Phishing to dosłownie połów – w tym wypadku haseł, umożliwiających dostęp np. do konta bankowego ofiary. Polega, najprościej rzecz biorąc, na stworzeniu strony internetowej niemal identycznej ze stroną, na której klienci banku logują się do bankowości internetowej. Gdy strona jest gotowa, oszuści starają się zwabić na nią jak największą liczbę ofiar, które – głównie dzięki swojej naiwności lub kompletnym braku orientacji – pozostawią na stronie „bankowej” swój identyfikator i hasło, czyli spróbują się zalogować do banku.
Najczęściej stosowaną metodą jest rozesłanie listu drogą mailową – tak, by wyglądał wiarygodnie i zachęcał do wejścia na fałszywą stronę. Stąd prosty wniosek – przestępcy, zanim uderzą w ofiary-klientów banku, muszą zdobyć bazę danych danej instytucji finansowej. Mimo potężnych zabezpieczeń stosowanych przez banki, ciągle jest to możliwe. Wojna między oszustami a instytucjami finansowymi przypomina nieco wyścig zbrojeń – im lepsze zabezpieczenia, tym bardziej wyrafinowe metody hakowania bankowych serwerów.
Mail-fałszywka skonstruowany jest tak, by ofiara czuła, że musi natychmiast zareagować. Często np. przekazywany jest komunikat „zanotowaliśmy próby logowania na Pańskie konto, prosimy o zalogowanie się w celu weryfikacji tożsamości”. Ale zdarzają się też bardziej pomysłowe sposoby: zachęcanie do wypełnienia ankiety w zamian za niewielką finansową nagrodę (ankieta zawierała pytanie o numer karty kredytowej, datę jej ważności i PIN – to przykład z USA, sprzed kilku lat).
Jednak potencjalna ofiara oszustów wcale nie musi być – przynajmniej bezpośrednio – zaangażowana w udostępnienie im danych bankowych. Przestępcy atakują słabo zabezpieczone komputery, instalując na nich konie trojańskie i keyloggery (programy zapisujące znaki wpisywane na klawiaturze), które same zajmą się zapisaniem poufnych informacji i przesłaniem ich pod wskazany adres. Ofiara musi „jedynie” ściągnąć szkodliwy plik i uruchomić go na komputerze.
W pierwszych latach funkcjonowania bankowości internetowej część winy za ataki na konta klientów bez wątpienia ponosiły same banki – nie przywiązując wystarczająco dużej wagi do bezpieczeństwa serwisu internetowego. Ale to już przeszłość – można powiedzieć, że banki wyciągnęły nauczkę ze zdarzeń, do jakich doszło (i z odszkodowań, które musiały wypłacić części klientów) i teraz po stronie banków trudno doszukać się winy, jeśli chodzi o zabezpieczenia stron bankowości internetowej.
W Polsce pierwsze ataki „poławiaczy haseł” zanotowano w 2004 roku. Część klientów Citibanku dostała wiadomość na email: „Drogi Kliencie, z przyjemnością informujemy, iż zakończyliśmy prace nad zintegrowanym serwisem bankowości internetowej. Wkrótce nowa platforma zastąpi obecny system, ale już teraz zachęcamy Cię do zapoznania się z możliwościami i udogodnieniami, jakie oferuje zintegrowany serwis. Prosimy o jak najszybsze zalogowanie się oraz sprawdzenie naszego nowego systemu. Zaloguj się http://www.online.citibank.pl". Link prowadził do strony przygotowanej przez oszusta.
Najważniejszą bronią banków jest edukacja klientów. Na nic zdadzą się najlepsze zabezpieczenia, jeśli klient „podzieli się” z osobami niepowołanymi kodami dostępu do konta. Na stronach banków co jakiś czas pojawiają się wyekspononowane komunikaty, przypominające najważniejsze zasady bezpieczeństwa korzystania z bankowości internetowej.
Jednocześnie banki stawiają na coraz lepsze zabezpieczenia transakcji dokonywanych w Internecie. Ataki były bowiem znacznie łatwiejsze, gdy jedynym zabezpieczeniem dostępu był identyfikator i hasło klienta. Teraz wszystkie banki stosują jeszcze dodatkową linię zabezpieczeń. Np. listę haseł jednorazowych, podpis cyfrowy, token, jednorazowe hasła SMS. Eksperci uważają, że najwięcej gwarancji daje token i jednorazowe hasła SMS, ale jeśli klient stosuje się do zasad bezpieczeństwa, to i w przypadku pozostałych systemów zabezpieczeń oszuści nie mają szans.
Poniżej kilka rad, na co zwracać uwagę, żeby nie paść ofiarą „łowców haseł”, jeśli się korzysta aktywnie z bankowości internetowej. I choć większość zaleceń to oczywistości, warto je sobie przypomnieć, bo liczba sieciowych oszustw – mimo coraz lepszych zabezpieczeń – wcale nie maleje.
Po pierwsze, trzeba zawsze z dużą nieufnością traktować każdą wiadomość, w której żąda się podania poufnych informacji dotyczących finansów. Banki nigdy nie proszą o podanie identyfikatora i hasła, numerów kart płatniczych i tym bardziej PIN-ów do nich! Nie wysyłają też wiadomości do wielu odbiorców.
Po drugie, nigdy nie można używać linków zamieszczonych w emailach. Jeśli się logujemy do banku, zawsze wpisujmy adres ręcznie do przeglądarki!
Po trzecie, do formularzy przesyłanych emailem nie wpisujemy żadnych poufnych informacji.
Po czwarte, zawsze sprawdzamy adres i autentyczność strony, na której wpisujemy poufne informacje. Strony takie muszą korzystać z bezpiecznego połączenia (o czym świadczy symbol zamkniętej kłódki w przeglądarce i https:// w pasku adresu). Trzeba też sprawdzać autentyczność certyfikatu bezpieczeństwa.
Po piąte, aktualizujemy wersje przeglądarki – tak by nie była „dziurawa”.
Po szóste, na komputerze zawsze mamy program antywirusowy i firewall – i to aktualne wersje!
Po siódme, nie instalujemy oprogramowania z nieznanych źródeł.
