Internauci alarmują. Ktoś podszywa się pod ING Bank Śląski, próbując wyłudzić dane dostępowe do konta bankowego. Jak nie dać się oszukać? Czym jest phishing? O zjawisku wyłudzania w sieci danych wrażliwych prezentujemy słów kilka.
Phishing to jedno z najpowszechniejszych cyberprzestępstw popełnianych w sieci. Jego głównym celem jest wyłudzenie od użytkowników danych dostępowych do kont, numerów kard kredytowych. Nazwa phishing utworzona została z dwóch angielskich słów „fishing” – łowienie oraz „phreaking” oznaczający łamanie zabezpieczeń systemów, sieci telekomunikacyjnych.
Jak działa phishing? Użytkownikowi wyświetla się strona internetowa, komunikat (np. w formie wyskakującego okienka – typu pop-up) czy wysyłany jest mu e-mail, do złudzenia przypominający oryginalną witrynę bądź wiadomość przesłaną przez bank. Strona bądź e-mail zazwyczaj żądają od użytkownika podania loginu, hasła czy numeru karty. Pretekstem jest np. podanie danych uaktualniających – adres, numer dowodu pod groźbą utraty dostępu do konta bądź też informacją o braku dostępu do rachunku, zaczynająca się słowami: „Aby przywrócić dostęp do swojego konta bankowego, wprowadź (…)” – tu następuje żądanie uzupełnienia danych. Taka witryna bądź e-mail służy do wyłudzania od internatów danych wrażliwych.
Pod koniec zeszłego roku, internauci wznieśli larum. Na skrzynki e-mailowe otrzymywali wiadmości, rzekomo od Banku Śląskiego, z prośbą o zalogowanie się do panelu administracyjnego konta bankowego, gdyż czeka tam na nich nowa informacja od banku. Z tym, że odnośnik zaloguj, wcale nie prowadził na autentyczną stronę ING, ale falsyfikat, służący przechwyceniu danych.
Bank szybko interweniował, informując swoich klientów, że nigdy nie wysyła do nich e-maili z prośbą o zalogowanie się do konta za pośrednictwem otrzymanej wiadomości. Podkreślono, że do konta logować należy się, tylko i wyłącznie, korzystając ze strony banku i szyfrowanego połączenia. Zwrócono uwagę na fakt, że bank nie żąda nigdy podania pełnej nazwy użytkownika i hasła. Do zalogowania używane są to tylko wybrane znaki z całego hasła.
Jak chronić się przed phishingiem? Przede wszystkim być czujnym. Do konta bankowego logować się tylko ze strony banku, w którym otwarty jest dany rachunek. Nigdy nie podawać pełnego hasła. Jeśli już banki proszą o jego podanie, to do zawarcia transakcji, zazwyczaj wymagany dodatkowo jest kod autoryzacyjny (w postaci zdrapki bądź sms`a). Przede wszystkim sprawdzać dokładnie adres strony www banku, a także faktyczny docelowy url, do którego prowadzi link z wiadomości e-mailowej. Przestępcy zajmujący się phishingiem liczą na naszą nieuwagę oraz pośpiech, dlatego adresy fałszywych witryny zwykle różnią się jedną literką (znakiem) od oryginalnych stron.