Nazwa „phishing” powstała w wyniku skrzyżowania słów „fishing” (łowić ryby) i „personal data” (dane osobowe). Niekiedy termin ten tłumaczony jest jako password harvesting fishing, czyli łowienie haseł. Proceder polega na pozyskiwaniu poufnych informacji (haseł do kont bankowych, numerów kart kredytowych itp.) przez podszywanie się pod osobę czy instytucję godną zaufania. Jeśli więc otrzymamy e-mail typu „Dear Citi Bank customer” z informacją o konieczności potwierdzenia swoich poufnych danych, dotyczących dostępu do konta czy zweryfikowania ostatniej transakcji przez ich podanie, bo w przeciwnym wypadku zostanie nam zablokowany dostęp do konta, SPRAWDŹMY tę informację! W żadnym wypadku nie należy przesyłać takich danych pocztą elektroniczną. I pomyślmy przez chwilę, czy bank kiedykolwiek żądał od nas podania hasła do konta?! W dodatku kontaktując się z nami poprzez e-mail?

Do niedawna techniki stosowane przez phisherów były mało doskonałe. W wiadomościach znaleźć można było błędy ortograficzne, pomylone nazwy, niewyświetlające się pliki i obrazki, niedziałające linki. Poza tym odsyłacze kierowały ofiarę na zupełnie niezwiązaną z instytucją stronę internetową. Spam wysyłany był do kilkuset tysięcy internautów. Obecnie phishing wykorzystywany jest celach zarobkowych i techniki stosowane przez cybernetycznych przestępców są prawie doskonałe. Informacje trafiają do rzeczywistych klientów instytucji, wiadomości są doskonale spreparowane, e-maile przypominają graficzne strony banków. Po kliknięciu na link, znajdujący się w wiadomości, przekierowani zostajemy na stronę do złudzenia podobną do strony banku. Stało się to możliwe dzięki wykorzystaniu wykrytej w połowie grudnia ubiegłego roku luki w przeglądarce Internet Explorer. W Polsce z takim problemem spotkali się klienci mBanku, Citibanku i Inteligo. Statystyki są zaskakujące: aż 5% odbiorców fałszywych informacji na nie odpowiedziało!

Phishing może przybrać inną formę. Możemy otrzymać wiadomość zupełnie niezwiązaną z właściwym celem, zawierającą program szpiegujący. Po otwarciu wiadomości, bądź załącznika, na naszym komputerze instaluje się program śledzący poczynania użytkownika i przechwytujący treść wpisywaną przez niego z klawiatury, podczas logowania z bankiem czy dokonywania elektronicznego przelewu.
Nasuwa się pytanie: skąd oszuści mają nasz adres e-mail? Otóż wykorzystują programy, które badają strony internetowe, gorzej zabezpieczone, fora dyskusyjne i „wyłapują” z nich adresy mailowe.

Rozważny i bezpieczny
Bezpieczeństwo transakcji internetowych zależy w 70% od człowieka, a zaledwie w 30% od technologii. Z technologicznego punktu widzenia zabezpieczenia stosowane w bankowości są wystarczające, pod warunkiem, że nie zawiedzie człowiek.  Należy do nich stosowanie protokołu HTTPS (HyperText Transfer Protocol-Secure), kluczy cyfrowych oraz  innych niestandardowych: certyfikatów, kart mikroprocesorowych, tokenów (generatorów losowych haseł), „elektronicznych portmonetek” a nawet biometrii.

Stosowanie się do poniższych zasad może ochronić nas przed atakami cybernetycznych oszustów:

•  Jeśli  otrzymamy zaskakujący e-mail z banku, przede wszystkim nie klikajmy na zawarty w nim link, bez wcześniejszego sprawdzenia właściwej strony. Najlepiej otwórzmy przeglądarkę i wpiszmy oficjalny adres strony internetowej banku. Na pewno zauważymy różnicę. Zwróćmy uwagę na podstawowe zabezpieczenia, jakie powinna strona zawierać: zastosowanie protokołu HTTPS (w pasku adresu podczas logowania adres powinien przybrać postać https://). Certyfikat instytucji sprawdzimy klikając dwukrotnie na symbol kłódki. Pozwoli on zorientować się kto, komu i kiedy wystawił „świadectwo”.
•  Wpisując identyfikator i hasło do rachunku bankowego korzystajmy z oficjalnej strony banku.
•  Nigdy nie wysyłajmy poufnych informacji e-mailem.
•  Możemy rozwiać swoje wątpliwości dotyczące pochodzenia wiadomości, jeśli zadzwonimy do placówki banku lub na infolinię.
•  Zainstalujmy oprogramowanie antywirusowe i zaporę internetową (firewall). Zabezpieczymy w ten sposób komputer przed dostaniem się do niego programów szpiegujących, które mogłyby przechwycić np. wpisy z klawiatury.
•  Nie otwierajmy wiadomości pocztowych, a zwłaszcza załączników do nich, pochodzących z nieznanego źródła i od nieznanych osób.
•  Istnieją również programy filtrujące przychodzącą pocztę pod kątem wiadomości o charakterze phishingowym. Jeśli nadal nie czujemy się bezpiecznie, pomyślmy o zainstalowaniu również tego dodatkowego narzędzia.
•  Nie używajmy „zapamiętywania” haseł na dysku. Umożliwia to logowanie bez pamiętania i wstukiwania hasła za każdym razem, ale jednocześnie zwiększa ryzyko, że takie hasło zostanie przechwycone przez kogoś, kto włamie się na nasz komputer. 
•  Zadbajmy również o bezpieczeństwo zawierania transakcji na aukcjach internetowych.
•  Odpowiednio skonfigurujmy przeglądarkę internetową i program pocztowy. Możemy to zrobić w następujący sposób w poszczególnych przeglądarkach:

Internet Explorer
Z górnego menu wybieramy kolejno Narzędzia | Opcje internetowe | Zaawansowane i w sekcji Zabezpieczenia włączamy funkcje związane z wykorzystaniem protokołów komunikacyjnych: Użyj SSL 2.0, Użyj SSL 3.0, Użyj TLS 1.0.
Dodatkowo należałoby uaktywnić również:
Nie zapisuj szyfrowanych stron na dysk,
Ostrzegaj przed nieważnymi certyfikatami witryn,
Ostrzegaj, jeżeli przesyłanie formularza jest przekierowywane
i Ostrzegaj przed zmianą z trybu zabezpieczonego na niezabezpieczony.
I jeszcze: Sprawdź, czy certyfikat serwera nie został cofnięty
i Sprawdź, czy certyfikat wydawcy nie został cofnięty.
Dodajmy do tego pole: Opróżnij folder tymczasowych plików internetowych, gdy przeglądarka jest zamykana. Zatwierdzamy przyciskami Zastosuj i Ok.

Przechodzimy do certyfikatów. Wybierając zakładkę (Narzędzia | Opcje internetowe) Zawartość, przycisk Certyfikaty w karcie Zaufane główne urzędy certyfikacji znajdziemy spis wydawców, z możliwością dodania nowych elementów i wyeksportowania istniejących.

Opera
Aby skonfigurować bezpieczne połączenie w tej przeglądarce wybieramy z menu Narzędzia | Preferencje i  po wyświetleniu okna wybieramy polecenie Zabezpieczenia. Zaznaczamy ptaszkiem opcję Ostrzegaj przed niezabezpieczonym wysyłaniem formularzy. Wciskamy przycisk Protokoły zabezpieczające i sprawdzamy czy  pola Włącz SSL 2/ SSL 3 / TLS 1 są zaznaczone. Opera daje nam możliwość ustalenia długości klucza, wykorzystywanego do szyfrowania danych.
Certyfikaty przejrzymy po naciśnięciu polecenia Menadżer certyfikatów w zakładce Ośrodki certyfikacji.

Firefox
Podobnie jak w poprzednich przeglądarkach korzystamy z polecenia Narzędzia | Opcje | Zaawansowane, które uaktywnia okno, gdzie znajdują się opcje szyfrowania i weryfikowania certyfikatów. Po rozwinięciu Zabezpieczenia powinny zostać zaznaczone warianty: Włącz obsługę SSL 2.0, Włącz obsługę SSL 3.0, Włącz obsługę TLS 1.0.
Poniżej znajdziemy gałąź dotyczącą certyfikatów, a pod przyciskiem Menadżer certyfikatów listę ośrodków wydających „paszporty” stronom WWW. Zawsze mamy możliwość dodania nowego certyfikatu (np. swojego banku) poleceniem Importuj.

Stosując się do tych kilku powyższych zasad możemy bez większych obaw przeprowadzać sieciowe transakcje. Ich bezpieczeństwo zależy przede wszystkim od naszej świadomości zagrożeń i ostrożnego postępowania. Nie dajmy się okradać we własnym domu, a tym bardziej uważajmy, komu dajemy do niego klucze.

 
Czy wiecie, że...
Firmy Visa, Microsoft i eBay połączyły siły w walce z phishingiem i postanowiły wymieniać się danymi na temat przypadków tego przestępstwa. W internecie jest juz dostępna baza danych o takich wypadkach, Phish Report Network (www.phishreport.net). Firmy zainteresowane wykorzystaniem takiej bazy danych i dostępem do spisu wypadków phishingu mogą taki dostęp otrzymać, niestety odpłatnie.

Oprac. Urszula Marcinkowska
http://www.iart.com.pl