Zagranica: E-mail z haczykiem

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

bank.2009.12.foto.78.a.150xOfiarą cyberprzestępców może paść każdy. Nawet dyrektor FBI. Historia opowiedziana przez Roberta Muellera każe nam po raz kolejny przypomnieć o problemie phishingu.

Piotr Wrzosiński

Nie tak dawno szef FBI odebrał e-mail ze swojego banku. List opatrzony znanym logo, oficjalnym językiem informował o konieczności weryfikacji niektórych danych dotyczących konta. Niewiele myśląc, Robert Mueller zabrał się do skrupulatnego realizowania instrukcji z e-maila.

Chwile później musiał pośpiesznie zmieniać wszystkie hasła do swoich rachunków bankowych. A kiedy skończył, przysiągł żonie, że już nigdy nie da się nabrać na phishing. Na szczęście obyło się bez strat; zaś pani Mueller, w swej łaskawości, zabroniła mężowi jedynie korzystania z bankowości internetowej. Konsekwencje dla dyrektora FBI mogły być jednak dużo poważniejsze. Niestety, nie wszyscy użytkownicy – zanim otrzymają wyciąg z odchudzonego przez przestępców konta – są w stanie zorientować się sami, lub dzięki swej żonie, że padli ofiarą oszustwa.

Najpopularniejsze oszustwo w sieci

Robert Mueller, choć jest doktorem prawa i szefem jednej z najpotężniejszych instytucji zajmujących się bezpieczeństwem, także internetowym, stał się ofiarą bodaj najpopularniejszego przestępstwa w sieci. Phishing to fachowa nazwa wyłudzania poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne.

Nazwa ataku pochodzi z połowy lat 90. ubiegłego wieku, kiedy to amerykańscy użytkownicy korzystający z łącz internetowych zapewnianych przez AOL zostali ofiarami masowego wyłudzania dostępu do kont. Po odpowiedzi na e-mail żądający „potwierdzenia” lub „weryfikacji” danych, ich konta były przejmowane przez przestępców i wykorzystywane do masowego rozsyłania spamu.

Pochodzenie samego słowa phishing, będącego grą słów z angielskim fishing (łowienie ryb) jest niejasne. Według popularnej wersji nie jest to skrót od „łowienia haseł” (passoword harvesting fishing), ale upamiętnia postać legendarnego crackera Briana Phisha. Phish miał być pierwszą osobą, która użyła psychologicznych sztuczek do wyłudzania numerów kart kredytowych. Prawdopodobnie jednak osoba o nazwisku Phish nigdy nie istniała i stanowi jedynie branżową legendę.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Banki są jednym z głównych celów ataków. Polegają one zwykle na masowym wysyłaniu wiadomości e-mail imitujących oficjalną komunikację banku, zawierających odnośniki do specjalnie spreparowanej witryny internetowej wyglądającej niczym interfejs bankowości elektronicznej. Użytkownicy są namawiani do wpisywania na tej stronie swoich danych logowania oraz haseł, a także innych interesujących przestępców informacji.

Skuteczność ataków zwiększa niska świadomość użytkowników oraz niedociągnięcia w starszych wersjach przeglądarek internetowych. Błąd w przeglądarce Internet Explorer pozwalający na podanie fałszywego adresu strony w pasku nawigacji praktycznie uniemożliwiał początkującym użytkownikom zorientowanie się, że padają ofiarami oszustwa.

Poważne zagrożenie

Mimo wprowadzania kolejnych zabezpieczeń takich jak wbudowane filtry antyphishingowe w najnowszych wersjach popularnych przeglądarek Internet Explorer czy Firefox, zagrożenie wciąż jest bardzo poważne.

Według raportu firmy Gartner w 2008 r. ofiarami phishingu w USA stało się aż pięć milionów użytkowników – o 40 proc. wię...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI