Co to jest phishing
Autor: Łukasz WojciechowskiDostajemy wiadomość mailową z informacją, że hakerzy włamali się do banku. Nasze pieniądze można uratować, ale trzeba szybko kliknąć w podany link i się zalogować. Link przekierowuje nas na stronę banku, więc mamy „pewność”, że wiadomość pochodziła z zaufanego źródła. Później zaczynają się problemy. Czy hakerzy rzeczywiście włamali się na stronę banku? Nie, to tylko socjotechnika i manipulacja. Uświadamiając sobie co to jest phishing stajemy się o wiele bardziej bezpieczni w Internecie.
Co to jest phishing i dlaczego dajemy się nabrać
Słysząc o phishingu jeszcze mało kto rozumie, o czym jest mowa. W związku z brakiem polskiego odpowiednika warto utrwalić sobie dobrze to pojęcie. Jest to rodzaj cyberprzestępstwa polegający na podszywaniu się pod osobę lub instytucję w celu wyłudzenia hasła, danych osobowych, danych karty kredytowej lub nakłonienia danej osoby do zrobienia czegoś. Cyberprzestępcy nie stosują zaawansowanych narzędzi informatycznych. Próbują oszukiwać stosując socjotechniki i manipulując. Liczą na to, że ktoś da się nabrać, zmylić, nie zauważy, będzie zajęty czymś innym. Albo przestraszy się perspektywy utraty swoich pieniędzy. Charakterystyczne dla phishingu jest też to, że często działanie nie jest wymierzone w konkretną osobę. Przestępcy rozsyłają maile do dużej ilości osób licząc na to, że jedna osoba na 100 lub na 1000 się nabierze.
Phishing – jak się przed tym bronić
Kiedy już wiemy co to jest phishing, pojawia się kluczowe pytanie – jak się przed tym bronić? Nie jest to szczególnie skomplikowane, wystarczy zastosować kilka środków ostrożności:
- Wiadomość mailowa informująca, że jest zagrożenie i trzeba się zalogować, od razu powinna budzić nasze podejrzenia. Banki i inne instytucje nigdy nie rozsyłają takich wiadomości.
- Zawsze kiedy wykonujemy płatności przez Internet lub podajemy nasze dane patrzymy, czy na początku adresu znajduje się fraza „https://„. Kluczowa jest tu litera „S”.
- Nr karty płatniczej i znajdujący się na jej odwrocie trzycyfrowy nr CVC nigdy nie są narzędziami autoryzacyjnymi. Numery te podajemy tylko i wyłącznie na zaufanych stronach podczas dokonywania płatności.
- Warto założyć różne hasła do naszych kont (mailowe, Allegro, bankowość internetowa itd.), jeżeli ktoś pozna jedno z haseł nie będzie miał możliwości zalogować się do pozostałych kont.
- Musimy mieć świadomość, że wiele usług na jednym koncie oferowanych np. przez firmę Google (m.in. poczta Gmail, zdjęcia, dysk wirtualny) jest dla nas bardzo wygodne, ale jeżeli ktoś pozna nasze hasło, ma od razu dostęp do wszystkiego.
- Ciekawym narzędziem jest dwuskładnikowe uwierzytelnianie, które oferuje m.in. Google i Facebook. Oznacza ono, że jeżeli logujemy się z innego komputera niż nasz domowy, do zalogowania konieczne jest wpisanie kodu autoryzacyjnego, który przychodzi SMS-em na nasz telefon. Narzędzie zostało obszernie opisane na blogu Eprzekret.blox.pl.