wtorek 24 lipiec 2007 | Anna PAWŁOWSKA-POJAWA

Phishing ciągle zagraża

Jeżeli otrzymasz taki mail: „Wystąpiły problemy z Twoim kontem internetowym. Kliknij poniższy link, żeby potwierdzić swoje dane” – powinno to wzbudzić twoją najwyższa nieufność. Klikanie na tego typu linki to droga prowadząca do utraty danych. Danych, które są często krytyczne dla naszej firmy a link służy wyłącznie do cyberprzestępczych wyłudzeń.

Jeżeli klikamy…daliśmy się złapać!

Takie maile to jedna z metod stosowanych przez cyberprzestępców, którzy w ten sposób wyłudzają od nas nasze wrażliwe dane. Ten rodzaj przestępstw internetowych to phishing, a ofiary łapią się jak ryby na tłustego robaka. Komunikat zawarty w mailu często odnosi się do bezpieczeństwa, najczęściej nadawca podszywa się pod bank lub inną internetową organizację o uznanej marce (np. znany sklep internetowy, uznawaną za godną zaufania platformę transakcyjną). Zdarza się, że już w mailu proszeni jesteśmy o podanie numeru karty kredytowej lub numeru konta. Druga metoda – to link do strony logowania, na której wymaga się od nas szczegółowych informacji dotyczących właśnie konta czy karty.

Przezorny (prawie) zawsze ubezpieczony

Podstawowa zasada bezpieczeństwa w Internecie to – jak na drodze – zasada ograniczonego zaufania. Pierwsza lampka alarmowa powinna się zapalić, kiedy zorientujemy się, że dostaliśmy mail ze sklepu, w którym nigdy nic nie kupowaliśmy albo z banku, z którym nie mieliśmy do czynienia.

Jeżeli jednak przypadek zdarzy, że dostaliśmy mail z naszego banku, zwróćmy uwagę na podpis – jeżeli jest zbiorowy i niekonkretny (nie zawiera dokładnej nazwy działu przynajmniej ani numeru telefonu) – warto wykazać się pewną nieufnością. Jeśli mail jest podpisany w sposób budzący zaufanie, obejrzyjmy go jeszcze raz dokładnie – warto zwrócić uwagę na elementy graficzne, w tym na logotypy – czasami wystarczy wejść na stronę banku czy sklepu, żeby stwierdzić, że logo użyte w papeterii jest bardzo dowolną interpretacją właściwego znaku graficznego. Ale sprytni oszuści i logo potrafią podrobić, zresztą nie jest to specjalnie skomplikowane. Może się więc zdarzyć, że mimo wszystko klikniemy w podany link.

URL – zlokalizuj się w sieci

To jeszcze nie koniec świata. W przypadku phishingu oczywiście może się zdarzyć, że wejdziemy na stronę, z której zainstaluje nam się wirus, ale celem zarzucających przynętę jest wyciągnięcie od nas danych. Czyli strona, która nam się otworzy, będzie zawierała jakiś formularz wymagajmy uzupełnienia. Pierwsza rzecz, na którą warto zwrócić uwagę, kiedy otwieram nam się formularz do wypełnienia, to adres strony w przeglądarce. Pole adresu nie jest tym, które się często sprawdza, a to właśnie może być element naszego systemu alarmowego. Jeżeli w adresie pojawia się inna nazwa niż nazwa organizacji na której stronie chcieliśmy się znaleźć, albo właściwa nazwa stanowi element dłuższego linku – co najmniej żółta lampka powinna nam się zapalić.

Znajdź 5 elementów

Czyli test na spostrzegawczość. Jeżeli z jakichś powodów URL-a jednak nie widać albo nie budzi naszych podejrzeń, warto uważnie się przyjrzeć stronie. Jeżeli strona udaje podstronę serwisu jakiejś organizacji czy instytucji – koniecznie trzeba wejść na stronę główną porównać elementy grafiki serwisu. Tu bardzo pomaga doświadczenie z pism rozrywkowych, gdzie zdarzają się testy na spostrzegawczość w typie „Znajdź 5 szczegółów, którymi różnią się obrazki”. Zatem drobiazgowo obejrzyjmy, nie tylko logo i kolory, ale linie, obramowania, cieniowania, krój czcionki – to są elementy, które mogą nam pomóc odróżnić ziarna od plew.

Między słowami

URL się zgadza, logo identyczne, strona budzi zaufanie, już prawie oddychamy z ulgą, ale… Warto jeszcze poczytać, co na tej stronie mamy. A właściwie nie tyle co, ale jak to jest napisane. Jeżeli na stronie są błędy ortograficzne, jeżeli tekst jest napisany „po polskiemu”, jeżeli pojawiają się dziwne kalki z języków obcych albo dziwaczne i niezrozumiałe sformułowania (i nie chodzi o skomplikowaną terminologię branżową) – dzwonek alarmowy powinien nam zadzwonić. Gorzej sytuacja wygląda w przypadku stron w językach obcych, zwłaszcza w języku angielskim. Jeżeli nasza znajomość języka jest pobieżna – trudno będzie z całą pewnością stwierdzić, czy tekst jest napisany poprawnie, czy też są w nim błędy.

Sprawdź frazę

Warto wypracować sobie kilka fraz, które będziemy sprawdzać, jak choćby np. log in to account (a nie log in account czy log to account). Także nadprogramowe spacje, przecinki czy kropki w dziwnych miejscach – wszystko to powinno dać nam do myślenia. To prawda, błędy zdarzają się na stronach poważnych instytucji. Ale znacznie rzadziej.

Nie ma recepty idealnej

Zdarzają się cyberprzestępcy, którzy bardzo profesjonalnie przygotowują swoją przynętę.

Starannie, z dbałością o szczegóły i podobieństwo do rzeczywistych zdarzeń i stron. Przed atakiem takich profesjonalistów trudno się uchronić. Ale możemy się bronić przed tymi, którzy popełniają błędy. Którzy próbują nas łapać na ciasto zamiast na robaki. A z czasem i robaki zaczepione na haczyku zaczniemy odróżniać.

Quiz, czyli sprawdź swoją czujność

Tymczasem, żeby sprawdzić, jak podatni jesteśmy na phishingową przynętę, McAfee SiteAdvisor opracowała specjalny quiz. Zestaw pytań  pozwala użytkownikowi ocenić spostrzegawczość oraz umiejętność odróżniania komunikatów prawdziwych od tych przesyłanych przez oszustów.

Warto sprawdzić swoją internetową czujność – nie tylko dla rozrywki.