Kto stoi za phishingiem?
Phishing to nazwa popularnego ostatnio sposobu wyłudzania cennych danych i pieniędzy przez podawanie się w korespondencji elektronicznej za znane instytucje. Metody stosowane przez oszustów są coraz bardziej wyrafinowane.
Nazwa phishing pochodzi sprzed blisko dziesięciu lat – z czasów, gdy duży amerykański dostawca usług internetowych – America Online – naliczał opłaty za usługi według czasu, przez jaki użytkownik był zalogowany w jego sieci. Wielu nastolatków przy pomocy poczty elektronicznej i komunikatorów wydobywało od innych użytkowników ich identyfikatory i hasła, aby następnie korzystać z sieci na ich rachunek.
Obecnie powszechnie mamy do czynienia z podrabianymi serwisami transakcyjnymi banków, instytucji zajmujących się płatnościami elektronicznymi (np. PayPal), aukcji internetowych, a także – zwłaszcza w USA – dostawców internetowych.
Jeden z nich, EarthLink, już w ubiegłym roku postanowił aktywnie zwalczać phishing. W pierwszej fazie udało się wykryć kilkunastu oszustów, przy czym okazało się, że ponad połowa z nich nie skończyła jeszcze osiemnastego roku życia. Niestety, w chwili obecnej wszystko wskazuje na to, że za phishing biorą się już nie tylko amatorzy. Coraz częściej do oszustw wykorzystywane są przejęte komputery, na których sprawcy zacierają swoje ślady. Także profil psychologiczny oszusta zmienia się. W kolejnych śledztwach, prowadzonych m.in. przez EBay wspólnie z Secret Service, zatrzymano ponad 100 osób w Rumunii (jedna z nich, której udowodniono wyłudzenie 500 tys. dolarów USA odsiaduje wyrok 30 miesięcy pozbawienia wolności) oraz… 55-letnią Helen Carr z Ohio, którą po przyznaniu się do winy skazano na 46 miesięcy.
Jak bronić się przed phishingiem? Zdroworozsądkowa zasada nakazuje zakładanie, że strona, z którą mamy do czynienia (nadawca listu, rozmówca, strona WWW), nie jest godna zaufania, o ile nie możemy tego sami zweryfikować. W przypadku listu elektronicznego nie mamy takiej pewności w zasadzie nigdy (chyba że stosuje się w prawidłowy sposób podpisy elektroniczne). Jeżeli ktoś dzwoniąc do nas żąda podania wrażliwych danych, powinniśmy zamiast tego zaproponować, że to my zadzwonimy pod znany nam numer telefonu. Adres strony WWW, na której podajemy swoje dane, musi być adresem, z którego zawsze korzystamy (co do literki), a samo połączenie powinno być zaszyfrowane (na początku adresu https zamiast http). Jakikolwiek alarm o nieprawidłowości certyfikatu wyświetlony przez przeglądarkę także powinien wzbudzić naszą czujność.
Bardzo interesujący artykuł o phishingu (w języku angielskim):
San Francisco Chronicle: Organized crime may be behind phishing
Źródło informacji: CERT Polska