Czym jest phishing?
Celem phishingu jest wyłudzenie od użytkownika danych osobowych lub innych danych – głównie finansowych, niezbędnych do dokonywania transakcji płatniczych. Przestępstwo to polega na wysyłaniu wiadomości e-mail, które zawierają informacje o konieczności odwiedzenia podanej w wiadomości strony w celu weryfikacji wymaganych danych (np. karty płatniczej czy loginu i hasła do bankowego serwisu transakcyjnego). W momencie kliknięcia na podany w wiadomości link odbiorca przekierowany zostaje na stronę internetową przypominającą oryginalną stronę właściwego podmiotu, gdzie proszony jest o podanie odpowiednich danych. Strona ta stworzona została przez przestępcę, a wprowadzone dane zostają przez niego przechwycone oraz w konsekwencji wykorzystane do dokonywania transakcji finansowych. Jako odmianę phishingu, wyróżnić można pharming. Polega on na przekierowaniu użytkownika z oryginalnej strony banku czy innej instytucji finansowej na stronę „nakładkę” – stworzoną przez przestępcę.
- Co ciekawe istota phishingu nie zmieniła się od początku istnienia tego zjawiska. Jedynie metody działania oszustów stają się coraz bardziej wyrafinowane, a próby ataku coraz częściej dotyczą także właścicieli smartfonów i użytkowników aplikacji mobilnych. W najbliższej przyszłości nie należy spodziewać się zmniejszenia skali tego rodzaju przestępstw, a wręcz jego nasilenia – tłumaczy Piotr Szeptyński, menedżer w Dziale Zarządzania Ryzykiem, Deloitte.
Badania przeprowadzane przez Kaspersky Lab potwierdzają tę tezę. W ciągu ostatnich 12 miesięcy, każdego dnia usiłowano przechwycić dane 102 tys. osób. To dwa razy więcej niż w analogicznym okresie w roku ubiegłym. Użytkowników internetu najczęściej atakowano w Rosji, USA, Indiach, Wietnamie oraz Wielkiej Brytanii. Skuteczne przejęcia danych natomiast najczęściej mają miejsce w Wietnamie, Stanach Zjednoczonych, Indiach oraz Niemczech.
Zaznaczyć należy również zwiększającą się popularność phishingu targetowanego (spear-phishing), który przybiera formę ataku spersonalizowanego. Celem stają się tutaj serwisy transakcyjne (np. aukcyjne) lub platformy społecznościowe zawierające dane osobowe, zawodowe, dotyczące zdrowia lub szczególnych zainteresowań. Świadczy o tym ilość ataków wycelowanych w użytkowników serwisów PayPal, Facebook, LinkedIn czy Twitter.
Jak nie dać się złapać?
Aby zminimalizować możliwość stania się ofiarą phishingu, warto przestrzegać kilku zasad:
• Zwracaj uwagę na treść stron internetowych i wiadomości e-mail. Strony łowców danych bardzo często charakteryzują się niską jakością treści, przypominającą automatyczne tłumaczenie z języków obcych na język polski.
• Sprawdzaj autentyczność strony internetowej. Powinna o tym świadczyć „żółta kłódka” widniejąca przy adresie strony. Symbol ten informuje o stosowanym przez banki i instytucje finansowe protokole bezpieczeństwa HTTPS. Adresy stron zabezpieczone w ten sposób zaczynają się od wyrażenia „https://”, a nie „http://” – jak przy większości stron WWW. Należy jednak mieć na uwadze fakt, że nawet obecność tego symbolu nie daje 100 proc. pewności co do logowania się do oryginalnego serwisu.
• Unikaj logowania do serwisów transakcyjnych w kawiarenkach internetowych czy w publicznie dostępnych komputerach. Może być na nich zainstalowane złośliwe oprogramowanie służące do przechwytywania danych. Jeśli musisz skorzystać z publicznych komputerów, nie używaj opcji autouzupełniania i zapamiętywania danych przez przeglądarkę internetowa oraz pamiętaj o wylogowaniu się.
• Używaj programów antywirusowych, chroniących przed spamem oraz złośliwym oprogramowaniem. Pamiętaj o ich bieżącym aktualizowaniu.
• Warto korzystać z programów bądź wtyczek, które zapewniają ochronę przed phishingiem.
• Unikaj stosowania tych samych haseł do różnych serwisów.
• Zwracaj uwagę na dzielenie się informacjami osobistymi.
• Rozsądnie otwieraj załączniki do wiadomości i linki w nich zawarte.
• Nie odpowiadaj na maile czy komunikaty, w których jesteś proszony o podanie hasła do konta, nawet jeśli dana osoba podaje się za pracownika serwisu. Banki i inne serwisy nigdy nie proszą o podawanie danych w opisywany sposób.
• W celu łączenia się z serwisami internetowymi używaj znanych adresów, najlepiej tych, które dodasz do swoich zakładek w przeglądarce.
Jak odzyskać dostęp do konta?
Jeśli stałeś się ofiarą phishingu, nie zawsze poniesiesz negatywne konsekwencje związane z przejęciem konta. Procedura odzyskania dostępu do kont przy odpowiedniej wcześniejszej ich konfiguracji nie powinna stanowić większego problemu.
Allegro
Serwis aukcyjny Allegro.pl przejmuje odpowiedzialność za transakcje dokonane przez nieuprawnionego użytkownika. - Anulujemy bez konieczności zgłaszania na policję wszystkie ewentualnie powstałe koszty tej sytuacji. Gdy tylko wykryjemy i upewnimy się, że konto zostało skradzione, opłaty są anulowane, nawet bez formalnego zgłoszenia właściciela. Poszkodowany użytkownik nie ponosi żadnych kosztów, bierzemy je na siebie – informuje Joanna Wagner z Działu Komunikacji Korporacyjnej Allegro.pl.
Nie powinno być również problemu z odzyskaniem dostępu do skradzionego konta. – Staramy się w miarę możliwości nie blokować takich kont, a jedynie wymuszać zmianę hasła prawowitemu właścicielowi – wtedy użytkownik może samodzielnie odzyskać dostęp do konta – dodaje.
Najpopularniejszy serwis społecznościowy na świecie – Facebook również przewiduje stosunkowo łatwą procedurę odzyskania dostępu do kont. Należy pamiętać jednak o wcześniejszym dodaniu w ustawieniach bezpieczeństwa profilu „zaufanych kontaktów” (od 3 do 5), do których wysłane zostaną kody zabezpieczeń. Wybrane osoby zostaną automatycznie poinformowane o tym fakcie przez Facebooka. Jeśli tego nie zrobimy, nie wszystko jeszcze jest stracone. Zaufanych znajomych dodać można również w momencie, gdy napotkamy problem z dostępem do konta. Ważne jest natomiast, by mieć możliwość skontaktowania się z „mianowanymi” osobami poza Facebookiem (np. telefonicznie bądź mailowo).
Korzystając zatem z „Zaufanych kontaktów” w celu odzyskania dostępu do profilu, kontaktujemy się wybranymi przez nas osobami. Ci, po upewnieniu się, że jesteśmy osobą, za którą się podajemy, udostępniają nam kody, które po wprowadzeniu przez nas, spowodują odblokowanie konta. Aby procedura przywracania dostępu do profilu była skuteczna, konieczne jest wprowadzenie trzech takich kodów.
Gmail
Skrzynka pocztowa Google zapewnia kilka sposobów odzyskania dostępu do naszego konta. Przywrócić hasło możemy wykorzystując:
• adres e-mail – na wprowadzony wcześniej adres pomocniczy zostanie wysłana wiadomość z instrukcją postępowania w celu odzyskania dostępu;
• numer telefonu – na wprowadzony wcześniej numer telefoniczny wysłany zostanie kod służący do resetowania hasła;
• pytania ochronne.
Jeśli nie możemy skorzystać z wymienionych wyżej sposobów, należy wybrać opcję „Nie mam już do nich dostępu”. Zostanie wyświetlona seria pytań mających na celu sprawdzenie, czy jesteśmy właścicielem konta. Pytania mające na celu weryfikację tożsamości są trudne. Należy odpowiedzieć bardzo dokładnie na jak najwięcej pytań. Jeśli nie mamy pewności co do poprawnej odpowiedzi, należy udzielić takiej odpowiedzi, jaka według nas jest najbliższa prawdy. Warto przesłać odpowiedzi z komputera, który był już wcześniej przez nas używany – czytamy w poradniku poczty Gmail.
Banki
Banki każdy przypadek phishingu rozpatrują indywidualnie. Konsekwencje, jakie możemy ponieść, zależą od okoliczności, w jakich doszło do przejęcia danych oraz tego, czy postępowaliśmy zgodnie z przepisami oraz regulaminami. Bank dokonuje wnikliwej analizy całego zdarzenia oraz weryfikuje informacje przekazane przez klienta i dopiero wówczas podejmuje decyzję, czy zwróci pieniądze.
– Zdarzają się sytuacje, gdy zachowanie klientów można uznać za rażąco niedbałe, co skutkuje ich pełną odpowiedzialnością za nieautoryzowane operacje – informuje Macin Cieślik, Menadżer Zespołu w PKO BP.
– Bank w procesie rozpatrywania reklamacji kieruje się regulaminami wewnętrznymi oraz przepisami prawa powszechnie obowiązującego, do których zaliczyć można w szczególności ustawę o usługach płatniczych oraz ustawę o elektronicznych instrumentach płatniczych – dodaje Marcin Cieślik.
W uzasadnionych przypadkach składane jest zawiadomienie do organów ścigania o podejrzeniu popełniania przestępstwa oraz podejmowana jest współpraca z organami w celu wykrycia sprawców. Bank natomiast nie oferuje możliwości ubezpieczenia się od zagrożeń spowodowanych phishingiem.
Najważniejszy zdrowy rozsądek
W sieci jesteśmy narażeni na różne ataki mające na celu pozyskanie od nas danych. Przestępcy nieustannie rozwijają się, a równolegle bądź krok za nimi znajdują się producenci zabezpieczeń. Dlatego najlepszym uzupełnieniem specjalistycznych ochron przed phishingiem będzie rozważne korzystanie z zasobów, jakie zapewnia nam Internet. Technologia powinna pełnić rolę wspierającą i pomagającą w minimalizacji ryzyka. - Programy komputerowe i mechanizmy bezpieczeństwa nie mogą zastąpić zdrowego rozsądku – podsumowuje ekspert Deloitte.