Temat phishingu zdominował media branżowe w tym tygodniu: zaczęło się od informacji o wycieku ponad 10 tys. loginów i haseł użytkowników Hotmaila do internetu, później okazało się, że analogiczna akcja dotyczyła kont na Gmailu, Yahoo i kilku innych serwisach. Wczoraj zaś informowaliśmy o rozbiciu międzynarodowego gangu cyberprzestępców, którym udało się wyłudzić co najmniej 1,5 miliona dolarów. W międzyczasie szef FBI Robert Muller wyznał, że otrzymał od żony zakaz używania internetu, gdyż o mało sam nie został ofiarą phishingu :)

Phishing może więc spotkać każdego, a – jak pokazują powyższe przykłady – nadal wiele osób pada jego ofiarą. Przypomnijmy zatem podstawowe zasady, które pozwolą nam się przed nim skutecznie chronić.

W skrócie phishing sprowadza się do wyłudzania poufnych informacji, takich jak loginów i haseł do skrzynek e-mail, kont w aukcjach internetowych, serwisach społecznościowych i przede wszystkim portali bankowości elektronicznej. Przestępca podszywa się pod administratora danej strony, bank czy inną wiarygodną instytucję i wysyła do potencjalnych ofiar e-maile przekierowujące do fałszywej strony. Na ogół wygląda ona identycznie, jak oryginalna, lecz jest kontrolowana przez przestępców. Jeśli użytkownik spróbuje się na niej zalogować, ujawni przestępcom swoje dane dostępu do danego konta. Czyli, mówiąc metaforycznie, otworzy drzwi złodziejowi. Jak więc utrzymać te drzwi zamknięte? Poniżej kilka rad:

• Serwisy na ogół nie wysyłają e-maili z prośbą o ich odwiedzenie i zalogowanie się, a tym bardziej o podanie nazw użytkownika i haseł; nigdy zaś nie robią tego banki. Zazwyczaj treść takiego listu jest dość alarmująca, co powoduje natychmiastową reakcję użytkownika (np. informacja o dezaktywowaniu konta czy jego zablokowaniu). Bądź podejrzliwy/-a wobec każdego takiego e-maila i najlepiej skontaktuj się z administratorem strony, żeby potwierdzić jego autentyczność, lub wejdź na stronę, wpisując jej oryginalny adres.
• Nigdy nie klikaj w linki zawarte w e-mailach, wiadomościach z komunikatorów czy chatach, jeśli podejrzewasz, że mogą być one fałszywe. Nie wypełniaj też zawartych w nich formularzy z prośbami o podanie danych osobowych.
• Nigdy nie przesyłaj e-mailem czy inną drogą elektroniczną swoich loginów i haseł.
• Jeśli płacisz za coś kartą i musisz podać jej dane, upewnij się, że strona, z której korzystasz, jest bezpieczna. Jej URL powinien rozpoczynać się od liter https (“s” oznacza “security”, czyli bezpieczeństwo), często obok będzie znajdowała się ikonka przedstawiająca kłódkę. Podobną ikonkę znajdziesz również zazwyczaj w prawym dolnym rogu strony. Kliknięcie na tę ikonkę spowoduje wyświetlenie informacji o rodzaju certyfikatu, jaki został przyznany danej stronie. Jeśli po kliknięciu pojawi się ostrzeżenie, że strona nie ma żadnego certyfikatu, natychmiast zakończ logowanie.
• Staraj się logować na swoje konta przynajmniej raz w miesiącu. Sprawdzaj, co się na nich dzieje. Jeśli zauważysz coś podejrzanego, skontaktuj się z administratorem.
• Czytaj dokładnie swoje wyciągi bankowe i sprawdzaj, czy wszystkie wymienione w nich transakcje faktycznie miały miejsce.
• Zmieniaj regularnie swoje hasła, najlepiej co 3 miesiące. Staraj się nie używać tego samego hasła na wszystkich stronach.
• Nie używaj starszych przeglądarek, gdyż mogą one zawierać luki i być podatne na ataki. Instaluj aktualizacje.
• Zainstaluj dobre oprogramowanie antywirusowe i regularnie pobieraj do niego aktualizacje.
• Przede wszystkim, myśl! Jeśli jakaś strona obudzi Twoją nieufność, zamknij ją. Nie podawaj swoich loginów, numerów kont bankowych, kart kredytowych etc. na stronach, które wydają Ci się podejrzane.