Fišingas iš arčiau

Publikuota:	2009-11-21 17:47
Tematika:	Operacinės sistemos ir tinklai

Autorius:	Andrius Gubistas
Aut. teisės:	©Andrius Gubistas
Inf. šaltinis:	Balsas.lt

Nesenai Lietuvoje buvo įvykęs nemalonus atsitikimas, kai buvo sužinoti kelių šimtų bankų klientų kortelių duomenys ir panaudoti piktavališkiems tikslams.

Labai gerai, jog bankai greitai susigaudė kur čia kas, ir spėjo užkirsti tam kelią. Po šio įvykio buvo pakalbėta su nemažai Lietuvos gyventojų ir buvo nuspręsta, jog dauguma iš apklaustųjų vis dar nelabai supranta, kaip šiuo principu yra išviliojami prisijungimo į tam tikrą sistemą duomenys. Taigi, norint jog tokie įvykiai nebepasikartotų, buvo nuspręsta, kad privaloma supažindinti lankytojus su šiuo sukčiavimo būdu, ir paaiškinti kaip jis veikia.

Fišingas- kas tai yra?

Terminas yra kilęs nuo žodžių password fishing - slaptažodžių žvejyba.

Fišingas (angl. phishing) yra vienas iš populiariausių internetinio sukčiavimo būdų, norint iš neatidžių arba patiklių vartotojų išgauti tik jiems žinomus duomenis (vardus, slaptažodžius, banko sąskaitos kodus, kreditinių kortelių numerius). Sukčiai naudoja tokius internetinius adresus, kurie yra labai panašūs į realiai egzistuojančios institucijos adresą (pvz. „eBay“, „Amazon.com“, „PayPal“ arba bet koks internetinis bankas). Fišingas yra socialinės technikos pavyzdys, panaudotos tam, kad apkvailintų kitus vartotojus.

Dažniausiai apgavikai į pagalbą pasitelkia elektroninio pašto žinutes kurios būna siunčiamos masiškai. Taip pat slaptažodžius bandoma išvilioti ir naudojantis P2P pagrindu sukurtomis bendravimo programomis („Skype“, „MSN Messenger“), tokiu atveju būkite dar atsargesni, kadangi žmogus iš pradžių su jumis bendraus, bandys pelnyti jūsų palankumą ir pasitikėjimą, o vėliau lyg tarp kitko „numes“ kokią nors nuorodą. Taipogi sukčiai gali bandyti jus apgauti atsiųsdami SMS žinutę, arba paskambinę jums telefonu.

Tokiu būdu išviliota informacija beveik visada yra naudojama nusikalstamiems tikslams (pvz. vogti pinigus iš jūsų banko sąskaitų, įsilaužti į kompiuterių sistemas, trukdyti įvairių tinklalapių veiklą ir t.t.).

Lietuvoje fišingo atakos dažniausiai būna nukreiptos prieš bankų klientus, bet kartais nukenčia ir populiarūs tinklalapiai, nes stengiamasi pakenkti jų veiklai.

Fišingui naudojamo elektroninio laiško pavyzdys.

Kaip tai veikia?

Dažniausiai apgaulė yra pradedama nuo elektroninio pašto laiškų kurie atrodo taip, lyg būtų siunčiami tikros organizacijos. Laiške dažniausiai bandoma apgauti žmones naudojant psichologinį spaudimą- pavyzdžiui, kad vartotojo sąskaita uždaryta, o norint ją atnaujinti reikia iš naujo įvesti duomenis internetinėje anketoje. O kartais duomenys būna išviliojami dar paprasčiau- apgavikai patiklaus žmogelio paprašo jo prisijungimo duomenų į vieną ar kitą tinklalapį, ir pažada už tai jam suteikti kokias nors pareigas ten. O labai skaudžiai galima nukentėti tada, jei žmogus daugumoje sistemų registruojasi tuo pačiu slaptažodžiu (pvz. tą patį slaptažodį jis naudoja „Ggmail“ ir "PayPal" sistemoje).

Yra nemažai pavyzdžių, kaip fišingas veikia. Štai vienas iš jų:

2003 m. lapkričio 17-ąją daug „eBay“ klientų gavo elektroninio pašto pranešimus, kad jų sąskaitos buvo apribotos. Žinutėje buvo nuoroda į tinklalapį, kuris atrodė kaip „eBay“, ten jiems reikėjo iš naujo užsiregistruoti. Svetainė atrodė taip, kaip tikrasis „eBay“ pagrindinis puslapis, į jį buvo įtrauktos visos „eBay“ vidaus sąsajos. Klientams buvo pasakyta, jog norėdami iš naujo užsiregistruoti, jie turėjo įvesti savo kreditinės kortelės duomenis, mokėjimo ir atsiskaitymo sistemos identifikavimo sistemos numerius, socialinės apsaugos kodą, gimimo datą ir jų mamos mergautinę pavardę. Viskas atrodė gan normalu, tačiau problema buvo ta, kad tas tinklalapis nepriklausė „eBay“, ir visi klientų duomenis atiteko sukčiams. Tai buvo vienas iš svarbiausių fišingo pavyzdžių.

Dar vieno fišingui naudojamo elektroninio laiško pavyzdys.

Kaip apsisaugoti nuo fišingo?

Labai atsargiai įvertinkite laiškus kuriuose prašoma pateikti konfidencialią informaciją.
Niekada nespauskite ant nuorodų nors šiek tiek įtarimo sukėlusiose svetainėse, jei vis dėlto rizikuosite ten apsilankyti, nuorodos adresą perrinkite rankomis į savo naršyklę.
Niekada nesiūskite savo asmeninės arba finansinės informacijos elektroniniu paštu.
Reguliariai tikrinkite savo sąskaitas tinklalapiuose kuriuose esate užsiregistravęs, nepalikite jų likimo valiai.
Norėdami padidinti savo saugumą naudokitės slaptažodžių generatoriumi.
Įsitikinkite, kad jūsų naudojama programinė įranga yra reguliariai atnaujinama- pavyzdžiui jei jūs naudojate „Microsoft Windows“, visada atsisiųskite atnaujinimą kai tik jis atsiranda.

Kur kreiptis?

Gavę fišingo laišką, turėtumėte nedelsdami pranešti policijai ir organizacijai, kurios duomenis apgavikai bandė išgauti.

Jeigu vis dėlto užkibote ant sukčių kabliuko, ir jau išsiuntėte savo duomenis, išsyk kreipkitės į duomenis išdavusią organizaciją (pvz.banką ar kitą įstaigą) ir reikalaukite juos nedelsiant užblokuoti.

Na, o pabaigai pateiksiu šiek tiek faktų apie fišingo padarytą žalą:

Per vieną fišingo ataką prarandama apie 886 dolerius.
Per metus iš fišingo aukų išviliojama apie 3.6 milijardus dolerių.
Per metus 3.2 milijono žmonių buvo apgauti fišingo būdu.
Kas mėnesį išsiunčiama apie 8.5 milijardo fišingo laiškų.
2009m. gegužės mėnesį buvo naudojama apie 32,414 internetinių fišingo svetainių.

P.S. Visai neblogas testas, norint pasitikrinti savo žinias apie fišingą.