Nie daj się złapać na wędkę phishingu

przez | 23/06/2009

„Czy to nie Twoje zdjęcie? Kliknij”, „Hej, tu Asia! Wrzuciłam już fotki z naszego wyjazdu, zobacz” – maile tego typu otrzymał zapewne nie raz każdy użytkownik poczty elektronicznej. Wiadomości zachęcają do kliknięcia w zamieszczone w nich linki, co dla nieostrożnego internauty może skończyć się zainfekowaniem komputera wirusem lub programem szpiegującym. Warto zaznaczyć – co najmniej.

Niestety dość często wśród łatwo rozpoznawalnego spamu, jaki przychodzi na nasze skrzynki, trafiają się maile mające za zadanie wyłudzić nasze dane osobowe, numer karty kredytowej, czy PIN lub hasło do konta. Jest to tzw. phishing, czyli podszywanie się m.in. pod strony internetowe banków lub portali pośredniczących w płatnościach online. Wiadomość pochodząca rzekomo od naszego banku zawiera informację np. o poprawkach w systemie lub po prostu konieczności zweryfikowania danych klienta. Po kliknięciu na link zamieszczony w treści maila jesteśmy odsyłani na stronę oszusta, często do złudzenia przypominającą tę prawdziwą. Proszeni jesteśmy o podanie poufnych danych i jeśli damy się nabrać, trafiają one wprost w ręce osoby, która z pewnością nie poprzestanie na obejrzeniu stanu naszego konta.

Innymi, choć bardziej skomplikowanymi metodami są: przechwytywanie pakietów informacji, jakie wysyła komputer ofiary (poprzez specjalne programy; zdarza się dość rzadko, ponieważ złodziej musiałby mieć pewność, że tak duży nakład pracy mu się opłaci), stworzenie kopii serwisu bankowego i umieszczenie go pod niemal identycznym adresem (tutaj złodziej liczy na literówki, jakie można popełnić przy wpisywaniu adresu) lub włamanie się na stronę banku, by podstawić własny formularz logowania. To ostatnie zdarza się na szczęście coraz rzadziej, dzięki coraz lepszym zabezpieczeniom, w jakie inwestują banki. „Problem phishingu w Polsce cały czas rośnie. Do tej pory dochodziło do amatorskich prób pozyskania ważnych informacji od klientów różnych banków, jednak w ostatnich kilku miesiącach doszło do nasilenia profesjonalnie przygotowanych ataków. Chodzi tu nie tylko o proste podanie podstawowych danych. Coraz częściej mamy do czynienia z połączeniem ataków phishingowych z instalowaniem na komputerze ofiary oprogramowania ułatwiającego kradzież ważnych danych” – ostrzega Michał Macierzyński, Główny Analityk Bankier.pl. Jak wiadomo, „przezorny zawsze ubezpieczony” – warto zachować dalece idącą czujność.

Taką ostrożnością wykazała się jedna z naszych Czytelniczek. Pani Anna 25 maja, po godzinie 18:00 chciała zalogować się do systemu bankowości internetowej Citibank Online. „Mam kartę kredytową Citibank-Elle. Próbowałam obejrzeć historię swoich długów, co robiłam już wielokrotnie. Tym razem otwieranie strony było bardzo długie, po czym zostałam przekierowana na stronę, na której zobaczyłam polecenia ‘podaj nr karty kredytowej’, a pod spodem ‘podaj PIN do bankomatu’” – opowiada nasza Czytelniczka. Zaniepokojona inną niż zazwyczaj stroną logowania, zadzwoniła na infolinię. Tam usłyszała, że Bank ma problem z jednym z systemów, jednak już po drugim telefonie została poinformowana, że są to standardowe procedury, zgodne z zasadami bezpieczeństwa Banku. „Ciekawostką jest też to, że po wylogowaniu można kliknąć w opcję ‘tak’, a wtedy pojawia się informacja ‘wylogowany pomyślnie’, jednak razem z całą historią płatności kartą i jej numerem” – opowiada Pani Anna. Co prawda numer karty bez hasła nic nie da osobie trzeciej, jednak klient może w takiej sytuacji poczuć się niekomfortowo. Informacje ile dana osoba wydaje również mogą być szkodliwe w niepowołanych rękach.

„Numer Karty oraz numer kodu PIN do karty wymagany jest zawsze przy pierwszej aktywacji nowej karty poprzez Citibank Online, a także przy pierwszej rejestracji do Citibank Online. Jednocześnie chciałabym zapewnić, że wykorzystanie tych danych w celach jak wyżej jest metodą sprawdzoną i bezpieczną. Numer karty Citibank jest poufny i znany jest zawsze tylko i wyłącznie klientowi. Podany przy rejestracji na Citibank Online PIN podlega dokładnie takim samym procesom jak kod PIN w momencie, gdy wpisywany jest w bankomacie czy w terminalu. Jest szyfrowany od momentu, gdy użytkownik wpisze go na „chronionej już kłódką” stronie do momentu weryfikacji. Nie ma więc żadnego zagrożenia bezpieczeństwa kodu czy pieniędzy klienta. Należy też pamiętać, że kod PIN jest elementem, który umożliwia jedynie identyfikację klienta. Autoryzacja transakcji, bowiem odbywa się już przy wykorzystaniu dodatkowych zabezpieczeń, czyli jednorazowych kodów przesyłanych każdorazowo SMSem na telefon komórkowy klienta” – uspokaja Dorota Szostek-Rustecka z biura prasowego Citi Handlowy.

Być może sytuacja, która zaniepokoiła naszą Czytelniczkę w istocie była jedynie błędem systemu, który źle rozpoznał Panią Annę, jako klienta nowego. Jednak podobna sytuacja mogła mieć miejsce w przypadku ataku hakerskiego na stronę banku. „Pamiętajmy, że phishing to przede wszystkim psychologia. Ktoś podszywa się pod bank, próbując w nas wywołać lęk lub odwrotnie – obiecując dużą nagrodę, usypia naszą czujność. W przypadku wirusów czy innego złośliwego oprogramowania należy pamiętać o podstawowej higienie komputerowej, czyli o zawsze aktualnym programie antywirusowym, oprogramowaniu typu firewall i oczywiście legalnym systemie operacyjnym. Zawsze, kiedy nie jesteśmy pewni jakiejś sytuacji – skontaktujmy się z bankiem z prośbą o jej wyjaśnienie. Może to zabezpieczyć nie tylko nasze pieniądze, ale również innych klientów” – radzi Michał Macierzyński. Taką czujnością, jak Pani Anna, powinien wykazać się każdy klient banku nawet w przypadku, gdyby podejrzenia okazały się bezzasadne. Cena za nieostrożność może być bowiem duża.