Zagranica: E-mail z haczykiem

Piotr Wrzosiński

Nie tak dawno szef FBI odebrał e-mail ze swojego banku. List opatrzony znanym logo, oficjalnym językiem informował o konieczności weryfikacji niektórych danych dotyczących konta. Niewiele myśląc, Robert Mueller zabrał się do skrupulatnego realizowania instrukcji z e-maila.

Chwile później musiał pośpiesznie zmieniać wszystkie hasła do swoich rachunków bankowych. A kiedy skończył, przysiągł żonie, że już nigdy nie da się nabrać na phishing. Na szczęście obyło się bez strat; zaś pani Mueller, w swej łaskawości, zabroniła mężowi jedynie korzystania z bankowości internetowej. Konsekwencje dla dyrektora FBI mogły być jednak dużo poważniejsze. Niestety, nie wszyscy użytkownicy – zanim otrzymają wyciąg z odchudzonego przez przestępców konta – są w stanie zorientować się sami, lub dzięki swej żonie, że padli ofiarą oszustwa.

Najpopularniejsze oszustwo w sieci

Robert Mueller, choć jest doktorem prawa i szefem jednej z najpotężniejszych instytucji zajmujących się bezpieczeństwem, także internetowym, stał się ofiarą bodaj najpopularniejszego przestępstwa w sieci. Phishing to fachowa nazwa wyłudzania poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne.

Nazwa ataku pochodzi z połowy lat 90. ubiegłego wieku, kiedy to amerykańscy użytkownicy korzystający z łącz internetowych zapewnianych przez AOL zostali ofiarami masowego wyłudzania dostępu do kont. Po odpowiedzi na e-mail żądający „potwierdzenia” lub „weryfikacji” danych, ich konta były przejmowane przez przestępców i wykorzystywane do masowego rozsyłania spamu.

Pochodzenie samego słowa phishing, będącego grą słów z angielskim fishing (łowienie ryb) jest niejasne. Według popularnej wersji nie jest to skrót od „łowienia haseł” (passoword harvesting fishing), ale upamiętnia postać legendarnego crackera Briana Phisha. Phish miał być pierwszą osobą, która użyła psychologicznych sztuczek do wyłudzania numerów kart kredytowych. Prawdopodobnie jednak osoba o nazwisku Phish nigdy nie istniała i stanowi jedynie branżową legendę.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Banki są jednym z głównych celów ataków. Polegają one zwykle na masowym wysyłaniu wiadomości e-mail imitujących oficjalną komunikację banku, zawierających odnośniki do specjalnie spreparowanej witryny internetowej wyglądającej niczym interfejs bankowości elektronicznej. Użytkownicy są namawiani do wpisywania na tej stronie swoich danych logowania oraz haseł, a także innych interesujących przestępców informacji.

Skuteczność ataków zwiększa niska świadomość użytkowników oraz niedociągnięcia w starszych wersjach przeglądarek internetowych. Błąd w przeglądarce Internet Explorer pozwalający na podanie fałszywego adresu strony w pasku nawigacji praktycznie uniemożliwiał początkującym użytkownikom zorientowanie się, że padają ofiarami oszustwa.

Poważne zagrożenie

Mimo wprowadzania kolejnych zabezpieczeń takich jak wbudowane filtry antyphishingowe w najnowszych wersjach popularnych przeglądarek Internet Explorer czy Firefox, zagrożenie wciąż jest bardzo poważne.

Według raportu firmy Gartner w 2008 r. ofiarami phishingu w USA stało się aż pięć milionów użytkowników – o 40 proc. wię...