Bezpieczeństwo w sieci: Phishing~! Czyli gdy twoje konto przestaje być indywidualne...

1. Wtf is that?!

Phishing polega na dokonywaniu kradzieży prywatnych danych, głównie kodów dostępu do kont bankowych przy użyciu metod ograniczonych tylko chorą wyobraźnią sprawcy. Aktualnie najpopularniejszą metodą jest umieszczanie złośliwego oprogramowania na jak największej ilości stron internetowych (np. strona www.pajacyk.pl została zainfekowana takim programem w 2009). Taki program, po odwiedzeniu przez nas strony wyszukuje luki w przeglądarce, Adobe Readerze, kontrolki activeX, poprzez które instaluje się w systemie. Jeśli jesteśmy tą szczęśliwą osobą, posiadającą konto w banku pod który program jest przygotowany, aktywuje się on podczas wizyty na stronie internetowej naszego usługodawcy. Jego działanie może się różnie przejawiać:

• po kliknięciu zaloguj możemy zostać przeniesieni na fałszywą stronę logowania, która prześle nasz login i hasło do niemilca, chcącego się wzbogacić naszym kosztem
• Po zalogowaniu możemy zostać poinformowani o niepoprawnym logowaniu i poproszeni o jego ponowne wykonanie (już na fałszywej stronie)
• Podczas dokonywania przelewu, gdy bank prosi o podanie jednorazowego hasła sms'owego, program może podmienić zapytanie do banku, czego konsekwencją będzie otrzymanie hasła potwierdzającego inną, niż przez nas oczekiwana operacja.

2. I'm n00b plz hlp!

• Należy zawsze, ZAWSZE zwracać uwagę na adres logowania do konta wyświetlony w pasku przeglądarki. Powinien zaczynać się od „https://...”, nigdy od „http://...”
• W pasku adresu powinna również widnieć „kłódka”, oznaczająca właściciela certyfikatu (twój bank).
• Strony bankowe nigdy nie proszą o podanie ponownie loginu i hasła (z wyjątkiem niepoprawnego logowania)
• Zawsze nr 2: sprawdzić sms potwierdzający wykonanie operacji

3. Profilaktyka, czyli co zrobić aby nie zajść w cią..., eee zostać zainfekowanym:

• Stosować najprostszy, nawet darmowy firewall. Przez pierwszy miesiąc będzie denerwująco pytał o każdy program korzystający z sieci. Cierpliwie przeczekać jak licealny bunt nastolatków
• Aktualizować oprogramowanie zainstalowane na komputerze
• Zainstalować antywirusa (oraz starać się nie czytać bzdur o produkcji wirusów, trojanów, malware i innego złośliwego oprogramowania przez firmy zajmujące się bezpieczeństwem w sieci – jeszcze się prawdziwe mogą okazać i co wtedy...)
• Wstrzemięźliwość od witryn porno nie zaszkodzi
• OpcjaDlaNerdów: wyłączyć w przeglądarce korzystanie z Java Scriptów. Może to jednak utrudnić lub uniemożliwić korzystanie z stron internetowych

Jednakże nigdy nie można mieć pewności, że nasza ukochana maszyna nie stała się pożywką dla złośliwego oprogramowania, a wyżej wymienione środki mogą być nieskuteczne. W związku z tym pojawia się na scenie Zawsze nr 3: należy ostrożnie i nieśpiesznie podchodzić do wykonywania jakichkolwiek operacji na internetowym koncie bankowym oraz z dużą dozą nieufności podchodzić do jakichkolwiek nietypowych sytuacji.

więcej na:

http://www.cert.pl/news/1615

http://news.techworld.com/security/11119/bank-phishing-scam-nearly-undetectable/

http://www.oszustwsieci.pl/phishing.php