Zastanawiam się, jak wielu internautów w Polsce nigdy nie dostało podejrzanego maila, sugerującego podanie numeru swojej karty kredytowej, czy też loginu, bądź hasła do jakiegoś serwisu. Phishing, czyli działania oszustów, podszywających się pod prawdziwe instytucje, to drugi najczęstszy, po spamie, rodzaj naruszeń bezpieczeństwa w sieci.
Marzec tego roku, Centrum Obsługi Gotówkowej we Wrocławiu. Do pracowników podchodzi mężczyzna w mundurze agencji ochrony, który przyjechał samochodem, oklejonym w barwy tej agencji. Pokazuje legitymację ze swoim zdjęciem, informuje, że przyjechał po 5 mln złotych dla jednego z banków, żegna się i… wszelki ślad po nim ginie. Choć to zdarzenie nie ma nic wspólnego z internetem, na tej samej zasadzie działają phisherzy. Zamiast munduru jest spreparowany e-mail, zamiast samochodu – witryna banku, bądź np. serwisu aukcyjnego, do złudzenia przypominające te prawdziwe. Wrocławskie COG straciło na tym gigantyczne pieniądze. Zwykłemu użytkownikowi internetu grozi w najlepszym przypadku posłużenie się jego tożsamością w niegroźnych celach, w najgorszym zaś – strata pieniędzy, bądź wykorzystanie konta choćby w serwisie aukcyjnym w celach przestępczych.
Dlaczego jednak znajdują się ludzie, którzy na podstawionej stronie wpiszą swoje dane, albo tacy, którzy człowiekowi z ulicy dadzą 5 milionów złotych?
– Wielu z nas zostało wychowanych z wysokim poziomem posłuszeństwa wobec wszelkiego typu urzędów, czy też władzy. Widząc więc nazwę, czy logo, kojarzące nam się z taką instytucją, niejako automatycznie jej ufamy. Niektórzy w takiej sytuacji „wyłączają się” wręcz już na poziomie podświadomości. Przy ogromnej ilości zalewającej nas informacji mózg nie chce się zajmować przetwarzaniem tych, które wydają mu się zbędne, bo przecież „zna” firmę, która przysłała mail – wyjaśnia Beata Kastelaniec, psycholog z Wyższej Szkoły Finansów i Zarządzania.
W ostatnich dniach podejrzane maile zaczęły również trafiać do użytkowników Neostrady TP. Phisherzy pod pozorem „aktualizacji bazy danych” proszą o podanie m.in. nazwy konta e-mail, adresu e-mail oraz hasła(!). Przypominam, że TP nigdy nie prosi o przekazanie wrażliwych danych drogą mailową.
Jak ochronić się przed phishingiem od strony IT? Polecam lekturę serwisu TP CERT (zespołu ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego) pod adresem http://www.tp.pl/cert, a także stron:
http://www.tp.pl/prt/pl/tpcert/bezpieczenstwo/ochrona/przed_oszustwa
http://www.tp.pl/prt/pl/tpcert/bezpieczenstwo/zagrozenia/oszustwa/phishing
A jeśli myślicie, że tak łatwo rozpoznać spreparowany mail, na koniec polecamy mały test, umieszczony na stronie http://www.sonicwall.com/phishing. Do dyskusji o teście i o samym zjawisku phishingu zapraszam w komentarzach pod notką. Do tematu phishingu będziemy oczywiście co jakiś czas wracać na łamach bloga.
Rysunek: HDD Blog via www.photobucket.com