Naiwnych nie brakuje. Prawda ta cieszy szczególnie hakerów, którzy czerpią zyski z podszywania się pod klientów internetowych banków. Zaskakujące, jak łatwo w wielu przypadkach potr
afią oni zwieść swoje ofiary. Wydaje się, że jeśli ktoś korzysta z usługi e-bankowości, to powinien być szczególnie ostrożny z ujawnianiem przez Internet swoich danych, a przynajmniej wystrzegać się przekazywania ich pocztą elektroniczną. Niestety, tak jednak nie jest, co bezlitośnie wykorzystują hakerzy.
Naukowcy z amerykańskich uniwersytetów Harvarda i Berkeley przeprowadzili niedawno badanie, dlaczego cyberprzestępcy potrafią być tacy skuteczni i przekonujący. Przyjrzeli się oni jednej z najbardziej ostatnio ulubionych metod działania hakerów, jaką jest phishing. Metoda polega na tym, że oszust próbuje wyłudzić od potencjalnej ofiary cenne dane osobowe – np. numer karty kredytowej, hasło, dane dotyczące konta lub inne informacje – nakłaniając do ich ujawnienia pod fałszywym pretekstem (wysyłając fałszywe e-maile, wyglądem i treścią przypominające zaufane źródło). Hakerzy wiedzą, że większość internautów nie da się nabrać, ale liczą, że niektórzy złapią się na haczyk, zalogują na spreparowanej przez nich fałszywej stronie i tam zostawią swe dane.
Phishing, czyli wykradanie danych, to jedna z ostatnich plag Internetu
Amerykańscy naukowcy przeprowadzali badania na małej grupie osób, którym przedstawiali oryginalne i fałszowane e-maile do porównania. Okazało się, że badani aż w 90% przypadków nie byli w stanie rozpoznać, że dobrze spreparowany fałszywy e-mail, który może być wykorzystany do celów phishingu, nie jest oryginalny. Gdy zaś pokazywano im autentyczne e-maile, często w nich doszukiwali się oszustwa.
Uczestnikom badania pokazano np. fałszywy list elektroniczny z banku o nazwie Bank of the West. Odsyłał on do spreparowanej do celów phishingu strony: www.bankofthevvest.com (w adresie podwójne v zamiast w) ze sfałszowaną kłódką w adresie (ikona zamkniętej kłódki oznacza, że w witrynie internetowej stosowane jest szyfrowanie, chroniące wszystkie wprowadzane poufne informacje osobiste). Na stronie umieszczone było podrobione logo firmy Verisign, która sprzedaje oprogramowanie szyfrujące, oraz certyfikat potwierdzający jego ważność. Pojawiało się też okienko pop-up z ostrzeżeniami, jak ważne jest przestrzeganie procedur bezpieczeństwa. Okazało się to na tyle przekonujące, że 91% osób z badanej grupy stwierdziło, że mail i strona WWW są autentyczne. Z kolei gdy pokazano im prawdziwy e-mail, odsyłający do oryginalnej strony internetowej firmy Etrade, z prostą grafiką i odpowiednimi zabezpieczeniami – 77% badanych uznało ją za oszustwo.
Pokazuje to, jak łatwo użytkowników Internetu nabrać na prostą sztuczkę, w której np. litera l jest zamieniana na 1 (liczbę jeden) lub i, które wpisane w adres internetowy wyglądają podobnie. Internauci nie rozumieją też składni internetowych adresów. Wiele osób domenę www.ebay-members-security.com automatycznie skojarzy jako podstronę internetowej aukcji www.ebay.com. Zdradliwy może się też okazać wygląd strony. Dla wielu osób obecność charakterystycznej kłódeczki na stronie to gwarancja bezpieczeństwa. Wydają się nieświadomi, że można ją podrobić.
Nic dziwnego, że zjawisko phisingu w Internecie rozkwita. Anti-Phishing Working Group alarmuje, że tylko w styczniu 2006 r. odnotowano rekordową liczbę 17 877 przypadków phishingu. Poprzedni rekord padł w listopadzie 2005 r., gdy liczba zgłoszonych ataków tego typu wyniosła 16 882. Niezmiennie ulubionym celem phisherów jest sektor usług finansowych, na który przypada 92% wszystkich ataków. Najgorsze jednak, że nie należy się spodziewać, iż będzie bezpieczniej. Według Anti-Phishing Working Group proceder ten nie osiągnął jeszcze punktu krytycznego i liczba ataków oraz nowych stron phishingowych będzie rosła. Mimo że z phisherami walczy policja i takie firmy jak Microsoft, sytuacja się nie poprawi, dopóki użytkownicy Internetu nie zaczną bardziej roztropnie korzystać z sieci. Sukcesy hakerów stosujących proste sztuczki świadczą, że rosyjskie przysłowie, iż naiwny może bardziej zaszkodzić niż złodziej, ma głęboki sens.
Autor: Marek Jaślan