Rośnie ilość fałszywych stron internetowych
W Internecie pojawiły się zestawy do phishingu. Dzięki nim ilość fałszywych stron internetowych zdecydowanie wzrosła – poinformował w środę portal informatyczny zdnet.com, powołując się na raport Anti-Phishing Working Group.
Według raportu w grudniu 2005 ilość fałszywych stron internetowych znanych banków i instytucji finansowych oraz organizacji wzrosła, aż o 65 proc. w ciągu 6 ostatnich tygodni zeszłego roku.
Wzrosła znacznie liczba różnych rodzajów fałszywych e-maili. W listopadzie 2005 było ich 4,630, zaś w grudniu już 7,197.
Analitycy bezpieczeństwa twierdzą, iż trend ten widoczny był też w styczniu i lutym 2006 roku, ale na razie nie ma dokładniejszych statystyk za ten okres.
Uważają oni, że przyczyną tego wzrostu jest pojawienie się narzędzi do phishingu – swoistych zestawów aplikacji „zrób to sam”, które pozwalają stworzyć łatwo podrabiane strony WWW i generować fałszywe e-maile, nawet kiepsko obeznanym z programowaniem czy tworzeniem stron WWW młodocianym crackerom. Największa plaga masowego phishingu pojawiła się w Australii i Nowej Zelandii i dociera obecnie do USA i Europy.
Firma bezpieczeństwa Websense, zidentyfikowała jako taki zestaw, pojawiający się w internetowym podziemiu w końcu listopada 2005 pakiet narzędziowy Rock Phish Kit. Jej analitycy twierdzą iż na „czarnym rynku” dostępnych jest 4-5 takich pakietów narzędziowych.
Jak powiedział portalowi zdnet.com, manager lokalny na rynki australijski i nowozelandzki, Joel Camissar, upowszechnienie pakietów narzędziowych ułatwiających masowe oszustwa przypomina sytuację z końca lat 90., kiedy pojawiły się pakiety narzędziowe do masowego tworzenia wirusów. Wtedy w ciągu pół roku ilość nowych aktywnych wirusów wzrosła o 450 proc., ale większość z nich miała błędy, które utrudniały wykonywanie wbudowanych w nie procedur destrukcyjnych.
Phishing (ang. password harvesting fishing czyli łowienie haseł) jest specyficzną formą oszustwa internetowego, polegająca na przesyłaniu internautom e-maili rzekomo pochodzących od działów kontaktów z klientami banków lub instytucji finansowych, w których posiadają oni konta.
W e-mailach tych „z powodów bezpieczeństwa” lub „wymiany systemu informatycznego” poleca się internaucie zalogowanie na stronie banku lub instytucji finansowej. Strony te są fałszywe; nie różnią się niemal niczym od prawdziwych, a dzięki błędowi przeglądarki MS Internet Explorer (około 80 proc. rynku przeglądarek) możliwe jest też zamaskowanie ich fałszywego adresu.
Po zalogowaniu się na fałszywej stronie internauta jest proszony o podanie danych osobowych, nr konta i karty kredytowej. Oszuści następnie „czyszczą” podane konto.
Odmianą zwykłego phishingu jest tzw. Katrina scam pojawiający się po wielkich katastrofach. Tym razem e-maile zachęcają do datku na pomoc ofiarom przez Internet za pomocą karty kredytowej. Datek można złożyć na stronie rzekomego Czerwonego Krzyża lub innej organizacji charytatywnej. Po uzyskaniu na fałszywej stronie danych adresowych i numeru karty oszuści okradają filantropa.
Źródło: PAP