Kradzież danych osobowych – nie daj się złowić

E-mail wygląda niewinnie: pracownik działu obsługi klienta w banku prosi o potwierdzenie danych, wystarczy kliknąć na podany link. Uważaj – to pułapka.

Leicester: Kradzież przez klonowanie >>

E-mail wygląda niewinnie: pracownik działu obsługi klienta w banku prosi o potwierdzenie danych, wystarczy kliknąć na podany link. Uważaj – to pułapka.
Po pierwsze i najważniejsze: banki nigdy, ale to nigdy nie proszą o takie dane. Ani przez telefon, ani pocztą tradycyjną, ani elektroniczną. Więc nie daj się zwieść – to phishing. Dziś do końca nie wiadomo, od czego to słowo pochodzi. Według jednych źródeł jest to skrót od słów „password harvesting fishing” (łowienie haseł), według innych termin pochodzi od nazwiska Briana Phisha, który rzekomo (nie ma pewności, czy taki ktoś istniał) jako pierwszy, jeszcze w latach 80., parał się tym niechlubnym zajęciem.

Bądź czujny

Tak czy owak, dziwnie brzmiące słowo oznacza dziś formę ataku z użyciem tzw. inżynierii społecznej. Jest to wykorzystywanie braku wiedzy lub naiwności niedoświadczonych użytkowników komputerów i Internetu. Chodzi o pozyskanie poufnych danych, takich jak szczegóły karty kredytowej lub informacji niezbędnych do zalogowania się na stronie internetowej banku. W tym celu atakujący przygotowuje e-mail oraz stronę internetową, do złudzenia przypominające materiały banku (lub innej instytucji finansowej), pod który się podszywa. Następnie spreparowany mail wysyłany jest do setek tysięcy lub nawet milionów ludzi z nadzieją, że chociaż mały procent z nich da się nabrać i na podłożonej stronie poda np. login i hasło do swojego konta. Oszust nie wysyła oczywiście samodzielnie tylu wiadomości. Hacker wykorzystuje w tym celu tzw. botnety, czyli sieci prywatnych, zainfekowanych komputerów rozsianych po całym świecie, nad którymi sprawuje kontrolę.

Straty w miliardach

Skala zjawiska jest olbrzymia. Jak podaje BBC, kradzieże on-line dotknęły aż 12 proc. z 29 mln dorosłych Brytyjczyków. Rozwój Internetu, łatwe zakupy na aukcjach, czy w sklepach internetowych lub korzystanie z bankowości przy pomocy przeglądarki powodują, że coraz więcej osób zaczyna chętnie używać tych rozwiązań w codziennym życiu, a to często usypia ich czujność. Według danych amerykańskiej Federalnej Komisji Handlu w samych tylko Stanach Zjednoczonych rocznie ginie w ten sposób 50 miliardów (!) dolarów.

Bank nie pomoże…

Chociaż skradzione w ten sposób pieniądze uda się prawdopodobnie odzyskać, to banki raczej nie kwapią się do walki z cyberprzestępcami, bo po prostu nie mają jak. – To prosty rachunek zysków i strat. Istnienie ataków nie prowokowało nas do zmian w architekturze systemu, bo kosztowałoby to znacznie więcej niż rekompensata strat. Po prostu instytucje finansowe nie mają często narzędzi do walki z tą formą przestępczości. Problem jest na poziomie globalnym. Zainfekowane komputery rozsyłają podejrzaną pocztę na przykład z Chin, a kontrolują je ludzie, którzy starannie zacierają za sobą ślady. Na globalny problem potrzebna jest globalna analiza i reakcja. W idealnym świecie powstałaby koalicja banków na rzecz stworzenia bezpiecznej przeglądarki internetowej, która skutecznie odpierałaby ataki phisherów – opowiada Paweł Wilk, informatyk i dziennikarz śledczy zajmujący się bezpieczeństwem komputerowym, niegdyś specjalista ds. bezpieczeństwa w bankach.

…prokuratura też nie

Próżno też szukać pomocy w prokuraturze, bo ta również działa w skali lokalnej. Większą skuteczność odnosi współpraca organizacji zajmujących się filtrowaniem ruchu sieciowego. Takie inicjatywy powstają i potrafią całkiem skutecznie krzyżować szyki pojedynczych przestępców. Niestety, walka z phisherami przypomina odcinanie głowy mitycznej hydrze – na miejscu jednej momentalnie powstają trzy kolejne. Co więc robić? Przede wszystkim trzymać się zasady ograniczonego zaufania, bo w sieci nic nie jest takie proste, jak się zdaje.

Miliony dolarów skradzione klientom wielkich sklepów >>

Błażej Zimnak
[email protected]