Phishing
Z Wikipedii
Phishing (spoofing) - w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.
Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla "zweryfikowania konta" lub "potwierdzenia informacji w rachunku". Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.
Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której skamerzy wzajemnie się rozpoznawali.
Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje - adres do niej był podawany jako klikalny odsyłacz w poczcie phishera - jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób - na przykład www.paypai.com zamiast www.paypal.com.
Spis treści |
[edytuj] Obrona przed phishingiem
- Nie odpowiadamy na żadne maile zawierające prośby o podanie danych lub o zalogowanie się na jakiejś stronie
- Nie klikamy na żadne linki do stron WWW zawarte w przesyłanej do nas poczcie elektronicznej
- Nie uruchamiamy żadnych załączników załączonych do poczty elektronicznej
- Nie uruchamiamy żadnych programów ściągniętych ze stron WWW lub z nieznanego źródła
- Używamy programów antywirusowych, firewalli i zwalczających spyware, malware
- Uaktualniamy często system i oprogramowanie za pomocą odpowiednich łatek i uaktualnień ściąganych tylko ze strony producenta
- Nie przesyłamy mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp.
- W połączeniach z naszym bankiem internetowym wpisujemy jego adres WWW ręcznie korzystając tylko z protokołu https a nie http
- Sprawdzamy otrzymane wyciągi papierowe z historią naszych transakcji
- Nie używamy przeglądarek internetowych, które bywają często podatne na różne błędy, ale korzystamy z uważanych za bardziej bezpieczne takie jak Mozilla czy Opera
[edytuj] Linki zewnętrzne
- Anti-Phishing Working Group - codzienny serwis o sieciowym phishingu
- How to Avoid Phishing Scams
- FTC - How Not to Get Hooked by a Phishing Scam
- Adorons Easy Security wtyczka do Internet Explorer przeciwdziałająca phishingowi
- Fight Identity Theft - przykłady phishingu
- www.Spamfo.co.uk- artykuły i informacje o phishingu
- www.MillerSmiles.co.uk - zbiór ostrzeżeń i raportów
- A Memo On Phishing: What You Need To Know Right Now
- Trust Management for Humans - opis błędów oprogramowania umożliwiających phishing
- Spoofstick - wtyczka do Internet Explorera i Mozilli ujawniająca prawdziwy adres strony
- ShareCube.com - rozwiązania dla banków i instytucji finansowych
- Webopedia - O phishingu w Webopedii.
- Phishing Scams
- Anti-phishing Toolbars Free Anti-phishing Toolbars for Web Browsers.
- Safe Browsing for Enterprise Users - How Enterprises can make web browsing safer by using free software applications.
- Faksymila książki Jeana Guisnela: Wojny w cyberprzestrzeni (Wydawnictwa ZNAK, Kraków 1998)
[edytuj] Artykuły
[edytuj] Zobacz też