Phishing - jak nie dać się oszukać

Phishing odnosi się do wyłudzania poufnych informacji poprzez wprowadzenie użytkownika w błąd. Określenie tłumaczy się zazwyczaj jako password harvesting fishing (łowienie haseł).

Tłumacząc to na język zrozumiały dla przeciętnego użytkownika Internetu jest to oszustwo mające na celu wyłudzenie od nas informacji, które można wykorzystać dla osiągnięcia korzyści, polegających np. na uzyskaniu naszego adresu email, danych dostępowych do konta bankowego czy też numeru karty kredytowej.

Najbardziej rozpowszechnioną formą phishingu są wiadomości email, w których oszuści podają się np. za bank, w którym posiadamy konto - w informacji znajduje się zazwyczaj odnośnik prowadzący do fałszywej strony udającej stronę banku. Strona jest prowadzona przez oszustów i wszelkie dane wprowadzane na niej są przechwytywane przez oszustów - w ten sposób np. mogą wejść w posiadanie naszego loginu i hasła do konta bankowego, co w konsekwencji prowadzi do  kradzieży naszych pieniędzy.

Zagrożenie tą formą oszustwa rośnie wraz z rozpowszechnieniem usług dostępnych przez Internet, a w szczególności wraz z rozwojem bankowości internetowej.

Dlatego szczególnego znaczenia nabiera zachowanie należytej ostrożności, czy też zachowanie ograniczonego zaufania w stosunku do wiadomości otrzymywanych pocztą elektroniczną oraz pozyskiwanych z innych źródeł, których wiarygodności nie jesteśmy w stanie potwierdzić (np. aukcje internetowe).

Aby nie paść ofiarą phishingu (co może okazać się dla nas prawdziwą katastrofą) warto przestrzegać paru zasad:

• pamiętaj, że standardowa poczta elektroniczna nie jest wiarygodna - łatwo jest podszyć się pod dowolną organizację, co jest trudne do rozponania dla przeciętnego użytkownika Internetu
• uważaj na odnośniki przesyłane w wiadomościach email - często prowadzą na inne strony niż wskazywałaby na to treść wiadomości czy też adres widoczny w wiadomości; adresy są podrabiane, tak że pozornie wydają się kierować do witryny naszego banku lub też innej zaufanej instytucji - a faktycznie prowadzą na fałszywą stronę
• każda instytucja ma określone zasady dotyczące komunikacji oraz przekazywania poufnych informacji poprzez Internet; ze względu na ryzyko związane z pocztą elektroniczną nie mają one w zwyczaju przesyłać próśb o zalogowanie się na stronie tą drogą, podobnie nigdy nie poproszą Ciebie o podanie poufnych informacji poprzez email
• w przypadku szczególnie wrażliwych danych (login, hasło, nr karty kredytowej) instytucje stosują odpowiednie zabezpieczenia, do których należy między innymi bezpieczny protokół HTTPS, który oprócz szyfrowania połączenia umożliwia  potwierdzenie autentyczności strony za pośrednictwem certyfikatu podpisanego przez niezależną organizację; potwierdzenie certyfikatu umożliwiają wszystkie najpopularniejsze przeglądarki internetowe i warto z tego korzystać w przypadku wystąpienia jakichkolwiek wątpliwości
• korzystaj z oprogramowania, które zawiera mechanizmy anty phishingowe; najnowsze wersje programów pocztowych oraz przeglądarek posiadają mechanizm połączony z bazą zgłoszonych oszustów, dzięki czemu każdy taki program jest w stanie zasygnalizować w odpowiedni sposób ryzyko oszustwa; aktualizuj regularnie oprogramowanie na swoim komputerze!