Nacionalni CERT

O phishingu

Općenito

Phishing (varijanta engleske riječi za pecanje, fishing) je vrsta socijalnog inženjeringa koja se odnosi na prijevare, kojima se služe zlonamjerni korisnici šaljući lažne poruke koristeći pritom postojeće Internet servise. Riječ je o kriminalnoj aktivnosti. Koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju prikupiti povjerljive podatke (korisnička imena, lozinke, podaci s kreditnih kartica i sl.) kako bi ostvarili financijsku korist. U pravilu, phishing poruke prenose se putem elektroničke pošte koja navodi korisnika da klikne na određeni link koji ga dalje vodi na stranice zloćudnog web poslužitelja. Takve zloćudne Web stranice obično se lažno predstavljaju kao Web stranice banaka, servisa za elektroničko plaćanje (PayPal i dr.) i sl. krivotvoreći, odnosno imitirajući njihov izgled. U svrhu phishing-a, osim elektroničke pošte, mogu poslužiti i drugi servisi poput foruma, servisa za izravnu komunikaciju (Windows Messenger, ICQ, Skype, Google Talk i dr.) te društvene mreže (Facebook, MySpace). Društvene mreže posebno su opasne jer podaci prikupljeni sa njih mogu poslužiti za krađu identiteta, ali i zbog činjenice da poruke dobivene od prijatelja, kojima su kompromitirani (oteti) računi, imaju određeni kredibilitet.

Oblici phishinga

Najkorištenije metode phishinga:

  • jednostavni zahtjev od korisnika da (u odgovoru) pošalje svoje osjetljive podatke elektroničkom poštom, pošiljatelj se lažno predstavlja kao npr. administrator nekog Web servisa kojem su ti podaci potrebni radi provjere podataka, nadogradnje sustava i sl.
  • lažni linkovi u e-mail porukama (obično lažni, odnosno manipulirani link u poruci vodi korisnika na zloćudnu Web stranicu gdje se traži da upiše svoje korisničko ime i lozinku ili druge osjetljive podatke)
  • lažna web sjedišta (korisnik može biti naveden kliknuti na link koji ga vodi na web poslužitelj koji korištenjem skripti, izmijeni/prekrije stvarni URL svog Web sjedišta i postavi legitimni, čime obmanjuju korisnika koji misli da je na legalnoj stranici i na taj način skupljaju podatke dok ih ovaj unosi)
  • lažni ("popup") prozor na legitimnim web sjedištima banaka ("iskakanje" lažnog prozora sa poljima za unos povjerljivih informacija. "Popup" prozor se pojavljuje pri posjetu legitimnom web poslužitelju)
  • „tabnabbing“ – jedna od novijih metoda koja koristi činjenicu da korisnici Web preglednika obično imaju otvoreno nekoliko tabova istovremeno te se jedan od neaktivnih tabova osvježi, ali sa zloćudnim sadržajem koji imitira neku legitimnu Web stranicu (računa se na nepažnju korisnika, odnosno da ne primijeti novu adresu)

Kako izbjeći phishing

  • nikad ne odgovarajte na elektroničke poruke koje traže osobne podatke - financijske institucije imaju vaše podatke, a i mala je vjerojatnost da bi vas bilo koja renomirana tvrtka zatražila osobne podatke putem maila
  • nikad ne slijedite linkove koji se nalaze unutar sumnjivih i neočekivanih e-mail poruka
  • nikad ne slijedite linkove, ako niste sigurni tko je pošiljatelj - za ovu svrhu dobro je koristiti digitalne potpise
  • uvijek provjerite da li adresa (URL) na koji unosite povjerljive podatke odgovara legitimnoj (adresa krivotvorene Web stranice može se razlikovati u jednom slovu od legitimne)
  • koristite dobre lozinke i često ih mijenjajte - dobre lozinke sastoje se od kombinacije velikih i malih slova, brojeva i simbola što ih čini vrlo teškim za probijanje
  • provjerite da li web stranica preko koje unosite povjerljive podatke koristi HTTPS protokol - Web adresa financijskih institucija trebala bi počinjati s https:// umjesto sa http://
  • obavezno provjerite digitalni certifikat web poslužitelja prije unosa bilo kakvih podataka
  • koristite softver za filtriranje spama - ovi programi će smanjiti broj neželjenih poruka koje većina korisnika svakodnevno prima
  • koristite antivirusni softver - ova vrsta programa prepoznaje maliciozni softver koji se također može koristiti za prikupljanje osobnih informacija
  • koristite osobni firewall - da možete pratiti promet prema internetu u oba smjera i uočili moguće sumnjive aktivnosti
  • koristite antispyware softver
  • redovito ažurirajte softver koji koristite
  • pratiti stanje vaših računa za obavljanje novčanih transakcija
  • budite u toku, pratite informacije o phishingu na internetu – sigurnosna edukacija je najefikasnija obrana od pokušaja phishinga