Rozwój internetu i nowych technologii umożliwia coraz szybszy dostęp do informacji. Korzystają z niego nie tylko ciekawi świata internauci, lecz także przestępcy. Żeby ukraść miliony, nie muszą już napadać na banki
Brak rozwagi przy dokonywaniu transakcji elektronicznych może narazić na utratę danych, którymi oszuści posłużą się, aby wykraść nasze oszczędności. Ta rozwaga wymaga przestrzegania zasad ochrony loginów, haseł i PIN-ów do systemów bankowych, a także zaopatrzenia się w skuteczne oprogramowanie antywirusowe.

Znikające dane

Wyłudzanie poufnych informacji to proceder określany na świecie mianem phishingu (password harvesting fishing, czyli łowienia haseł). Polega on na oszukańczym pozyskaniu poufnych informacji osobistych, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne.
Najczęstszą metodą, którą posługują się phisherzy (osoby zajmujące się phishingiem), jest rozsyłanie spamu do dużej liczby potencjalnych ofiar, kierując je na stronę internetową, która udaje rzeczywisty bank internetowy. Nieprawdziwe wiadomości trafiają do przypadkowo wybranych osób, które najczęściej nie są nawet klientami wskazanego banku. W rzeczywistości spreparowana strona przechwytuje wpisywane na niej informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania.

Fałszywe e-maile

Podstawową zasadą, którą stosują obecnie wszystkie banki, jest to, że nie wysyłają wiadomości elektronicznych z prośbą o podanie poufnych danych. Mogą to natomiast robić niektóre firmy, serwisy aukcyjne czy osoby podszywające się pod właścicieli sklepów internetowych. Jak więc poznać, czy cyberprzestępca zastawił na nas sidła? Przede wszystkim trzeba zwracać uwagę na standardowe sformułowania, których używają phisherzy, i zaufać trochę swojemu instynktowi. Jeśli wiadomość e-mail wygląda podejrzanie, prawdopodobnie jest podejrzana.
Jeśli już otrzymamy e-maila, w którym jesteśmy proszeni o przesłanie haseł, nazw użytkownika, numerów PESEL czy innych informacji osobistych, potraktujmy go z ostrożnością.
Jak podaje Microsoft, phisherzy używają najczęściej utartych sformułowań. Wiadomość e-mail związana z phishingiem może być na przykład uprzejma i stonowana, jednak często wiadomości takie są ponaglające tak, aby na nie odpowiedzieć bez zastanowienia, np.: w przypadku braku odpowiedzi w ciągu 48 godzin, Pani/Pana konto zostanie zamknięte. E-maile oszustów są zwykle rozsyłane masowo i nie zawierają imienia ani nazwiska (zaczynają się od zwrotu Szanowny Kliencie). Istnieje jednak możliwość, że oszuści posiadają i nasze dane osobowe. Wiadomości od phisherów mogą zawierać łącza lub formularze, które można wypełniać tak jak formularze zawarte na stronach internetowych.
Oszuści często idą też na łatwiznę i zamiast tworzyć stronę banku od podstaw, podrabiają grafiki znajdujące się na oryginalnych witrynach. Strona swoim schematem, kolorystyką i znajdującymi się na niej symbolami łudząco przypomina wygląd witryny dobrze znanej nam instytucji, jednak po jej porównaniu z oryginalną stroną można dostrzec znaczące różnice. Poza tym często napisana jest łamaną polszczyzną lub zawiera sformułowania w języku obcym.

Niefortunna odpowiedź

Co zrobić, gdy przez pośpiech i roztargnienie odpowiedzieliśmy na podejrzaną wiadomość? Każdy, kto obawia się, że mógł odpowiedzieć na wiadomość pochodzącą od phishera i podał mu swoje dane dostępu do kont, musi zgłosić to w banku, w którym posiada rachunek. Im szybciej bank się o tym dowie, tym łatwiej będzie mu zapewnić ochronę. Jeśli e-mail pochodził od firmy, to należy skontaktować się również z nią. Trzeba zrobić to bezpośrednio (najlepiej telefonicznie), a w żadnym wypadku poprzez kolejną odpowiedź na sfingowanego e-maila. Trzeba też jak najszybciej zmienić hasła dostępu do wszystkich swoich rachunków.
Osoby, które mają konta internetowe, mogą zrobić to, logując się na nie i nie muszą odwiedzać placówki banku. Warto też potem regularnie sprawdzać wyciągi z karty kredytowej i konta bankowego. Mimo zmiany haseł czasami może być za późno i oszust zdąży uszczuplić oszczędności.

Kara więzienia

Głównym celem działań phishera jest podstępne uzyskanie informacji, które dadzą mu swobodny dostęp do konta internauty. Phisher nie musi przełamywać żadnych zabezpieczeń bankowych, bo dzięki wprowadzeniu internauty w błąd dostaje na tacy jego hasło i inne potrzebne dane.
Każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat trzech.

Programy do kradzieży

Oszuści internetowi nie poprzestają wyłącznie na wysyłaniu wspomnianych e-maili. W internecie krąży coraz więcej tzw. trojanów bankowych. Największe zagrożenie polega w ich przypadku na tym, że niebezpieczne programy instalują się i działają bez naszej wiedzy. Ofiary nie są więc świadome, że ich komputery są wykorzystywane do okradania właścicieli lub nawet osób trzecich. Trojany bankowe służą do podglądania każdej próby logowania do serwisów bankowości internetowej i kradzieży poufnych informacji: nazwy użytkownika, hasła, PIN-u, numeru konta i karty kredytowej itd. Informacje te są później wykorzystywane do działalności przestępczej.
W tym przypadku ostrożne korzystanie z internetu może okazać się niewystarczające. Potrzebne będzie dodatkowo dobre oprogramowanie antywirusowe zawierające aktualizowany na bieżąco system zabezpieczeń. Należy również regularnie aktualizować zainstalowane programy w celu naprawienia luk w zabezpieczeniach.

Bezpieczne hasła

Część internautów używa tego samego hasła dla każdego konta, karty kredytowej, serwisu aukcyjnego czy skrzynki e-mailowej. Taka wygoda może kosztować, bo dane są gorzej chronione w przypadku zwykłych serwisów, które nie mają szyfrowanych połączeń. Oszust wykradnie je tam, gdzie nie będzie miał z tym większych problemów. Najlepiej więc tworzyć odmienne hasło dostępowe w każdym serwisie.
Stopień bezpieczeństwa haseł zależy od użytej kombinacji liter i cyfr. Unikajmy podawania w nich swoich imion, dat urodzenia, adresów. Ponadto należy je często zmieniać (przynajmniej raz na pół roku) i nie ujawniać osobom postronnym. Przed podaniem hasła upewnijmy się też, że logujemy się do prawdziwej strony. Często błędnie wpisana nazwa domeny czy jej rozszerzenie może skierować na stronę łudząco podobną do tej, którą chcemy odwiedzić. W rzeczywistości może okazać się pułapką, którą zastawili na nas przestępcy. Logując się do systemu bankowego, musimy także sprawdzać, czy używamy bezpiecznego połączenia. W adresie musi pojawić się https://, a na pasku stanu przeglądarki symbol kłódki.
PRZYKŁADY
1 Złośliwe oprogramowanie zostało załączone w przesłanym pliku PDF
W kwietniu br. Związek Banków Polskich otrzymał od kilku banków informacje o nowym zagrożeniu dla klientów bankowości elektronicznej. Do przypadkowych osób i do klientów banków (na zasadzie spamu) wysyłane były wiadomości e-mail o treści, która miała na celu sprowokowanie do otwarcia załączonego pliku w formacie PDF. Dotyczyła ona rzekomych płatności na dość znaczne kwoty dokonanych za pośrednictwem karty płatniczej. Szczegóły transakcji miał zawierać załączony plik. W czasie jego otwierania komputer klienta zostawał zainfekowany złośliwym oprogramowaniem, które miało przechwytywać informacje poufne związane m.in. z uwierzytelnianiem i autoryzacją w systemie bankowości elektronicznej.
Złośliwe oprogramowanie miało wykradać także dane karty płatniczej np. podczas dokonywania transakcji kartą w sklepie internetowym.
2 Internauta nie dał się nabrać na podstępną wiadomość otrzymaną od phishera
W październiku 2009 r. internauta otrzymał wiadomość z banku BZ WBK, w którym bank miał prosić klientów o podanie haseł do kont bankowych. Autorem e-maila okazał się phisher. Oszust nie zdążył jednak wykraść oszczędności bankowych, gdyż internauta zaniepokojony dziwną treścią e-maila skontaktował się z bankiem, gdzie ustalił, że e-mail jest fałszywy, a następnie zmienił hasła dostępu do wszystkich swoich rachunków i zablokował kartę kredytową.
DGP