Słowo „phishing” słyszymy coraz częściej, co gorsza nie tylko w doniesieniach z zagranicy, ale również z rodzimego rynku. Ten rodzaj oszustwa pomimo, iż nie jest już nowinką, zyskuje na popularności i jest na tyle skuteczny, że wciąż znajdują się chętni by „łowić” w globalnej sieci. Schematy działania przestępców przechodzą ewolucję — stają się bardziej wyrafinowane zarówno pod względem zastosowanych środków technicznych (także dzięki wykorzystaniu wad popularnego oprogramowania), jak i sztuczek psychologicznych.
Typowy schemat „internetowego wędkowania” opiera się na stworzeniu podrobionej strony internetowej do złudzenia przypominającej np. stronę logowania do serwisu bankowości internetowej oraz zwabieniu na nią jak największej liczby ofiar, które skłonne będą „zostawić” oszustom swoje ID i hasło. Przynętą jest najczęściej e-mail, przygotowany tak, by wyglądał na wysłany przez bank i zachęcający do kliknięcia w odpowiednio spreparowany link. Wiarygodność zastosowanej przynęty jest czynnikiem decydującym o powodzeniu całej operacji zwłaszcza, że potencjalne ofiary są coraz bardziej świadome czyhających na nie niebezpieczeństw (co jest wynikiem zarówno akcji informacyjnych banków, jak i publikacji w mediach dotyczących internetowych oszustw). Ostatnie doniesienia mówiące o pojawiających się przypadkach „spersonalizowanego” phishingu — skierowanego do wyselekcjonowanych adresatów i wykorzystującego np. zdobyte wcześniej informacje pochodzące z baz danych instytucji będących obiektem ataku (jak chociażby dane osobowe czy informacje o posiadanych przez adresata produktach) — wskazują na to, że przestępcy wkładają wiele wysiłku w uwiarygodnienie swoich poczynań.
Przynęta ma wywołać w ofierze poczucie konieczności natychmiastowej reakcji (np. „zanotowaliśmy próby logowania na Pańskie konto, prosimy o zalogowanie się w celu weryfikacji tożsamości”) i często ma za zadanie zastraszyć odbiorcę. Czasami ma również postać „marchewki” — jak np. w niedawnym ataku na amerykański Citizens Bank, gdzie „phisherzy” zachęcali do wypełnienia ankiety w zamian za pięciodolarową nagrodę. Oczywiście w ankiecie, w ramach rzekomego potwierdzenia tożsamości respondenta, znalazło się również pytanie o numer karty kredytowej oraz jej datę ważności i PIN (informacje niewątpliwie warte co najmniej tych pięciu dolarów) .
Innym ze sposobów na zdobycie interesujących przestępcę danych, coraz częściej stosowanym, jest zainstalowanie na komputerze ofiary konia trojańskiego i keyloggera (programu zapisującego znaki wpisywane na klawiaturze), które zajmą się zapisaniem poufnych informacji i przesłaniem ich pod wskazany adres. Takie podejście, chociaż nie w pełni pasuje do zasady działania typowego „phishingu”, wymaga również podstępu — potencjalna ofiara musi w ten czy inny sposób ściągnąć z sieci szkodliwy plik i uruchomić go na swojej maszynie. Skłonić ją może do tego również odpowiednio przygotowany e-mail lub wiadomość przesłana np. poprzez komunikator internetowy.
Dodaj komentarz
