Oszustwa internetowe - Phishing

Phishing zmierza zawsze do wyłudzenia podstępem poufnych danych np. szczegóły karty kredytowej, dane do maila, dane do konta w jakimś portalu, itp. Może być dokonane poprzez falszywa stronę www, albo podczas zwykłej odpowiedzi na maila. Sama nazwa wywodzi się od słowa fishing - wędkowanie. Hackerzy lubili takie rzeczy zapisywać w formie ph = f i powstał phishing.

Najczęściej ofiara oszustwa dostaje emaila, mówiącego, aby się zalogowała i potwierdziła swoje dane bankowe, dane do jakiegos poratlu, itd. Ofiara oszustwa mogła tez sama wejść na taką stronę www np. ze sklepem internetowym, gdzie zachęciła się do zakupu jakiegoś towaru.

Ochrona: Wystarczy spojrzeć na pasek adresu strony www i wiemy, że jesteśmy na fałszywej stronie www. Poniżej przykład strony logowania do fałszywego banku.

fałszywa strona banku - phishing

To dlaczego nie złapano oszusta? Ano nie. Na ogół takie strony istnieją tylko kilka godzin. Poza tym rozwiązań tego, kto jest oszustem jest kilka. Rzeczywiście właściciel tej strony www może być phisherem. Może to jego nieuczciwy webmaster zrobił, albo właściciel serwera, a moze ktoś kto miał dostęp do serwera. A może tylko jego DNS został przejęty przez hackerów (ang. DNS Hijacking)? Ale Policja za słabo bada ten temat, bo to jest mocny ślad. Tak pozyskane dane będa wykorzystane później, wiadomo ktoś zabierze te pieniądze, ale na ogół nie trafiają one bezpośrednio do oszusta.

Innym przypadkiem jest np. fałszywy sklep internetowy. Wtedy adres nam się zgadza :). Przede wszystkim należy zobaczyć, kto jest właścicielem sklepu, nie kupowac w nieznanym sklepie, poszukać danych kontaktowych. Zadzwonić. Często ktoś się zgłosi. Sprawdzić domenę, a więc i właściciela w bazie whois. Jeżeli dane są ukryte, to znaczy, że sklep nie nalży do żadnej firmy. Następnie spojrzeć, czy na stronie z dokononywaniem płatności jest protokół HTTPS. Należy czytać informacje ostrzegawcze przeglądarki, jeżeli witryna nie jest zaufana, to sorry, nie należy kupować. Spojrzeć na prawy dolny róg przeglądarki, gdy jest protokół HTPPS kliknąć na ikonke kłódki i zobaczyc certyfikat. Częściej ludzie przekazują szczegóły kart kredytowych właśnie w takich sklepach, niż na stronach z fałszywmi bankami.

Fałszywy sklep internetowy

Czasem, a nawet bardzo często jest tak, że sklep ma protokół https, prawdziwy certyfikat ssl, potwierdzony przez Verisign, ale jest założony na osobę, której ukradziono tożsamość. Czyli phisher nie pozna danych waszej karty, ale pieniądze z waszego konta zejdą i tak, wy nigdy nie dostaniecie towaru, natomiast pieniądze dojdą do tzw. muła pieniężnego - money mule. Przeczytaj: fałszywy sklep internetowy.

Ochrona przed oszustem internetowym

Przede wszystkim popatrzeć od kogo dostaliście emaila. To, że wyświetla wam się np. nazwisko dyrektora banku nic nie znaczy, to, że adres mailowy w pierwszej chwili zagadza się też nic nie znaczy. Należy zajrzeć do headers - nagłówki. Już wtedy widzimy, czy adres jest prawdziwy, czy fałszywy. Objaśnienie czytania headers - nagłówków. Często też takie informacje są wysyłane z darmowych kont mailowych.

Na taka fałszywą stronę www warto wejść i od razu ją zgłosić. Sposób zgłaszania web forgery - oszustwa internetowego.

Jeżeli logujecie się do banku, to nie wchodźcie nigdy np. z tekstu maila, a wpisujcie dokładnie adres strony logowania:

https://www.jakistambank.pl/login.php, czy coś w tym guście, co jest uzależnione od banku. Dlaczego? Protokołu HTTPS jakiejś domeny nie można przejąć, można tylko uprowadzić HTTP poprzez tzw. DNS Hijacking - uprowadzenie DNS-ów.

Nie kupujcie w podejrzanych sklepach internetowych! Nie kupujcie wsklepach, gdy w miejscu gdzie macie podać dane karty kredytowej brakuje protokołu https oraz brak kłódki w prawym dolnym rogu przeglądarki. Ok, powtarzam się, ale muszę, często jest nawet prawdziwy protokół https i phisher nie ma wglądu do danych karty, ale pieniądze wam zejdą z konta, wy nie dostaniecie towaru, który niby kupiliście. Na ogół są to sklepy założone na osoby, którym ukradziono tożsamość, o czym poniżej.

Pomyśl też o Norton 360 Version 2.0, który dba o bezpieczeństwo komputerów, bezpieczeństwo transakcji, ochronę tożsamości w sieci, dodatkowo w pakiecie: Antivirus, Optymalizacja komputerów, Archiwizacja i odzyskiwanie danych. Norton 360 Version 2.0

Co dalej phisher robi z pieniędzmi

Każdego pewnie zaciekawia fakt, ze skoro pieniądze zeszły z karty kredytowej, to do kogoś doszły, a więc złapaliśmy oszusta internetowego. Nic bardziej mylnego. Phishing jest często tylko pierwszym etapem całego procederu.