikatu upoważniającego do odbioru wygranej. Tuż przed świętami Bożego Narodzenia phisherzy wysyłają wiadomości informujące, że realizacja ostatnich zamówień online może się opóźnić, chyba że adresat kliknie przesłany w wiadomości odnośnik i poda swoją nazwę użytkownika i hasło. Nie daj się podejść internetowym oszustom 3

Rys. 2 Przykładowa wiadomość wysłana przez oszusta. Użytkownik jest proszony o wejście na stronę w celu ponownego podania swoich danych powodu awarii i utraty części danych WAŻNE Ofiarami tych oszustw padają głównie nieświadomi użytkownicy. Wystarczy, że masz świadomość istnienia zagrożenia, aby rozpoznać fałszywy e-mail lub inną próbę wyłudzenia poufnych danych. Nie daj się podejść internetowym oszustom 4

Trzeba jednak pamiętać, że oszuści stosują coraz bardziej wyrafinowane techniki, w odpowiedzi na rosnącą świadomość użytkowników. Przykładowo, mogą zebrać podstawowe informacje o celach ataku i wykorzystać je do zdobycia zaufania. Oszust może na przykład wysłać wiadomość-przynętę, pisząc "Szanowny panie Janie Kowalski", zamiast nieco podejrzanego "Drogi kliencie". Wiadomości pełne literówek, wysyłane przez amatorów używających infantylnego języka - czy pracownik banku kiedykolwiek zwrócił się do ciebie per "kochanie"? - ustępują miejsca technologicznym trikom, które często nie wymagają nawet kliknięcia przesłanego adresu URL. WAŻNE Obecnie można wpaść w pułapkę przygotowaną przez oszusta, otwierając podejrzaną wiadomość w starszej wersji Outlooka lub nie instalując łatek bezpieczeństwa. Kiedy taka wiadomość, często z pustym polem treści, zostanie otwarta, ukryty kod zmodyfikuje pliki w komputerze odbiorcy. Gdy nieświadomy zagrożenia użytkownik podejmie teraz próbę zalogowania się do swojego konta bankowego, zostanie w niezauważalny sposób przeniesiony na spreparowaną stronę. Mało kto odkryje, że został połączony z serwerem znajdującym się gdzieś w Rosji. Celem byli najpierw klienci kilku instytucji finansowych w Brazylii, a później zaatakowano klientów angielskich banków. Eksperci od bezpieczeństwa spodziewają się wkrótce kolejnych wariantów tej metody. Najważniejsza jest świadomość zagrożenia i znajomość metod działania oszustów - gdy rozpoznasz charakterystyczne cechy ataku, nie dasz się wciągnąć w pułapkę. Podstawą phishingu są e-maile, niekiedy również okna typu pop-up. Z reguły w ten sposób phisher próbuje Cię przekonać, że powinieneś zweryfikować swoje poufne dane, jeśli chcesz uniknąć np. zablokowania konta bankowego. Gdy dostaniesz wiadomość od Twojego banku, od dostawcy usług internetowych, operatora bezpłatnego konta pocztowego, z serwisu Allegro itd., przeczytaj ją bardzo uważnie. Na pierwszy rzut oka może wyglądać na wiarygodną, ale możesz znaleźć w niej podejrzane elementy. Czy w tekście są na przykład literówki lub błędy gramatyczne? Czy jest to pierwsza wiadomość od tej firmy? Czy w ogóle podałeś nadawcy swój adres e-mail? Jeśli masz jakiekolwiek podejrzenia, wiadomość najprawdopodobniej jest przynętą. Nie daj się podejść internetowym oszustom 5

Rys. 3 Sfałszowana strona internetowa banku PKO BP miała wyłudzać numery kart kredytowych, oraz ich kody CVV oraz PIN. To pozwoliłoby oszustowi robić zakupy na cudzy koszt WAŻNE Jeśli to podejrzewasz, zadzwoń do firmy, która figuruje jako nadawca wiadomości, i wyjaśnij sprawę. Gdy nie masz wątpliwości, że wiadomość została wysłana przez phishera, również zadzwoń do firmy, pod którą się podszywa. Ostrzeżesz ją i jej pracownicy będą mogli podjąć środki zaradcze, m.in. poinformować swoich klientów o zagrożeniu. Nigdy nie używaj numerów telefonów umieszczonych w e-mailu - poświęć chwilę czasu i skorzystaj np. z książki telefonicznej lub ręcznie wpisz adres strony WWW danej instytucji i odszukaj na niej numer telefonu. Nie daj się podejść internetowym oszustom 6

Ostrożność nakazuje również nie klikać odnośników umieszczonych w oknie pop-up czy w podejrzanej wiadomości, a także nie odpowiadać na taką wiadomość. Poważne firmy nie proszą za pośrednictwem poczty elektronicznej o osobiste informacje. Ten środek komunikacji nie jest bezpieczną metodą przesyłania poufnych danych. Nie otwieraj również niepewnych załączników do wiadomości oraz nie pobieraj programów z podejrzanych źródeł. WAŻNE Transakcje realizowane przez Internet są szyfrowane. Gdy zechcesz skorzystać np. ze swojego konta bankowego, sprawdź czy adres rozpoczyna się literami https (w odróżnieniu od http). Litera s oznacza szyfrowanie transmisji z użyciem protokołu SSL. Jeśli korzystasz z internetowych usług finansowych, nieszyfrowanie (co rozpoznasz po braku litery s) powinno wzbudzić twoją nieufność. Rys. 4 Jeśli połączenie jest zaszyfrowane, przeglądarka internetowa w widoczny sposób poinformuje o tym Nie daj się podejść internetowym oszustom 7

Przed phishingiem chroni też program antywirusowy, więc aktualizuj go na bieżąco. Niekiedy w wiadomościach wysyłanych przez phisherów są zaszyte konie trojańskie czy inne podejrzane oprogramowanie. Antywirus w połączeniu z firewallem mogą ochronić cię przed skutkami nieroztropnego uruchomienia niebezpiecznych aplikacji. Program antywirusowy skanuje nadchodzące wiadomości i potrafi wykryć w nich wirusy i inne zagrożenia. Z kolei firewall sprawia, że twój komputer jest niewidoczny dla innych użytkowników sieci i blokuje niepożądaną transmisję. Ważne nie tylko z uwagi na zagrożenie phishingiem jest instalowanie łatek bezpieczeństwa udostępnianych przez producentów oprogramowania, zwłaszcza systemu operacyjnego, klienta pocztowego i przeglądarki internetowej. W ten sposób ustrzeżesz się przed niektórymi metodami z repertuaru phisherów. Autor: Rafał Janus redaktor prowadzący Poradnik Komputerowy Nie daj się podejść internetowym oszustom 8

Redaktor: Rafał Janus ISBN: 978-83-269-6877-8 E-book nr: Wydawnictwo: Adres: Kontakt: 2HH0637 Wydawnictwo Wiedza i Praktyka sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl NIP: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł Copyright by: Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2017 Nie daj się podejść internetowym oszustom 9

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres