Czym jest phishing? Nie podajesz danych nigdzie, gdzie nie jest to konieczne, a i te podawane ograniczasz do absolutnego minimum. Logujesz się na strony banków tylko ze swojego komputera, płatności elektroniczne kartą wykonujesz rzadko i generalnie, jak sądzisz, masz kontrolę nad swoimi danymi. Po pierwsze - takie wrażenie jest bardzo złudne, a po drugie - są także inne metody uzyskiwania danych, niekoniecznie trzeba je wykradać ze strony, sprytna manipulacja potrafi nakłonić użytkownika, aby sam udostępnił pożądane informacje. Na tym właśnie polega phishing. Jest to metoda oszustwa, w której haker podszywa się na przykład pod policję, bank czy jakikolwiek inny, wiarygodny dla użytkownika podmiot, w celu nakłonienia go do udostępnienia mu swoich danych. Phishing ma oczywiście na celu uzyskanie korzyści finansowych, dlatego najczęściej wiąże się ze stronami banków lub z atakami hakerskimi, sugerującymi, że ktoś zablokował nasz komputer. W tym pierwszym wypadku, wiele osób nie zwraca uwagi na subtelne różnice i daje się "złapać". Natomiast w drugiej sytuacji użytkownik najczęściej jest tak przerażony utraceniem danych, groźbą zgłoszenia go na policję za na przykład udostępnianie plików przez torrenty, że w panice może próbować uiścić sugerowaną opłatę, podać wymagane przez hakera dane. Wtedy najczęściej komputer faktycznie zostaje zainfekowany, a haker ma nieograniczony dostęp do naszych danych. Rodzaje phishingu Jest kilka typów phishingu, zasadniczo dzieli się go na clone phishing, spear phishing oraz whaling. Clone phishing polega na tym, że w wiadomości, która "udaje" wiadomość od nadawcy, od którego teoretycznie pochodzi podmienia się linki i załączniki. Wydaje nam się, że kliknięcie linku jest nieszkodliwe, ale niestety okazuje się, że właśnie w ten sposób wykradane są nasze dane. Najskuteczniejszą metodą jest spear phishing. Jest to bowiem oszustwo "spersonalizowane". W praktyce wygląda to tak, że na przykład regularnie dostajemy newsletter od jakiegoś podmiotu, jesteśmy przyzwyczajeni do konkretnej struktury i wyglądu maila i kiedy otrzymujemy z fałszywego adresu praktycznie identycznie wyglądający mail, ufamy mu, otwieramy link lub załącznik, być może nawet zalogujemy się na stronie, która nawet udaje stronę naszego banku. Dane, hasła są wtedy wykradane. Taki spersonalizowany phishing jest skuteczniejszy, ponieważ jest bardziej wiarygodny. Informacje o użytkowniku są sukcesywnie zbierane, tak aby jak najlepiej dopasować treść prezentowanej mu wiadomości. Kolejnym typem oszustwa jest też whaling. To już phishing "wyższego szczebla". Wiadomości wysyłane są do przedstawicieli branży finansowej, a treść maila idealnie odpowiada zajmowanemu przez daną osobę stanowisku. Najczęściej maile w tym typie phishingu stylizowane są na wiadomości od urzędów, dużych podmiotów gospodarczych. Mogą to być wezwania do zapłaty, wezwania sądowe. Jak zabezpieczyć się przed phishingiem? Najprostszą poradą jakiej można udzielić jest - zastanów się dwa razy zanim klikniesz. Korzystanie z Internetu niejednokrotnie zmusza nas jednak do kliknięcia w link, otrzymany mailem, na przykład w celu aktywacji konta, potwierdzenia zmiany hasła. Na co więc zwracać uwagę? Standardem jest szyfrowanie danych. SSL to coś, czym posługuje się większość dużych firm, w zasadzie nie znajdziemy banku, czy innej poważnej instytucji finansowej, która nie korzysta z tej opcji. - Jeśli jakiś adres www nie posiada przedrostka https://, powinniśmy dwa razy zastanowić się zanim podamy na niej jakieś dane. Nieużywanie protokołu HTTPS i nieszyfrowanie danych w dzisiejszych czasach stwarza ogromne ryzyko ich utraty - argumentuje Stanisław Duda, ekspert z serwisu czerwona-skarbonka.pl. Takie przypadki warto zgłaszać do banku. Kolejnym sposobem jest kontrolowanie tego, gdzie udzielamy naszych danych, a także w przypadku ich wycieku, na przykład po włamaniu się na konto e-mail, zmiana wszystkich haseł. Są strony, na których można sprawdzić na przykład, kiedy i gdzie nasze dane zostały wykradzione. Chodzi tu na przykład o e-mail czy numer telefonu. Jeśli taka sytuacja miała miejsce, możemy zgłosić to podmiotowi, za pośrednictwem którego uzyskano dane, takie zgłoszenia pozwalają lepiej identyfikować "dziury" w systemach. Warto też na bieżąco aktualizować oprogramowanie, w tym to antywirusowe. Jeśli już otrzymamy maila, który wygląda podejrzanie, nie odpowiadajmy na niego, nie klikajmy żadnych linków, nie podawajmy żadnych danych, numerów kart i tym podobnych. Warto zauważyć, że zazwyczaj nie wysyła się wiadomości z prośbą o logowanie, banki nie proszą e-mailowo o zmiany haseł, dokonywanie transakcji. Takie komunikaty jak na przykład "Twoje hasło nie było zmieniane od 30 dni" pojawiają się na stronach banku, już po zalogowaniu na swoje konto. Takie regularne zmienianie hasła, oczywiście za pośrednictwem prawdziwej strony banku to też dobra ochrona przed phishingiem. Nigdy też nie powinniśmy odpowiadać na prośby typu "kliknij link celem aktywacji konta", jeśli nie dokonywaliśmy rejestracji dosłownie chwilę wcześniej. W Internecie, jak w jeździe samochodem powinna obowiązywać zasada ograniczonego zaufania. Jeśli cokolwiek nas zaniepokoi, zdziwi, layout jakiejś strony wyda nam się inny lub jej adres nieznacznie się zmieni, powinniśmy mieć się na baczności.