Ataki phishingowe dokonywane są najczęściej poprzez e-maile, w których przestępcy zwykle podszywają się pod przedstawicieli banków oraz innych instytucji finansowych. Co ważne, fałszywe e-maile pochodzące od przestępców na pierwszy rzut oka bardzo trudno odróżnić od tych prawdziwych.
Oznacza to, iż wiadomość jest przygotowana zgodnie z szablonem e-maili
wysyłanych do klientów przez daną instytucję - może zawierać elementy
graficzne charakterystyczne dla danej instytucji, podpis oraz prawdziwe
dane teleadresowe tej instytucji. Bardzo istotne jest także to, iż w
polu "Nadawca" również możemy znaleźć prawdziwy adres e-mail danej
instytucji, a nie namiary na przestępcę.
Jedynym sygnałem rozpoznawczym jest zazwyczaj prośba o udostępnienie,
bądź aktualizację poufnych danych poprzez sposób wskazany w e-mailu.
Przestępcy będą chcieli skłonić ofiarę, by przekazała swoje poufne dane
poprzez zwrotny e-mail, poprzez zalogowanie się na wskazanej stronie,
bądź też by zadzwoniła w celu potwierdzenia danych pod wskazany w
e-mailu numer telefonu. Argumentacja do przekazania tych danych może być
bardzo różna, choć zwykle bazuje na straszeniu adresatów poniesieniem konsekwencji związanych z niepodjęciem przez nich czynności ujawnienia danych.
Przestępcy będą zatem informować, że brak reakcji z naszej strony
spowoduje zablokowanie lub zawieszenie naszego konta, mogą również
wykorzystywać rzeczywiście planowane zmiany przez dany bank (np. systemu
obsługi klienta, a nawet wizualnej oprawy internetowego serwisu
bankowego) do wymuszenia na jego klientach rzekomej aktualizacji danych.
Odpowiadając w jeden z podanych przez przestępcę sposobów, nieświadomie ujawniamy mu swoje poufne dane,
które ten z pewnością wykorzysta kradnąc z naszego konta lub karty
kredytowej pieniądze, bądź też sprzedając nasze poufne dane innym
przestępcom.
Warto pamiętać, że przestępcy nie próżnują i cały czas poszerzają zakres
sposobów dotarcia do swoich ofiar i kradzieży ich danych. Próba
przejęcia naszych danych (ataki phishingowe) mogą zatem przybrać formę ataku przez telefon, komunikator internetowy, poprzez wiadomości SMS, faksy, wprowadzenie do komputera ofiary wirusa, podstawienia w zakładkach (ulubionych) przeglądarki fałszywego adresu do strony banku, a nawet przejęcia przez cyberprzestępców stron banków oraz innych instytucji finansowych (tzw. pharming).
Niestety, z przeprowadzonych w 2007 roku przez naukowców z Harvardu badań wynika, że na phishing może "złapać się" praktycznie każda osoba, niezależnie od jej poziomu wiedzy na temat nowych metod wykorzystywanych przez przestępców.
Jak nie dać się złapać na atak phishingowy?Sposobów jest wiele i są zazwyczaj proste w zastosowaniu, jednak niezwykle ważne jest by nie polegać tylko na jednym z nich.
Po pierwsze - należy ignorować prośby o weryfikację, ujawnienie, czy też wprowadzenie naszych poufnych danych,
które pojawiają się niespodziewanie, bez wyraźnej potrzeby wynikającej z
faktycznych zmian, których sami dokonaliśmy w odpowiednim urzędzie.
Pamiętajmy, iż żaden poważny bank, ani żadna instytucja finansowa nigdy
nie powinna prosić swoich klientów o przekazanie ich poufnych danych,
takich jak: numer klienta, login, hasła dostępu, piny, numery kart
kredytowych, numery kont bankowych, numery identyfikacyjne typu PESEL,
NIP, numer dowodu osobistego poprzez:
- e-mail
- komunikator
- SMS
- fax
- formularz na niezabezpieczonej i nie podpisanej certyfikatem danej instytucji stronie
- prosząc o kontakt na podany w e-mailu numer telefonu
- telefon z prośbą o ujawnienie danych
Banki oraz instytucje finansowe są świadome zagrożeń wynikających z tego
typu form kontaktu z klientem, dlatego też korzystają z nich jedynie w
celach informacyjnych - po wcześniejszym wyrażeniu zgody przez klienta,
np. do przesyłania miesięcznych zestawień, informowania o mniej
istotnych zmianach, czy nowych ofertach banku.
Dopóki nasze dane nie ulegną zmianie - poprzez działania wynikające z
naszej strony w odpowiednich urzędach - bank nie ma potrzeby kontaktu z
nami w celu ich weryfikacji czy zmiany. Zazwyczaj zmiany danych klienci
dokonują na drukowanych formularzach, pozostawiając je w placówkach
banku lub też wysyłając kserokopie dokumentów na ogólny adres tradycyjny
(nie e-mail) banku.
Po drugie - należy stosować oprogramowanie zabezpieczające komputer, jak programy antywirusowe, antyszpiegowskie oraz zapory sieciowe (ang. firewall).
Po trzecie - należy na bieżąco aktualizować swoje oprogramowanie
(system operacyjny, przeglądarki, programy antywirusowe,
antyszpiegowskie, firewall) - szczególnie chodzi o jak najszybsze
stosowanie aktualizacji dotyczących bezpieczeństwa.
Po czwarte - jeśli zamierzamy skorzystać ze strony naszego banku warto wcześniej włączyć w przeglądarce internetowej zabezpieczenie antyphishingowe - są one obecnie wbudowane w każdą z najpopularniejszych na polskim rynku przeglądarkę: Firefox, Operę oraz Internet Explorer.
źródło: di.com.pl |
57 
2 
6