Metody na wędkowanie, czyli różne rodzaje phishingu
Internet to miejsce, które otwiera przed nami całkiem nowe możliwości. Od teraz możemy robić zakupy bez wychodzenia z domu, przelewać pieniądze, czy rozmawiać ze znajomymi nie ruszając z łóżka. Jednak poza ogromnym ułatwieniem, rozwój sieci wpłynął również na znaczne zwiększenie prawdopodobieństwa utraty danych, a co za tym idzie internetowych kradzieży. Jedną z najpopularniejszych metod okazuje się phishing.
Na czym polega phishing?
Na pierwszy rzut oka phishing kojarzy nam się z angielskim słówkiem „fishing” oznaczającym łowienie ryb. Wspomniana konotacja wcale nie jest przypadkowa. Osoba, która zajmuje się phishingiem, podobnie jak rybak szuka najefektywniejszych sposobów na złowienie ryby, którą w tym kontekście jest użytkownik. W końcu konto internetowe to niemal mobilna część naszej osobowości, w której znajdują się wszystkie poufne oraz wrażliwe informacje, takie jak numery kont, hasła czy loginy. Podobnie jak wprawny wędkarz, phishing posługuje się zróżnicowanymi metodami, które mają na celu uśpić czujność użytkownika.
Najczęstsze metody
Phishing opiera się przede wszystkim na zaufaniu. Poprzez wygenerowanie maila czy wiadomości na komunikatorze od zaufanej jednostki – firmy transportowej, od której spodziewamy się przesyłki, banku, czy innej znanej nam instytucji, atakujący nakłaniają swoją ofiarę do kliknięcia w przesłany link. W większości przypadków pochodzi on ze strony oszustów, jednak wstępne rozpoznanie nie należy do najprostszych – przesłane strony łudząco przypominają pierwowzór. Klikając w taki link, zazwyczaj musimy rozpocząć od zalogowania, przez co oszuści uzyskują dane, które de facto sami im przekazujemy. Równie popularne jest przesyłanie załącznika, który zawiera szkodliwy plik. Otwarcie pliku powoduje instalacje specjalnego oprogramowania, które pozwala na przejęcie zdalnej kontroli nad komputerem.
Na co zwrócić uwagę?
Najczęstszą oraz zarazem najprostszą metodą ataku jest tzw. Typosquatting, czyli popularna literówka w adresie linku. Zazwyczaj są to błędy, które często popełniają sami użytkownicy – pominięcie litery, kropki, zmiana znaku interpunkcyjnego itp. Równie popularny jest również homoglyph oraz homograph, czyli zastosowanie podobnie wyglądających znaków – na przykład cyfry 0 zamiast wielkiej litery „o”. Nieco bardziej złożonym sposobem jest stosowanie tak zwanego bitsquattingu, czyli rejestracja domeny różniącej się o jeden bit od swojego pierwowzoru.
Jak się bronić?
Mimo zaawansowanych metod stosowanych przez oszustów istnieje parę sposobów, które pomogą Ci uchronić się przed kradzieżą danych. Przede wszystkim zaleca się ogromną ostrożność. Przez to dość lapidarne polecenie rozumiemy unikanie niemal natychmiastowego otwierania i pobierania załączników czy wiadomości. Kiedy dostaniesz kolejne potwierdzenie przelewu kierujące Cię na stronę banku, zastanów się, czy wykonywałeś niedawno jakąś transakcję. Co ważne, przed kliknięciem w link warto również przyjrzeć się samej wiadomości. Zmistyfikowana treść często zawiera błędy ortograficzne czy interpunkcyjne oraz nieco różni się pod względem stylu. Zwracaj również uwagę na ewentualne błędy w adresach emailowych czy linkach. Najlepszym sposobem okazuje się po prostu ręczne wpisanie adresu. Sprawdzoną metodą jest również częste aktualizowanie przeglądarki i korzystanie z oprogramowań antywirusowych. Natomiast jeśli posiadasz szczególnie ważne konta – zastosuj metodę dwuetapowej weryfikacji.