Karty płatnicze

Przykład wiadomości

Phishing (spoofing) - w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, podczas gdy hasła azaliż szczegóły karty kredytowej, przez pozór osoby godnej zaufania, której te informacje są nagle potrzebne. Jest to gatunek ataku opartego na inżynierii społecznej.

Termin zostaÅ‚ ukuty w poÅ‚owie lat 90. przez crackerów próbujÄ…cych wykraść konta w serwisie AOL. Napastnik udawaÅ‚ czÅ‚onka zespoÅ‚u AOL i wysyÅ‚aÅ‚ nowość do potencjalnej ofiary. Nowość zawieraÅ‚a proÅ›bÄ™ o wykrycie hasÅ‚a, np. na rzecz “zweryfikowania konta” czy też “potwierdzenia informacji w rachunku”. Jak jeleÅ„ podawaÅ‚a parol, agresor uzyskiwaÅ‚ dojazd do konta i wykorzystywaÅ‚ je w przestÄ™pczym celu, np. do wysyÅ‚ania spamu.

Termin phishing jest nieraz tłumaczony w charakterze password harvesting fishing (złapanie haseł). Inni utrzymują, iż nauka zawodu pochodzi od nazwiska Briana Phisha, jaki pył być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, coraz w latach 80. Coraz inni uważają, iż Brian Phish był wyłącznie fikcyjną postacią, za pomocą której spamerzy obopólnie się rozpoznawali.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki azaliż aukcje internetowe. Phisher wysyła w większości wypadków niechciana poczta do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje faktyczny pula internetowy, a w rzeczywistości przechwytuje wpisywane w tamtym miejscu przez ofiary ataku informacje. Typowym sposobem jest dana o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Stronica przechwytująca informacje - adres do niej był podawany w charakterze klikalny hiperłącze w poczcie phishera - jest łudząco podobna do prawdziwej, a popłoch było często potęgowane przez błąd w Net Explorerze (w 2004 r. powyżej 90% rynku przeglądarek), jaki pozwalał zataić oraz faktyczny adres fałszywej okolica. Innym sposobem było generowanie fałszywych stron przy adresami ogromnie przypominającymi nietypowy, a w takim razie łatwymi do przeoczenia na rzecz niedoświadczonych osób - na przypadek www.paypai.com miast www.paypal.com.

Usprawiedliwienie poprzednio phishingiem

• Zazwyczaj serwisy nie wysyÅ‚ajÄ… e-maili z proÅ›bÄ… o odwiedzenie i zalogowanie siÄ™ na stronie. Taka wniosek powinna wzbudzić uwaga, nieustannie pożądane byÅ‚oby w takim wypadku uznać autentyczność listu przez infrastruktura z administratorami okolica. Banki i instytucje finansowe w życiu nie wysyÅ‚ajÄ… listów z proÅ›bÄ… o detekcja (wpisanie w formularzu) jakichkolwiek danych (loginu, hasÅ‚a, numeru karty), próby podszycia siÄ™ poniżej nie powinny być zgÅ‚aszane do osób odpowiedzialnych za bezpieczeÅ„stwo.
• Nie trzeba zakÅ‚adać hiperÅ‚Ä…czy szczerze z otrzymanego e-maila. WzglÄ™dnie pionowo jest zmodyfikować ich zawartość racja, by w rodzaju wskazujÄ…ce na autentycznÄ… witrynÄ™ kierowaÅ‚y do nieautoryzowanej, podszywajÄ…cej siÄ™ strony.
• Należy regularnie aktualizować ukÅ‚ad i program, w szczególnoÅ›ci klienta poczty poczta elektroniczna i przeglÄ…darkÄ™ WWW.
• Nie jest dozwolone sÅ‚ać mailem żadnych danych osobistych typu hasÅ‚a, numery kart kredytowych itp. ProÅ›by o bajanie hasÅ‚a i loginu w mailu powinno siÄ™ odrzucić i zameldować odpowiednim osobom.
• Banki i instytucje finansowe stosujÄ… raport HTTPS w tamtym miejscu, dokÄ…d konieczne jest zalogowanie do systemu. Chyba że pagina z logowaniem nie zawiera w adresie nazwy protokoÅ‚u HTTPS, powinno siÄ™ zameldować to osobom z banku i nie nadawać siÄ™ na niej żadnych danych.
• Nie zaleca siÄ™ używania starszych przeglÄ…darek internetowych (np. Net Explorer 6), które bywajÄ… czÄ™sto podatne na różne bÅ‚Ä™dy. Alternatywnie wolno posÅ‚ugiwać siÄ™ z innych programów, gdy Mozilla Firefox azali Opera albo Sieć Explorer 7 (których najnowsze wersje wyposażone sÄ… w filtry antyphishingowe) czy też także z oprogramowania firm trzecich chroniÄ…cego poprzednio phishingiem.
• Używanie OpenDNS.

Linki zewnętrzne

• Anti-Phishing Working Group - powszedni komplet naczyÅ„ stoÅ‚owych o sieciowym phishingu
• Fight Identity Theft - przykÅ‚ady phishingu
• Faksymila książki Jeana Guisnela: Wojny w cyberprzestrzeni (Wydawnictwa ZNAK, Gród podwawelski 1998)

Artykuły

• U. S. Banker | A Phish Story - February 2005
• Network Appliance, Inc. Phishing Survey 2004 (PDF)

Zobacz też

Zobacz nius w serwisie Wikinews na idea coraz większej ilości napadów za pomocą phishingu

• Pharming
• SMiShing (phishing smsowy)

Kategorie: Internet • Ataki komputerowe