Phishing

(ang. password fishing) – metoda podstępnego uzyskiwania haseł dostępu do internetowych kont bankowych użytkownika za pośrednictwem e-maili. Przestępca zwykle podszywa się pod przedstawiciela finansowych instytucji próbując nakłonić odbiorców e-maili do przesłania im haseł oraz innych danych osobowych, bądź pilnej aktualizacji swoich danych na spreparowanej fałszywej stronie internetowej banku, która zbiera nasze dane dostępowe do prawdziwej witryny instytucji finansowej.

Aby uchronić się przed phishingiem należy zawsze ignorować e-maile wzywające do wprowadzenia danych potrzebnych do logowania, nawet jeżeli ich autorzy grożą zablokowaniem konta i podobnymi konsekwencjami. Żadna poważna instytucja finansowa nie żąda nigdy podania swoich danych lub ich aktualizacji tą drogą! Ktoś, kto chce mieć całkowitą pewność, powinien zadzwonić do banku lub sklepu internetowego (ale nie pod numer podany w e-mailu!) i dowiedzieć się osobiście, czy e-mail faktycznie pochodzi od tej instytucji, a jeśli tak, to o co chodzi z aktualizacją danych na żądanie.

Oczywiście warto także stosować rozwiązania zabezpieczające przeciw atakom „phisingowym” – istnieje wiele programów oraz dodatków do przeglądarek, które rozpoznają fałszywe strony internetowe i ostrzegają użytkownika zanim ten poda swoje dane.

Można wyróżnić kilka różnych sposobów zachęcania użytkowników do odwiedzania fałszywych stron WWW:
Technika spamowa polegająca na wysyłaniu wiadomości e-mail imitujących prawdziwą korespondencję wysyłaną przez różne instytucje.

  • Ukierunkowana wersja powyższej metody: cyberprzestępca wykorzystuje strony WWW, które do zarejestrowania na konto użytkownika używają jego adresu poczty elektronicznej lub przypomnienia hasła następnie haker kieruje phishing do poszczególnych użytkowników (z prośbą o potwierdzenie hasła itd.).
  • Zainstalowanie trojana, który edytuje pliki hosts. W momencie próby obejrzenia strony swojego banku ofiara zostaje przekierowana do fałszywej strony.
  • Pharming znany także jako Zatruwanie DNS.
  • „Spear phishing” atak skierowany na konkretną instytucję, w którym phisher wyświetla zapytanie dotyczące szczegółów pracownika, które umożliwiają uzyskanie szerszego dostępu do reszty sieci.