Czym jest phishing?
Najprościej mówiąc, phishing polega na wyłudzeniu danych wrażliwych przez hakera, który imituje tożsamość innej osoby lub instytucji. Zdarza się, że przybiera on formę zorganizowanych działań socjotechnicznych, w wyniku których, zmanipulowana osoba sama podaje hakerowi hasła, kody dostępu lub inne dane, które następnie są wykorzystywane przeciwko niej, najczęściej po to, by ją okraść. Każdy z rodzajów phishingu jest naruszeniem prawa i zasad etyki, nawet jeśli mowa o niefrasobliwym ujawnieniu danych przez omotaną socjotechnikami ofiarę.
Podstawowe formy phishingu.
Angielskie słowo phishing w wolnym tłumaczeniu oznacza “łowienie haseł”, co w przystępny sposób odzwierciedla charakter tego rodzaju przestępstwa. Jedna z form phishingu to tzw. spear-phishing, wymagający od hakera zgromadzenia szczegółowej bazy danych o potencjalnej ofierze indywidualnej lub instytucjonalnej. Haker może przeprowadzić szereg rozmów, stale obserwować ofiarę lub, jako potencjalny klient, wejść z nią w inne interakcje. Dzięki temu zdobędzie dokładne dane, które pozwolą mu oszacować kiedy będzie odpowiedni czas i miejsce, aby uderzyć w ofiarę. Czasem jest to wiedza o dostępie do komputerów służbowych, uprawnieniach konkretnych osób do zarządzania danymi wrażliwymi, niekiedy posuwa się wręcz do wykonania zrzutów ekranów z wewnętrznej bazy danych. Z tego rodzaju oszustwami phishingowymi mają do czynienia nawet instytucje zaufania publicznego i naprawdę trudno się przed nimi bronić. Niestety, długo przygotowywane i wnikliwie przemyślane akcje hakerskie z gatunku spear-phishingu, zwykle kończą się powodzeniem. Druga forma phishingu, tzw. clone-phishing, polega na klonowaniu faktycznie istniejących listów lub wiadomości mailowych i zakażaniu ich bezpiecznych załączników wirusami. Czasem zdarza się, że podane w takim phishingowym mailu informacje o danych do przelewu zawierają fałszywe numery kont. Hakerzy rozsyłają tego rodzaju wymysły do wybranych adresatów i w ten sposób łowią swoje ofiary. Jak widać, choć to irytujące zajęcie, naprawdę warto sprawdzać źródła maili, numery kont do przelewów i inne, wydawać by się mogło – nieistotne – szczegóły. Hakerzy tylko czekają na naszą nieuwagę.
Phishing telefoniczny – coraz rzadszy, ale wciąż groźny.
Choć odporność na telemarketing i inne usługi telefoniczne znacząco wzrosła, tele-oszustom nadal zdarzają się sukcesy. No bo jak tu nie zaufać np. konsultantowi z naszego banku? Otóż, podczas takiej, sterowanej socjotechnicznie rozmowy, “konsultant naszego banku” prosi o dane osobowe, a nawet hasła do przelewów, kont oszczędnościowych, czy inne poufne dane. W takiej sytuacji powinna nam się zapalić czerwona lampka, bo przecież banki nie proszą o hasła do przelewów i kont, prawda? W razie jakichkolwiek wątpliwości, powinniśmy zadzwonić na infolinię i sprawdzić tożsamość naszego rozmówcy. Ostrożności nigdy za wiele, a postępowanie sądowe, nie dość że czasochłonne, to i często mało skuteczne w przypadku działania profesjonalnych oszustów, którzy potrafią umiejętnie ukrywać swoją prawdziwą tożsamość.
STAY SAFE!
