Przykład wiadomości

Phishing (spoofing) – w branży komputerowej, wyłudzanie poufnych informacji osobistych (np. haseł albo szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę albo instytucję, której te informacje są pilnie potrzebne. Jest to odmiana ataku opartego na inżynierii społecznej.

Termin stał się ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL oraz wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla "zweryfikowania konta" albo "potwierdzenia informacji w rachunku". Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta oraz wykorzystywał je w przestępczym celu, np. do wysyłania spamu.

Termin phishing jest nieraz tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był zaledwie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zwykle spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta oraz konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje - adres do niej był podawany jako klikalny odsyłacz w poczcie phishera - jest łudząco podobna do prawdziwej, a zamieszanie było wielokrotnie potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było wykonywanie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób - dla przykładu www.paypai.com zamiast www.paypal.com.

Obrona przed phishingiem

• Zwykle serwisy nie wysyłają e-maili z prośbą o odwiedzenie oraz zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, stale warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki oraz instytucje finansowe wcale nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
• Nie trzeba otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
• Należy stale uaktualniać system oraz oprogramowanie, w szczególności klienta poczty e-mail oraz przeglądarkę WWW.
• Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła oraz loginu w mailu trzeba zignorować oraz zgłosić odpowiednim osobom.
• Banki oraz instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, winno się zgłosić to osobom z banku oraz nie podawać na niej żadnych danych.
• Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają wielokrotnie podatne na zróżnicowane błędy. Alternatywnie da się korzystać z innych programów, jak Mozilla Firefox czy Opera albo Internet Explorer 7 oraz 8 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo też z oprogramowania firm trzecich chroniącego przed phishingiem.
• Używanie OpenDNS.

Linki zewnętrzne

• Anti-Phishing Working Group - codzienny serwis o sieciowym phishingu
• Fight Identity Theft - przykłady phishingu

Artykuły

• U. S. Banker | A Phish Story - February 2005
• Network Appliance, Inc. Phishing Survey 2004 (PDF)

Sprawdź też

Sprawdź wiadomość w serwisie Wikinews na temat coraz większej ilości napadów za pomocą phishingu

• Pharming
• SMiShing (phishing smsowy)