Nazwa „phishing” powstała po skrzyżowania słów „fishing" (łowić ryby) z "personal data" - dane osobowe. Przestępcy wykorzystując liczne luki w przeglądarkach internetowych oraz naiwność internautów wysyłają pocztą elektroniczną specjalnie spreparowane wiadomości do osób, które mogą posiadać rachunek w danej instytucji finansowej. O ile jeszcze jakiś czas temu nieświadomy klient był przekierowywany na stronę nie mającą nic wspólnego z bankiem, to w tym momencie, dzięki wykorzystaniu wykrytej w połowie grudnia ubiegłego roku luki w przeglądarce Internet Explorer, możliwe jest spreparowanie strony w taki sposób, że w pierwszym momencie dość trudno jest o jej odróżnienie. Sieciowi przestępcy cały czas doskonalą swoją technikę. Fałszerstwa stron zdarzają się coraz częściej i wykorzystują coraz bardziej skomplikowane metody. Do niedawna standardem w wysyłanych mailach i podstawionych stronach były błędy ortograficzne, pomylone nazwy, niedziałające linki i obrazki. Obecnie takie nieudolne próby praktycznie nie mają już miejsca. Jeśli na początku złodzieje wysyłali spam do kilkuset tysięcy internautów, to teraz ich ataki są bardziej precyzyjne i skierowane do faktycznych, a nie tylko potencjalnych klientów danej instytucji. Potrzebne dane wykradane są z np. słabo zabezpieczonych instytucji współpracujących z bankami, sklepów internetowych, czy serwisów aukcyjnych. W ostateczności przestępcy nie wahają się przed wyszukiwaniem stron, gdzie nieświadomy użytkownik zostawił numer swojego bankowego rachunku lub nawet wzmiankę o tym, że jest klientem danego banku czy serwisu.
Jak donosi Anti-Phishing Working Group (APWG), konsorcjum założone w ubiegłym roku przez Tumbleweed Communications oraz kilka największych instytucji finansowych i firm internetowych, w styczniu liczba ataków z wykorzystaniem fałszywych wiadomości i stron internetowych wzrosła aż o 50 procent w porównaniu z poprzednim miesiącem! W tym okresie zanotowano 176 nowych, unikalnych prób nielegalnego zdobycia informacji, mogących posłużyć do przestępstwa. Najczęstszym celem ataku byli klienci największego na świecie serwisu aukcyjnego eBay.com, a tuż za nim uplasował się Citibank z 35 różnymi atakami zanotowanymi tylko w styczniu. Aż 8 procent z wszystkich ataków wykorzystywało odkrytą w połowie grudnia lukę w przeglądarce firmy Microsoft. Coraz częściej na niezabezpieczonych komputerach instalowane są tzw. trojany, które nie tylko mogą zapisywać uderzenia w klawiaturę (keyloggers), ale także podmieniać adresy stron zapisanych przez użytkowników w przeglądarce.
Po przekierowaniu nieświadomego klienta na stronę wyglądającą jedynie jak prawdziwa witryna znanego serwisu, przestępcy przechwytują wszelkiego rodzaju dane, które mogą potem służyć do popełnienia przestępstwa. Najczęściej łupem padają numery kart kredytowych, a w przypadku dużej części amerykańskich banków możliwe jest również wyprowadzenie z rachunku wszystkich pieniędzy. Dzieje się tak z powodu słabych zabezpieczeń, często ograniczających się jedynie do loginu i hasła. Również dodatkowe, drugie hasło stosowane przez cześć polskich banków nie jest jak się okazuje dużą przeszkodą. Dopiero klienci banków stosujących hasła jednorazowe lub tokeny mogą czuć się w miarę bezpieczni, chociaż pomysłowość przestępców może w niektórych przypadkach ominąć również ten problem.
Bankowcy cały czas zastanawiają się nad rozwiązaniem tego coraz bardziej palącego problemu. Mimo, że część ataków przeprowadzana jest nieudolnie, to nawet w takim przypadku niektórzy klienci nieświadomie ujawniają swoje hasła czy numery kart kredytowych. W Polsce nadal dużym problemem okazuje się współpraca banków, policji i providerów internetowych. Obserwowane na zachodzie tendencje wskazują, że ostatnie wydarzenia mogą być jedynie początkiem zmasowanych ataków. W tym kontekście na uwagę zwraca szybka akcja Inteligo, które prawie natychmiast doprowadziło do zablokowania fałszywej strony, informując równocześnie swoich klientów o potencjalnym zagrożeniu. Działania polskiego Citibanku były natomiast stanowczo zbyt wolne. Fałszywa strona, która była o wiele lepiej podrobiona niż „amatorska” witryna udająca serwis Inteligo znajdowała się w sieci kilka dni. Poważnie do sprawy fałszywych witryn podszedł również mBank, który taką sprawę skierował do prokuratury. Po wyjaśnieniach okazało się, że fałszywa strona została stworzona przez jednego z uczestników bankowej listy dyskusyjnej w celu zademonstrowania działania nowej luki w przeglądarce IE i nie miała w żadnym wypadku na celu zdobycia jakichkolwiek danych. Pamiętając o poniesionych rok temu konsekwencjach medialnych - tym razem mBank dmuchał na zimne i od razu skierował przypadek do prokuratury. Po wyjaśnieniach sprawa została szybko rozwiązana.
Podsumowując - polskie banki, dość długo usiekały przed problemem phishingu. Po ostatnich wydarzeniach z całą pewnością będą teraz szybko reagowały na pojawiające się ataki. Trzeba jednak podkreślić, że tego typu akcje mają szansę powodzenia jedynie dzięki nieświadomości i naiwności klientów. To sami użytkownicy internetowych kont bankowych powinni odpowiednio zabezpieczyć komputer, na bieżąco uaktualniając oprogramowanie, instalując programy antywirusowe czy tzw. zapory ogniowe. Problem fałszywych stron narasta w głównej mierze na skutek niefrasobliwości internautów, o czym można łatwo przekonać się po każdym ataku nowego wirusa, który uaktywnia się po otworzeniu załącznika w programie pocztowym. Mimo, że tego typu wirusy znane są od kilku lat, to wciąż znajduje się wiele osób, które przegląda pliki niewiadomego pochodzenia. Podobnie dzieje się niestety w przypadku fałszywych witryn bankowych.
Michał Macierzyński
Źródło:
