Strony phishingowe kiedyś a dziś – na co trzeba uważać?

Phishing jest to wyłudzanie danych użytkownika przez internet. Może przybrać formę strony internetowej łudząco podobnej np. do strony bankowej bądź innego serwisu wymagającego danych logowania. Oszust ukrywający się po drugiej stronie może wydobyć od nas nie tylko nasze dane osobiste ale również hasła bankowe czy dane karty kredytowej. Może to prowadzić nie tylko do strat materialnych ale także daje możliwość „przejęcia” tożsamości danej osoby w internecie.

Początki phishingu

Wyłudzanie informacji od użytkownika poprzez podszywanie się pod konkretną osobę bądź firmę sięga 30-40 lat wstecz kiedy to pierwsi crackerzy wysyłali wiadomości do klientów amerykańskiej firmy AOL, podszywając się pod pracowników z prośbą o przesłanie im haseł np. w celu „weryfikacji konta”. Wiadomości do konkretnych osób przekształciły się później w strony internetowe, które swoim wyglądem bądź adresem internetowym przypominały ten na który użytkownicy normalnie się logują.

Rodzaje phishingu

Istnieją 3 rodzaje phishingu:

  • Spear phishing – atak na konkretną osobę bądź firmę. Najbardziej efektywna forma z ponad 90% skutecznością zakładająca uprzednie zebranie informacji na temat celu ataku i wykorzystanie ich na jego szkodę.
  • Clone phishing – polega na tworzeniu szkodliwej wiadomości e-mail na wzór takiej utworzonej przez zaufane źródła tak aby sprawiać wrażenie prawdziwej. Wiadomość ta może posiadać wszelkiego rodzaju odnośniki które zostały zastąpione złośliwymi wersjami.
  • Whaling – termin używany, gdy phishing stosowany jest w kierunku konkretnej osoby zajmującej wysokie stanowisko. Ataki te przyjmują wcześniej przedstawione formy jednakże zawierają informacje o stanowisku zajmowanego przez cel ataku. Często przyjmuje formy wiadomości z instytucji państwowych nakłaniając daną do aktywacji zawartych szkodliwych załączników, które mogą posłużyć do np. zdobycia poufnych dokumentów.
Zielona kłódka – czy aby bezpieczna strona?

Krótko, nie. Pomimo efektywności posiadania takiego certyfikatu na początku procesu rozpowszechniania komunikacji elektronicznej było efektywne i w większości przypadków zapewniało nas o dobrych intencjach strony internetowej, jednak te czasy są już dawno za nami. Obecnie zdobycie certyfikatu uprawniającego naszą stronę do korzystania z „s” przy http na pasku adresu nie gwarantuje już że strona jest bezpieczna. Obecnie nie ma problemu dla stron phishingowych z uzyskaniem takiego certyfikatu. Według informacji zebranych przez stronę phishlabs.com około 25% stron phishingowych pod koniec roku 2017 miało już taką zieloną kłódkę przy swoim adresie strony co jest niepokojącym wynikiem w porównaniu do 1% w 2014 roku. Ale nawet jeśli samo połączenie ze stroną będzie zabezpieczone tak problemem może okazać się sama strona. Oznacza to, że nawet jeśli nikt z zewnątrz nie podejrzy twoich danych to ty i tak wyślesz swoje dane do samych twórców strony.

Zakupy w Internecie w atrakcyjnych niskich cenach?

Nie jest to do końca wzorcowe działanie phishingu, aczkolwiek powinieneś o tym wiedzieć! Kupując w internecie np. okulary znanej marki obniżone o 90% ceny możemy je nawet otrzymać po zakupie. Oryginalność produktu jest tutaj niewątpliwie mało prawdopodobna.
Ale w czym problem? Kupując w takim sklepie czytaj zawsze Regulamin! W trakcie zakupu możesz zawrzeć umowę z sprzedającym zgadzając się na cotygodniową subskrypcję opłacaną z Twojej karty którą podałeś przy zakupie. W taki sposób jeśli nie śledzisz historii swojego rachunku możesz tracić miesięcznie po kilkanaście złotych na rzecz firmy która niewątpliwie oszukała Cię!

Tak więc drogi czytelniku uważaj na to gdzie kupujesz w Internecie i na co się zgadzasz! Warto nawet dzisiaj prześledzić swoją historię karty kredytowej / debetowej aby sprawdzić czy nie padłeś ofiarą oszustwa. Obawy nie dotyczą osób które kupują w internecie za pomocą karty.

Co jeśli nie ma kłódki?

Strony takie są kompletnie niezabezpieczone, a nawet zostały oznaczone jako niebezpieczne. Oznacza to dla nas iż pod żadnym pozorem nie powinniśmy podawać żadnych danych osobowych, danych karty kredytowej itd. Musimy się liczyć z tym że każda informacja którą podamy na takich stronach może w pełni zostać użyta przez inne osoby.

Internet nigdy nie był bezpieczny. Zwróć uwagę na swoje działania!

Oto kilka wskazówek odnośnie poruszania się po internecie:

  • Unikaj korzystania z niezabezpieczonych stron,
  • Przed korzystaniem z zabezpieczonej strony upewnij się że jest ona autentyczna, tzn. sprawdź domenę z całkowita dokładnością,
  • Unikaj rejestracji na stronach na których nie potrzebujesz posiadać konta. Jeśli zadecydujesz o jego założeniu upewnij się że strona nie wygląda podejrzanie,
  • Zapewnij ochronę programów antywirusowych oraz malware, którą będą analizować strony na które się udajesz, a także mają gotową i ciągle aktualizowaną bazę stron phishingowych,
  • Nigdy nie odpowiadaj na maile z prośbą o weryfikacje konta jeśli to nie ty o nią poprosiłeś,
  • Nie otwieraj załączników i nie klikaj w linki w e-mailach których się nie spodziewasz,
  • Zwróć uwagę na nadawcę w e-mailach, adresy np. biu34o@, krzysztof99@, wysyłane z kont firmowych nie poprawne,
  • Nie korzystaj z linków zawartych w mailach z niezaufanych źródeł,
  • Pamiętaj o posiadaniu najbardziej aktualnych wersji oprogramowania dzięki któremu korzystasz z internetu, ponieważ większość z nich mogła posiadać błędy w starszych wersjach z których korzystały serwisy phishingowe,
  • Nie korzystaj z oprogramowania z nieznanych źródeł.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *